Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Gestione delle responsabilità di sicurezza per Amazon Virtual Private Cloud
La sicurezza del cloud AWS è la massima priorità. In qualità di AWS cliente, puoi beneficiare di un data center e di un'architettura di rete progettati per soddisfare i requisiti delle organizzazioni più sensibili alla sicurezza.
La sicurezza è una responsabilità condivisa tra AWS te e te. Il [modello di responsabilità condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) descrive questo aspetto come sicurezza *del* cloud e sicurezza *nel* cloud:
+ **Sicurezza del cloud**: AWS è responsabile della protezione dell'infrastruttura che gestisce AWS i servizi nel AWS cloud. AWS ti fornisce anche servizi che puoi utilizzare in modo sicuro. I revisori esterni testano e verificano regolarmente l'efficacia della nostra sicurezza nell'ambito dei [AWS Programmi di AWS conformità dei Programmi di conformità](https://aws.amazon.com/compliance/programs/) dei di . Per informazioni sui programmi di conformità che si applicano ad Amazon Virtual Private Cloud, consulta [AWS Services in Scope by Compliance Program AWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Sicurezza nel cloud**: la tua responsabilità è determinata dal AWS servizio che utilizzi. L’utente è anche responsabile di altri fattori, tra cui la riservatezza dei dati, i requisiti della propria azienda e le leggi e normative vigenti.
Questa documentazione aiuta a comprendere come applicare il modello di responsabilità condivisa quando si utilizza Amazon VPC. Gli argomenti seguenti illustrano come configurare Amazon VPC per soddisfare gli obiettivi di sicurezza e conformità. Scopri anche come utilizzare altri AWS servizi che ti aiutano a monitorare e proteggere le tue risorse Amazon VPC.
**Topics**
+ [Come garantire la protezione dei dati in Amazon Virtual Private Cloud](data-protection.md)
+ [Applica la crittografia VPC in transito](vpc-encryption-controls.md)
+ [Identity and Access Management per Amazon VPC](security-iam.md)
+ [Sicurezza dell'infrastruttura in Amazon VPC](infrastructure-security.md)
+ [Controlla il traffico verso AWS le tue risorse utilizzando i gruppi di sicurezza](vpc-security-groups.md)
+ [Controllo del traffico della sottorete con le liste di controllo degli accessi alla rete](vpc-network-acls.md)
+ [Resilienza in Amazon Virtual Private Cloud](disaster-recovery-resiliency.md)
+ [Convalida della conformità per Amazon Virtual Private Cloud](VPC-compliance.md)
+ [Blocca l'accesso pubblico alle sottoreti VPCs e alle sottoreti](security-vpc-bpa.md)
+ [Security best practices for your VPC](vpc-security-best-practices.md)
# Come garantire la protezione dei dati in Amazon Virtual Private Cloud
Il modello di [responsabilità AWS condivisa modello](https://aws.amazon.com/compliance/shared-responsibility-model/) si applica alla protezione dei dati in Amazon Virtual Private Cloud. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutti i Cloud AWS. L’utente è responsabile del controllo dei contenuti ospitati su questa infrastruttura. L’utente è inoltre responsabile della configurazione della protezione e delle attività di gestione per i Servizi AWS utilizzati. Per maggiori informazioni sulla privacy dei dati, consulta le [Domande frequenti sulla privacy dei dati](https://aws.amazon.com/compliance/data-privacy-faq/). Per informazioni sulla protezione dei dati in Europa, consulta il post del blog relativo al [AWS Modello di responsabilità condivisa e GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) nel *AWS Blog sulla sicurezza*.
Ai fini della protezione dei dati, consigliamo di proteggere Account AWS le credenziali e configurare i singoli utenti con AWS IAM Identity Center or AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Suggeriamo, inoltre, di proteggere i dati nei seguenti modi:
+ Utilizza l’autenticazione a più fattori (MFA) con ogni account.
+ SSL/TLS Da utilizzare per comunicare con AWS le risorse. È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Configura l'API e la registrazione delle attività degli utenti con AWS CloudTrail. Per informazioni sull'utilizzo dei CloudTrail percorsi per acquisire AWS le attività, consulta [Lavorare con i CloudTrail percorsi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) nella *Guida per l'AWS CloudTrail utente*.
+ Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno Servizi AWS.
+ Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.
+ Se hai bisogno di moduli crittografici convalidati FIPS 140-3 per accedere AWS tramite un'interfaccia a riga di comando o un'API, usa un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Ti consigliamo di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo **Nome**. Ciò include quando lavori con Amazon VPC o altro Servizi AWS utilizzando la console, l'API o. AWS CLI AWS SDKs I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Quando si fornisce un URL a un server esterno, suggeriamo vivamente di non includere informazioni sulle credenziali nell’URL per convalidare la richiesta al server.
# Come garantire la privacy del traffico Internet in Amazon VPC
Amazon Virtual Private Cloud fornisce caratteristiche che puoi utilizzare per aumentare e monitorare la sicurezza del tuo virtual private cloud (VPC):
+ **Gruppi di sicurezza**: i gruppi di sicurezza consentono traffico specifico in entrata e in uscita a livello di risorsa (ad esempio un'istanza EC2). Quando avvii un'istanza, puoi associare tale istanza a uno o più gruppi di sicurezza. Ogni istanza nel VPC può appartenere a un set differente di gruppi di sicurezza. Se non specifichi un gruppo di sicurezza quando avvii un'istanza, questa viene automaticamente associata al gruppo di sicurezza predefinito per il VPC. Per ulteriori informazioni, consulta [Gruppi di sicurezza](vpc-security-groups.md).
+ **Liste di controllo degli accessi alla rete (ACL)**: la rete ACLs consente o nega traffico specifico in entrata e in uscita a livello di sottorete. Per ulteriori informazioni, consulta [Controllo del traffico della sottorete con le liste di controllo degli accessi alla rete](vpc-network-acls.md).
+ **Log di flusso**: i log di flusso VPC acquisiscono informazioni sul traffico IP da e verso le interfacce di rete nel VPC. È possibile creare un log di flusso per un VPC, una sottorete o un'interfaccia di rete singola. I dati dei log di flusso vengono pubblicati su CloudWatch Logs o Amazon S3 e possono aiutarti a diagnosticare regole ACL di rete e gruppi di sicurezza eccessivamente restrittive o eccessivamente permissive. Per ulteriori informazioni, consulta [Registrazione del traffico IP utilizzando log di flusso VPC](flow-logs.md).
+ **Mirroring del traffico**: puoi copiare il traffico di rete da un'interfaccia di rete elastica di un'istanza Amazon EC2. È quindi possibile inviare il traffico ai dispositivi di sicurezza e monitoraggio. out-of-band Per ulteriori informazioni, vedere la [Guida al mirroring del traffico](https://docs.aws.amazon.com/vpc/latest/mirroring/).
# Applica la crittografia VPC in transito
VPC Encryption Controls è una funzionalità di sicurezza e conformità che ti offre un controllo autorevole centralizzato per monitorare lo stato di crittografia dei flussi di traffico, ti aiuta a identificare le risorse che consentono la comunicazione in chiaro e infine ti offre meccanismi per applicare la crittografia in transito all'interno e all'interno di una regione. VPCs
VPC Encryption Controls utilizza sia la crittografia a livello di applicazione che la crittografia integrata nella funzionalità di transito dell'hardware del sistema AWS nitro per garantire l'applicazione della crittografia. Questa funzionalità estende anche la crittografia nativa a livello hardware oltre le moderne istanze Nitro ad altri servizi AWS tra cui Fargate, Application Load Balancer, Transit Gateways e molti altri.
La funzionalità è progettata per chiunque desideri garantire la visibilità e il controllo dello stato di crittografia di tutto il proprio traffico. È particolarmente utile nei settori in cui la crittografia dei dati è fondamentale per soddisfare gli standard di conformità come HIPAA FedRamp e PCI DSS. Gli amministratori della sicurezza e gli architetti del cloud possono utilizzarlo per esercitare centralmente la crittografia nelle politiche di transito in tutto l'ambiente AWS
Questa funzionalità può essere utilizzata in due modalità: modalità di monitoraggio e modalità di applicazione.
## Modalità di controllo della crittografia
**Modalità monitorata**
In modalità monitor, Encryption Controls offre visibilità sullo stato di crittografia dei flussi di traffico tra le AWS risorse interne e esterne VPCs. Inoltre, consente di identificare le risorse VPC che non applicano la crittografia in transito. Puoi configurare i log di flusso del VPC in modo che emettano il campo arricchito, che ti dice se il traffico è crittografato. `encryption-status` Puoi anche utilizzare la console o `GetVpcResourcesBlockingEncryptionEnforcement` il comando per identificare le risorse che non applicano la crittografia in transito.
**Nota**
VPCs Existing può essere abilitato prima solo in modalità Monitor. Questo ti dà visibilità sulle risorse che sono o possono consentire il traffico in chiaro. Puoi attivare la modalità di applicazione sul tuo VPC solo quando queste risorse iniziano a applicare la crittografia (o hai creato delle esclusioni per esse).
**Modalità di applicazione**
In modalità Enforce, VPC Encryption Controls ti impedisce di utilizzare funzionalità o servizi che consentano il traffico non crittografato all'interno dei confini del VPC. Non è possibile abilitare Encryption Controls in modalità enforce direttamente sul dispositivo esistente. VPCs È necessario innanzitutto attivare Encryption Controls in modalità di monitoraggio, identificare e modificare le risorse non conformi per applicare la crittografia in transito e quindi attivare la modalità di applicazione. È tuttavia possibile attivare Encryption Controls in modalità Enforce per renderlo nuovo durante la creazione. VPCs
Se abilitata, la modalità enforce impedisce di creare o collegare risorse VPC non crittografate, come vecchie istanze EC2 che non supportano la crittografia nativa integrata, gateway Internet, ecc. Se desideri eseguire una risorsa non conforme in un VPC con crittografia applicata, devi creare un'esclusione per quella risorsa.
## Monitoraggio dello stato di crittografia dei flussi di traffico
Puoi controllare lo stato di crittografia dei flussi di traffico all'interno del VPC utilizzando il `encryption-status` campo nei tuoi log di flusso VPC. Può avere i valori seguenti:
+ `0`= non crittografato
+ `1`= nitro-criptato (gestito da VPC Encryption Controls)
+ `2`= applicazione crittografata
+ fluisce sulla porta TCP 443 per l'interfaccia da endpoint a service \$1 AWS
+ flussi sulla porta TCP 443 per l'endpoint gateway \$1
+ fluisce verso il cluster Redshift crittografato tramite endpoint VPC\$1\$1
+ `3`= crittografati sia con nitro che con l'applicazione
+ `(-)`= Stato di crittografia Sconosciuto o i controlli di crittografia VPC sono disattivati
**Nota:**
\$1 Per quanto riguarda gli endpoint di interfaccia e gateway, per determinare lo stato della crittografia AWS non vengono esaminati i dati a pacchetto, ma ci affidiamo alla porta utilizzata per assumere lo stato di crittografia.
\$1\$1 Per endpoint AWS gestiti specifici, AWS determina lo stato della crittografia in base al requisito di TLS nella configurazione del servizio.
**Limitazioni del VPC Flow Log**
+ Per abilitare i log di flusso per i controlli di crittografia VPC, è necessario creare manualmente nuovi log di flusso con il campo encryption-status. Il campo encryption-status non viene aggiunto automaticamente ai log di flusso esistenti.
+ Si consiglia di aggiungere i campi \$1 \$1traffic-path\$1 e \$1 \$1flow-direction\$1 ai log di flusso per informazioni più dettagliate nei log di flusso.
Esempio:
```
aws ec2 create-flow-logs \
--resource-type VPC \
--resource-ids vpc-12345678901234567 \
--traffic-type ALL \
--log-group-name my-flow-logs \
--deliver-logs-permission-arn arn:aws:iam::123456789101:role/publishFlowLogs
--log-format '${encryption-status} ${srcaddr} ${dstaddr} ${srcport} ${dstport} ${protocol} ${traffic-path} ${flow-direction} ${reject-reason}'
```
## Esclusioni dei controlli di crittografia VPC
La modalità di applicazione dei controlli di crittografia VPC richiede che tutte le risorse del VPC applichino la crittografia. Ciò garantisce la crittografia all'interno AWS di una regione. Tuttavia, potresti disporre di risorse come il gateway Internet, il gateway NAT o il gateway privato virtuale che consentono la connettività all'esterno AWS delle reti, in cui sei responsabile della configurazione e del mantenimento end-to-end della crittografia. Per utilizzare queste risorse con crittografia applicata VPCs, puoi creare esclusioni di risorse. Un'esclusione crea un'eccezione verificabile per le risorse in cui il cliente è responsabile del mantenimento della crittografia (in genere a livello di applicazione).
Sono supportate solo 8 esclusioni per i controlli di crittografia VPC. Se hai queste risorse nel tuo VPC e desideri passare alla modalità di applicazione, devi aggiungere queste esclusioni quando passi dalla modalità monitor a quella di imposizione. Nessun'altra risorsa è escludibile. Puoi migrare il tuo VPC alla modalità Enforce creando esclusioni per queste risorse. Sei responsabile della crittografia dei flussi di traffico da e verso queste risorse
+ Internet Gateway
+ Gateway NAT
+ Internet Gateway solo in uscita
+ Connessioni peering VPC alla crittografia non applicate VPCs (consulta la sezione Supporto del peering VPC per scenari dettagliati)
+ Gateway virtuale privato
+ Funzioni Lambda all'interno del tuo VPC
+ Reticolo in VPC
+ File system elastico
## Workflow di implementazione
1. **Abilita il monitoraggio**: crea il controllo della crittografia VPC in modalità monitor
1. **Analizza il traffico**: esamina i registri di flusso per monitorare lo stato di crittografia del flusso di traffico
1. **Analizza le risorse**: utilizza la console o il `GetVpcResourcesBlockingEncryptionEnforcement` comando per identificare le risorse che non applicano la crittografia in transito.
1. **Prepara [Facoltativo]**: pianifica le migrazioni delle risorse e le esclusioni richieste se desideri attivare la modalità di applicazione
1. **Applica [Opzionale]**: passa alla modalità di applicazione con le esclusioni richieste configurate
1. **Audit**: monitoraggio continuo della conformità tramite Flow Logs
Per istruzioni dettagliate sulla configurazione, consulta il blog [Introduzione ai controlli di crittografia VPC: applica la crittografia in transito all'interno e all'interno di una regione VPCs ](https://aws.amazon.com/blogs/aws/introducing-vpc-encryption-controls-enforce-encryption-in-transit-within-and-across-vpcs-in-a-region).
## Stati dei controlli di crittografia VPC
I controlli di crittografia VPC possono avere uno dei seguenti stati:
**creating (creazione in corso)**
I controlli di crittografia VPC vengono creati sul VPC.
**modify-in-progress**
I controlli di crittografia VPC vengono modificati sul VPC
**deleting (eliminazione in corso)**
I controlli di crittografia VPC vengono eliminati sul VPC
**disponibile**
I controlli di crittografia VPC sono riusciti a implementare la modalità di monitoraggio o la modalità di applicazione sul VPC
## AWS supporto e compatibilità del servizio
Per essere conforme alla crittografia, una risorsa deve sempre applicare la crittografia in transito, a livello hardware o a livello di applicazione. Per la maggior parte delle risorse, non è richiesta alcuna azione da parte dell'utente.
### Servizi con conformità automatica
La maggior parte AWS dei servizi supportati da PrivateLink, incluso Cross-Region, PrivateLinks accetterà il traffico crittografato a livello di applicazione. Non è necessario apportare modifiche a queste risorse. AWS interrompe automaticamente tutto il traffico che non lo è application-layer-encrypted. Alcune eccezioni includono i cluster Redshift (sia con provisioning che serverless, in cui è necessario migrare manualmente le risorse sottostanti)
### Risorse che migrano automaticamente
Network Load Balancer, Application Load Balancer, cluster Fargate, EKS Control Plane migreranno automaticamente verso hardware che supporta nativamente la crittografia una volta attivata la modalità monitor. Non è necessario modificare queste risorse. AWS gestisce la migrazione automaticamente.
### Risorse che richiedono la migrazione manuale
Alcune risorse e servizi VPC richiedono la selezione dei tipi di istanze sottostanti. Tutte le istanze EC2 moderne supportano la crittografia in transito. Non devi apportare alcuna modifica se i tuoi servizi utilizzano già istanze EC2 moderne. Puoi utilizzare la console o il GetVpcResourcesBlockingEncryptionEnforcement comando per identificare se uno di questi servizi utilizza istanze precedenti. Se identifichi tali risorse, devi aggiornarle a una qualsiasi delle moderne istanze EC2 che supportano la crittografia nativa dell'hardware del sistema nitro. Questi servizi includono istanze EC2, Auto Scaling Groups, RDS (All Databases and Document-DB), Elasticache Provisioned, Amazon Redshift Provisioned Clusters, EKS, ECS-EC2, Provisioned ed EMR. OpenSearch
**Risorse compatibili:**
Le seguenti risorse sono compatibili con i controlli di crittografia VPC:
+ [Istanze EC2 basate su Nitro](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit)
+ Network Load Balancer (con limitazioni)
+ Application Load Balancer
+ AWS Cluster Fargate
+ Amazon Elastic Kubernetes Service (EKS)
+ Gruppi Auto Scaling Amazon EC2
+ Amazon Relational Database Service (RDS - Tutti i database)
+ Cluster ElastiCache basati su nodi Amazon
+ Cluster con provisioning e serverless di Amazon Redshift
+ Amazon Elastic Container Service (ECS) - istanze di container EC2
+ OpenSearch Servizio Amazon
+ Amazon Elastic MapReduce (EMR)
+ Amazon Managed Streaming for Apache Kafka (Amazon MSK)
+ I controlli di crittografia VPC applicano la crittografia a livello di applicazione per tutti i AWS servizi a cui si accede tramite. PrivateLink Tutto il traffico non crittografato a livello di applicazione viene eliminato dagli PrivateLink endpoint ospitati all'interno del VPC con controlli di crittografia in modalità Enforce.
### Limitazioni specifiche del servizio
**Limitazioni di Network Load Balancer**
Configurazione TLS: non è possibile utilizzare un listener TLS per affidare il lavoro di crittografia e decrittografia al sistema di bilanciamento del carico quando si applicano i controlli di crittografia sul VPC che lo contiene. È tuttavia possibile configurare gli obiettivi per eseguire la crittografia e la decrittografia TLS
**Redshift con provisioning e serverless**
I clienti non possono passare alla modalità Enforce su un VPC con un cluster/endpoint esistente. Per utilizzare VPC Encryption Controls con Redshift, è necessario ripristinare il cluster o lo spazio dei nomi da un'istantanea. Per Provisioned Clusters, crea un'istantanea del cluster Redshift esistente, quindi esegui il ripristino dalla snapshot utilizzando l'operazione di ripristino da snapshot del cluster. Per Serverless, crea un'istantanea del tuo namespace esistente e poi ripristina dalla snapshot utilizzando l'operazione di ripristino da snapshot sul tuo gruppo di lavoro serverless. Tieni presente che i controlli di crittografia VPC non possono essere abilitati su cluster o namespace esistenti senza eseguire l'istantanea e il processo di ripristino. Consulta la [documentazione di Amazon Redshift per la creazione](https://docs.aws.amazon.com/redshift/latest/mgmt/welcome.html) di snapshot.
**Amazon MSK (streaming gestito per Apache Kafka)**
Questa funzionalità è supportata nei nuovi cluster per 4.1 nel proprio VPC. I seguenti passaggi ti aiuteranno a utilizzare la crittografia VPC con MSK.
+ Il cliente abilita la crittografia VPC su un VPC senza altri cluster MSK
+ Il cliente crea un cluster con Kafka versione 4.1 e instancetype come M7g
### Limitazioni regionali e di zona
+ **Sottoreti di zona locale**: non supportate in modalità enforce, devono essere eliminate dal VPC
### Supporto per il peering VPC
Per garantire la crittografia in transito con peering VPC tra due VPCs, i due VPCs devono risiedere nella stessa regione e avere i controlli di crittografia attivati in modalità Enforce senza alcuna esclusione. È necessario creare un'esclusione di peering se si desidera peer di un VPC con crittografia applicata a un altro VPC che risiede in una regione diversa o non ha i controlli di crittografia abilitati in modalità di applicazione (senza esclusioni).
Se due VPCs sono in modalità di applicazione e si collegano tra loro, non è possibile modificare la modalità da imposizione a monitoraggio. È necessario creare prima un'esclusione di peering, prima di modificare la modalità VPC Encryption Controls per il monitoraggio.
### Supporto per la crittografia Transit Gateway
È necessario abilitare esplicitamente il supporto della crittografia su un Transit Gateway per crittografare il traffico tra utenti VPCs che hanno i controlli di crittografia attivati. L'attivazione della crittografia sul Transit Gateway esistente non interferisce con i flussi di traffico esistenti e la migrazione degli allegati VPC su corsie crittografate avverrà in modo semplice e automatico. Il traffico tra due VPCs in modalità enforce (senza esclusioni) tramite Transit Gateway attraversa corsie crittografate al 100%. Encryption on Transit Gateway consente inoltre di connetterne due VPCs che si trovano anche in modalità Encryption Controls diverse. È consigliabile utilizzarlo quando si desidera applicare i controlli di crittografia in un VPC collegato a un non-encryption-enforced VPC. In uno scenario del genere, tutto il traffico all'interno del VPC con crittografia applicata, incluso il traffico inter-VPC, è crittografato. Il traffico tra VPC è crittografato tra le risorse del VPC con crittografia applicata e il Transit Gateway. Inoltre, la crittografia dipende dalle risorse a cui viene indirizzato il traffico nel VPC non applicato e non è garantito che sia crittografata (poiché il VPC non è in modalità di imposizione). Tutti VPCs devono trovarsi nella stessa regione. (vedi i dettagli [qui](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-encryption-support.html)).
![\[Flusso di traffico tra VPCs paesi con stato di controllo della crittografia diverso\]](http://docs.aws.amazon.com/it_it/vpc/latest/userguide/images/vpc-enc-control-arch.png)
+ In questo diagramma, VPC 1 e VPC 2 dispongono di controlli di crittografia in modalità enforce VPC3 e sono collegati a VPC 4 che dispone di controlli di crittografia in esecuzione in modalità monitor.
+ Tutto il traffico tra e verrà VPC1 crittografato. VPC2 VPC3
+ Per approfondire, qualsiasi traffico tra una risorsa in VPC 1 e una risorsa in VPC 4 verrà crittografato fino al Transit Gateway utilizzando la crittografia offerta dall'hardware del sistema nitro. Oltre a ciò, lo stato di crittografia dipende dalla risorsa in VPC 4 e non è garantito che sia crittografato.
Per ulteriori dettagli sul supporto della crittografia Transit Gateway, consulta [la documentazione del gateway di transito](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-encryption-support.html).
## Prezzi
Per informazioni sui prezzi, consulta i prezzi di [Amazon VPC.](https://aws.amazon.com/vpc/pricing/)
## AWS CLI riferimento ai comandi
### Installazione e configurazione
+ [aws ec2 create-vpc-encryption-control](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpc-encryption-control.html)
+ [aws ec2 modify-vpc-encryption-control](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-encryption-control.html)
+ [aws ec2 tgw modify-transit-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-transit-gateway.html)
### Monitoraggio e risoluzione dei problemi
+ [aws ec2 describe-vpc-encryption-controls](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpc-encryption-controls.html)
+ [aws get-vpc-resources-blocking ec2 - applicazione della crittografia](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-vpc-resources-blocking-encryption-enforcement.html)
+ [aws ec2 create-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-flow-logs.html)
+ [aws ec2 describe-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-flow-logs.html)
+ [interrogazione di aws logs](https://docs.aws.amazon.com/cli/latest/reference/logs/query.html)
### Pulizia
+ [aws ec2 delete-vpc-encryption-control](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpc-encryption-control.html)
## Risorse aggiuntive
Per istruzioni dettagliate sulla configurazione, consulta il blog [Introduzione ai controlli di crittografia VPC: applica la crittografia in transito all'interno e all'interno di una regione VPCs ](https://aws.amazon.com/blogs/aws/introducing-vpc-encryption-controls-enforce-encryption-in-transit-within-and-across-vpcs-in-a-region).
Per informazioni più dettagliate sulle API, consulta la Guida di riferimento per le [API EC2](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/Welcome.html).
# Identity and Access Management per Amazon VPC
AWS Identity and Access Management (IAM) è uno strumento Servizio AWS che aiuta un amministratore a controllare in modo sicuro l'accesso alle AWS risorse. Gli amministratori IAM controllano chi è *autenticato* (accesso effettuato) e *autorizzato* (dispone di autorizzazioni) a utilizzare risorse Amazon VPC. IAM è un software Servizio AWS che puoi utilizzare senza costi aggiuntivi.
**Topics**
+ [Destinatari](#security_iam_audience)
+ [Autenticazione con identità](#security_iam_authentication)
+ [Gestione degli accessi tramite le policy](#security_iam_access-manage)
+ [Come funziona Amazon VPC con IAM](security_iam_service-with-iam.md)
+ [Esempi delle policy di Amazon VPC](vpc-policy-examples.md)
+ [Risoluzione dei problemi relativi all'identità e all'accesso di Amazon VPC](security_iam_troubleshoot.md)
+ [AWS politiche gestite per Amazon Virtual Private Cloud](security-iam-awsmanpol.md)
+ [Utilizzo di ruoli collegati ai servizi per VPC](using-service-linked-roles.md)
## Destinatari
Il modo in cui utilizzi AWS Identity and Access Management (IAM) varia a seconda del lavoro svolto in Amazon VPC.
**Utente del servizio** - Se utilizzi il servizio Amazon VPC per eseguire il tuo lavoro, l'amministratore fornisce le credenziali e le autorizzazioni necessarie. All'aumentare del numero di caratteristiche Amazon VPC utilizzate per il lavoro, potrebbero essere necessarie ulteriori autorizzazioni. La comprensione della gestione dell'accesso consente di richiedere le autorizzazioni corrette all'amministratore. Se non riesci ad accedere a una funzionalità in Amazon VPC, consulta [Risoluzione dei problemi relativi all'identità e all'accesso di Amazon VPC](security_iam_troubleshoot.md).
**Amministratore del servizio** - Se sei il responsabile delle risorse Amazon VPC presso la tua azienda, probabilmente disponi dell'accesso completo ai servizi che utilizzi. Il tuo compito è determinare le caratteristiche e le risorse Amazon VPC a cui i dipendenti devono accedere. Devi quindi inviare richieste all'amministratore IAM per la modifica delle autorizzazioni degli utenti del servizio. Esamina le informazioni contenute in questa pagina per comprendere i concetti di base relativi a IAM. Per ulteriori informazioni su come la tua azienda può utilizzare IAM con Amazon VPC, consulta [Come funziona Amazon VPC con IAM](security_iam_service-with-iam.md).
**Amministratore IAM**: gli amministratori IAM potrebbero essere interessati a ottenere informazioni dettagliate su come scrivere policy per gestire l'accesso ad Amazon VPC. Per visualizzare le policy di esempio, consulta [Esempi delle policy di Amazon VPC](vpc-policy-examples.md).
## Autenticazione con identità
L'autenticazione è il modo in cui accedi AWS utilizzando le tue credenziali di identità. Devi autenticarti come utente IAM o assumendo un ruolo IAM. Utente root dell'account AWS
Puoi accedere come identità federata utilizzando credenziali provenienti da una fonte di identità come AWS IAM Identity Center (IAM Identity Center), autenticazione Single Sign-On o credenziali. Google/Facebook Per ulteriori informazioni sull’accesso, consulta [Come accedere all’ Account AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) nella *Guida per l’utente di Accedi ad AWS *.
Per l'accesso programmatico, AWS fornisce un SDK e una CLI per firmare crittograficamente le richieste. Per ulteriori informazioni, consulta [AWS Signature Version 4 per le richieste API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) nella *Guida per l’utente di IAM*.
### Account AWS utente root
Quando si crea un Account AWS, si inizia con un'identità di accesso denominata *utente Account AWS root* che ha accesso completo a tutte Servizi AWS le risorse. Consigliamo vivamente di non utilizzare l’utente root per le attività quotidiane. Per le attività che richiedono le credenziali come utente root, consulta [Attività che richiedono le credenziali dell’utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) nella *Guida per l’utente di IAM*.
### Utenti e gruppi IAM
Un *[utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* è una identità che dispone di autorizzazioni specifiche per una singola persona o applicazione. Ti consigliamo di utilizzare credenziali temporanee invece di utenti IAM con credenziali a lungo termine. Per ulteriori informazioni, consulta [Richiedere agli utenti umani di utilizzare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) per l'*utente IAM*.
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) specifica una raccolta di utenti IAM e semplifica la gestione delle autorizzazioni per gestire gruppi di utenti di grandi dimensioni. Per ulteriori informazioni, consulta [Casi d’uso per utenti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) nella *Guida per l’utente di IAM*.
### Ruoli IAM
Un *[ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* è un’identità con autorizzazioni specifiche che fornisce credenziali temporanee. Puoi assumere un ruolo [passando da un ruolo utente a un ruolo IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o chiamando un'operazione AWS CLI o AWS API. Per ulteriori informazioni, consulta [Metodi per assumere un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) nella *Guida per l’utente di IAM*.
I ruoli IAM sono utili per l’accesso degli utenti federati, le autorizzazioni utente IAM temporanee, l’accesso multi-account, l’accesso multi-servizio e le applicazioni in esecuzione su Amazon EC2. Per maggiori informazioni, consultare [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
## Gestione degli accessi tramite le policy
Puoi controllare l'accesso AWS creando policy e associandole a AWS identità o risorse. Una policy definisce le autorizzazioni quando è associata a un'identità o a una risorsa. AWS valuta queste politiche quando un preside effettua una richiesta. La maggior parte delle politiche viene archiviata AWS come documenti JSON. Per maggiori informazioni sui documenti delle policy JSON, consulta [Panoramica delle policy JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) nella *Guida per l’utente IAM*.
Utilizzando le policy, gli amministratori specificano chi ha accesso a cosa definendo quale **principale** può eseguire **azioni** su quali **risorse** e in quali **condizioni**.
Per impostazione predefinita, utenti e ruoli non dispongono di autorizzazioni. Un amministratore IAM crea le policy IAM e le aggiunge ai ruoli, che gli utenti possono quindi assumere. Le policy IAM definiscono le autorizzazioni indipendentemente dal metodo utilizzato per eseguirle.
### Policy basate sull’identità
Le policy basate su identità sono documenti di policy di autorizzazione JSON che è possibile collegare a un’identità (utente, gruppo o ruolo). Tali policy controllano le operazioni autorizzate per l’identità, nonché le risorse e le condizioni in cui possono essere eseguite. Per informazioni su come creare una policy basata su identità, consultare [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente IAM*.
Le policy basate su identità possono essere *policy in linea* (con embedding direttamente in una singola identità) o *policy gestite* (policy autonome collegate a più identità). Per informazioni su come scegliere tra una policy gestita o una policy inline, consulta [Scegliere tra policy gestite e policy in linea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) nella *Guida per l’utente di IAM*.
### Policy basate sulle risorse
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Gli esempi includono le *policy di trust dei ruoli* IAM e le *policy dei bucket* di Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Le policy basate sulle risorse sono policy inline che si trovano in tale servizio. Non è possibile utilizzare le policy AWS gestite di IAM in una policy basata sulle risorse.
### Elenchi di controllo degli accessi () ACLs
Le liste di controllo degli accessi (ACLs) controllano quali principali (membri dell'account, utenti o ruoli) dispongono delle autorizzazioni per accedere a una risorsa. ACLs sono simili alle politiche basate sulle risorse, sebbene non utilizzino il formato del documento di policy JSON.
Amazon S3 e Amazon VPC sono esempi di servizi che supportano. AWS WAF ACLs Per ulteriori informazioni ACLs, consulta la [panoramica della lista di controllo degli accessi (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) nella *Amazon Simple Storage Service Developer Guide*.
### Altri tipi di policy
AWS supporta tipi di policy aggiuntivi che possono impostare le autorizzazioni massime concesse dai tipi di policy più comuni:
+ **Limiti delle autorizzazioni**: imposta il numero massimo di autorizzazioni che una policy basata su identità ha la possibilità di concedere a un’entità IAM. Per ulteriori informazioni, consulta [Limiti delle autorizzazioni per le entità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) nella *Guida per l’utente di IAM*.
+ **Politiche di controllo del servizio (SCPs)**: specificano le autorizzazioni massime per un'organizzazione o un'unità organizzativa in. AWS Organizations Per ulteriori informazioni, consultare [Policy di controllo dei servizi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) nella *Guida per l’utente di AWS Organizations *.
+ **Politiche di controllo delle risorse (RCPs)**: imposta le autorizzazioni massime disponibili per le risorse nei tuoi account. Per ulteriori informazioni, consulta [Politiche di controllo delle risorse (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) nella *Guida per l'AWS Organizations utente*.
+ **Policy di sessione**: policy avanzate passate come parametro quando si crea una sessione temporanea per un ruolo o un utente federato. Per maggiori informazioni, consultare [Policy di sessione](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) nella *Guida per l’utente IAM*.
### Più tipi di policy
Quando a una richiesta si applicano più tipi di policy, le autorizzazioni risultanti sono più complicate da comprendere. Per scoprire come si AWS determina se consentire o meno una richiesta quando sono coinvolti più tipi di policy, consulta [Logica di valutazione delle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) nella *IAM User Guide*.
# Come funziona Amazon VPC con IAM
Prima di utilizzare IAM per gestire l'accesso ad Amazon VPC, è necessario comprendere quali funzioni IAM sono disponibili per l'uso con Amazon VPC. Per avere una visione di alto livello di come Amazon VPC e AWS altri servizi funzionano con IAM, [AWS consulta i servizi che funzionano con](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) IAM nella IAM User *Guide*.
**Topics**
+ [Azioni](#security_iam_service-with-iam-id-based-policies-actions)
+ [Resources](#security_iam_service-with-iam-id-based-policies-resources)
+ [Chiavi di condizione](#security_iam_service-with-iam-id-based-policies-conditionkeys)
+ [Policy basate sulle risorse di Amazon VPC](#security_iam_service-with-iam-resource-based-policies)
+ [Autorizzazione basata su tag](#security_iam_service-with-iam-tags)
+ [Ruoli IAM](#security_iam_service-with-iam-roles)
Con le policy basate sull'identità IAM, è possibile specificare azioni consentite o negate. Per alcune azioni, è possibile specificare le risorse e le condizioni in cui le azioni sono consentite o negate. Amazon VPC supporta specifiche operazioni, risorse e chiavi di condizione. Per informazioni su tutti gli elementi utilizzati in una policy JSON, consulta [Documentazione di riferimento agli elementi delle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l'utente IAM*.
## Azioni
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L'elemento `Action` di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso in una policy. L'operazione viene utilizzata in una policy per concedere le autorizzazioni di eseguire l'operazione associata.
Amazon VPC condivide il suo spazio dei nomi API con Amazon EC2. Le operazioni delle policy in Amazon VPC utilizzano il seguente prefisso prima dell'operazione: `ec2:`. Ad esempio, per concedere a un utente l'autorizzazione a creare un VPC utilizzando l'operazione API `CreateVpc`, concedi l'accesso all'operazione `ec2:CreateVpc`. Le istruzioni della policy devono includere un elemento `Action` o `NotAction`.
Per specificare più operazioni in una singola istruzione, separarle con virgole, come illustrato nell'esempio seguente.
```
"Action": [
"ec2:action1",
"ec2:action2"
]
```
Puoi specificare più operazioni tramite caratteri jolly (\$1). Ad esempio, per specificare tutte le operazioni che iniziano con la parola `Describe`, includi la seguente operazione.
```
"Action": "ec2:Describe*"
```
Per visualizzare un elenco di operazioni di Amazon EC2, consulta [Operazioni definite da Amazon EC2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html#amazonec2-actions-as-permissions) nella *Guida di riferimento per l'autorizzazione al servizio*.
## Resources
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento JSON `Resource` della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Come best practice, specifica una risorsa utilizzando il suo [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Per le azioni che non supportano le autorizzazioni a livello di risorsa, si utilizza un carattere jolly (\$1) per indicare che l’istruzione si applica a tutte le risorse.
```
"Resource": "*"
```
La risorsa VPC ha l'ARN mostrato nell'esempio seguente.
```
arn:${Partition}:ec2:${Region}:${Account}:vpc/${VpcId}
```
Ad esempio, per specificare il VPC `vpc-1234567890abcdef0` nell'istruzione, utilizzare l'ARN mostrato nell'esempio seguente.
```
"Resource": "arn:aws:ec2:us-east-1:123456789012:vpc/vpc-1234567890abcdef0"
```
Per specificare tutti VPCs in una regione specifica che appartengono a un account specifico, usa il carattere jolly (\$1).
```
"Resource": "arn:aws:ec2:us-east-1:123456789012:vpc/*"
```
Alcune operazioni Amazon VPC, ad esempio quelle per la creazione di risorse, non possono essere eseguite su una risorsa specifica. In questi casi, è necessario utilizzare il carattere jolly (\$1).
```
"Resource": "*"
```
Molte operazioni API di Amazon EC2 coinvolgono più risorse. Per specificare più risorse in un'unica istruzione, separale ARNs con virgole.
```
"Resource": [
"resource1",
"resource2"
]
```
*Per visualizzare un elenco dei tipi di risorse Amazon VPC e relativi ARNs, consulta Tipi di [risorse definiti da Amazon EC2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html#amazonec2-resources-for-iam-policies) nel Service Authorization Reference.*
## Chiavi di condizione
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento `Condition` specifica quando le istruzioni vengono eseguite in base a criteri definiti. È possibile compilare espressioni condizionali che utilizzano [operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di [contesto delle condizioni AWS globali nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*utente IAM*.
Tutte le operazioni Amazon EC2 supportano le chiavi di condizione `aws:RequestedRegion` e `ec2:Region`. Per ulteriori informazioni, consulta [Esempio: limitazione dell'accesso a una regione specifica](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ExamplePolicies_EC2.html#iam-example-region).
Amazon VPC definisce il proprio set di chiavi di condizione e supporta anche l'uso di alcune chiavi di condizione globali. Per visualizzare un elenco di chiavi di condizione Amazon VPC, consulta nella [Chiavi di condizione per Amazon EC2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html#amazonec2-policy-keys) nella *Guida di riferimento per l'autorizzazione al servizio*. Per scoprire con quali azioni e risorse puoi utilizzare una chiave di condizione, consulta [Operazioni definite da Amazon EC2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html#amazonec2-actions-as-permissions).
## Policy basate sulle risorse di Amazon VPC
Le policy basate su risorse sono documenti di policy JSON che specificano le operazioni che possono essere eseguite da un'entità principale specificata sulla risorsa Amazon VPC e in base a quali condizioni.
Per consentire l'accesso a più account, è possibile specificare un intero account o entità IAM in un altro account come [entità principale in una policy basata su risorse](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). L’aggiunta di un’entità principale multi-account a una policy basata sulle risorse rappresenta solo una parte della relazione di trust. Quando il principale e la risorsa si trovano in AWS account diversi, è inoltre necessario concedere all'entità principale l'autorizzazione ad accedere alla risorsa. Concedi l'autorizzazione collegando una policy basata sull'identità all'entità. Tuttavia, se una policy basata su risorse concede l'accesso a un'entità principale nello stesso account, non sono richieste ulteriori policy basate su identità. Per maggiori informazioni, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente di IAM*.
## Autorizzazione basata su tag
Puoi collegare i tag alle risorse Amazon VPC o passarli in una richiesta. Per controllare l'accesso basato su tag, fornisci informazioni sui tag nell'[elemento condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di una policy utilizzando le chiavi di condizione. Per ulteriori informazioni, consulta [Grant permission to tag resources during creation](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/supported-iam-actions-tagging.html) nella *Guida per l’utente di Amazon EC2*.
Per visualizzare un esempio di policy basata su identità per limitare l'accesso a una risorsa in base ai tag di tale risorsa, consulta [Avvio di istanze in un VPC specifico](vpc-policy-examples.md#subnet-ami-example-iam).
## Ruoli IAM
Un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) è un'entità all'interno dell'utente Account AWS che dispone di autorizzazioni specifiche.
### Utilizzo di credenziali temporanee
È possibile utilizzare credenziali temporanee per effettuare l'accesso con la federazione, assumere un ruolo IAM o un ruolo multi-account. Puoi ottenere credenziali di sicurezza temporanee chiamando operazioni AWS STS API come [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)o. [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)
Amazon VPC supporta l'uso di credenziali temporanee.
### Ruoli collegati ai servizi
[I ruoli collegati ai](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) AWS servizi consentono ai servizi di accedere alle risorse di altri servizi per completare un'azione per conto dell'utente. I ruoli collegati ai servizi sono visualizzati nell'account IAM e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati ai servizi, ma non può modificarle.
[I gateway di transito](https://docs.aws.amazon.com/vpc/latest/tgw/service-linked-roles.html) supportano i ruoli collegati al servizio.
### Ruoli dei servizi
Questa funzionalità consente a un servizio di assumere un [ruolo di servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) per conto dell'utente. Questo ruolo consente al servizio di accedere alle risorse in altri servizi per completare un'azione per conto dell'utente. I ruoli dei servizi sono visualizzati nell'account IAM e sono di proprietà dell'account. Ciò significa che un amministratore IAM può modificare le autorizzazioni per questo ruolo. Tuttavia, questo potrebbe pregiudicare la funzionalità del servizio.
Amazon VPC supporta i ruoli di servizio per i log di flusso. Quando si crea un log di flusso, è necessario scegliere un ruolo che consenta al servizio di log di flusso di accedere a Logs. CloudWatch Per ulteriori informazioni, consulta [Ruolo IAM per la pubblicazione dei log di flusso su Logs CloudWatch](flow-logs-iam-role.md).
# Esempi delle policy di Amazon VPC
Per impostazione predefinita, i ruoli IAM non dispongono dell'autorizzazione per creare o modificare risorse del VPC. Inoltre, non possono eseguire attività utilizzando l'API Console di gestione AWS AWS CLI, o AWS . Un amministratore IAM deve creare policy IAM che concedono ai ruoli l'autorizzazione per eseguire operazioni API specifiche sulle risorse specificate di cui hanno bisogno. L'amministratore deve quindi collegare queste policy ai ruoli IAM che richiedono tali autorizzazioni.
Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta [Creazione di policy nella scheda JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) nella *Guida per l'utente di IAM*.
**Topics**
+ [Best practice per le policy](#security_iam_service-with-iam-policy-best-practices)
+ [Utilizzo della console Amazon VPC](#security_iam_id-based-policy-examples-console)
+ [Creare un VPC con una sottorete pubblica](#vpc-public-subnet-iam)
+ [Modifica ed eliminazione delle risorse VPC](#modify-vpc-resources-iam)
+ [Gestione dei gruppi di sicurezza](#vpc-security-groups-iam)
+ [Gestione delle regole del gruppo di sicurezza](#vpc-security-group-rules-iam)
+ [Avvio di istanze in una sottorete specifica](#subnet-sg-example-iam)
+ [Avvio di istanze in un VPC specifico](#subnet-ami-example-iam)
+ [Blocca l'accesso pubblico alle sottoreti e alle VPCs sottoreti](#vpc-bpa-example-iam)
+ [Esempi aggiuntivi di policy di Amazon VPC](#security-iam-additional-examples)
## Best practice per le policy
Le policy basate su identità determinano se qualcuno può creare, accedere o eliminare risorse Amazon VPC nell'account. Queste azioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
+ **Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni** a utenti e carichi di lavoro, utilizza le *politiche AWS gestite* che concedono le autorizzazioni per molti casi d'uso comuni. Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o [Policy gestite da AWS per le funzioni dei processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
+ **Applicazione delle autorizzazioni con privilegio minimo** - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come *autorizzazioni con privilegio minimo*. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l’utente di IAM*.
+ **Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso** - Per limitare l’accesso ad azioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per maggiori informazioni, consultare la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l’utente di IAM*.
+ **Utilizzo dello strumento di analisi degli accessi IAM per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali** - Lo strumento di analisi degli accessi IAM convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio (JSON) della policy IAM e alle best practice di IAM. Lo strumento di analisi degli accessi IAM offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consultare [Convalida delle policy per il Sistema di analisi degli accessi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) nella *Guida per l’utente di IAM*.
+ **Richiedi l'autenticazione a più fattori (MFA**): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consultare [Protezione dell’accesso API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) nella *Guida per l’utente di IAM*.
Per maggiori informazioni sulle best practice in IAM, consulta [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l’utente di IAM*.
## Utilizzo della console Amazon VPC
Per accedere alla console Amazon VPC, è necessario disporre di un set di autorizzazioni minimo. Queste autorizzazioni devono consentirti di elencare e visualizzare i dettagli sulle risorse Amazon VPC nel AWS tuo account. Se crei una policy basata su identità più restrittiva rispetto alle autorizzazioni minime richieste, la console non funzionerà nel modo previsto per le entità (ruoli IAM) associate a tale policy.
La seguente policy concede ai ruoli l'autorizzazione per elencare le risorse nella console VPC, ma non per crearle, aggiornarle o eliminarle.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeAccountAttributes",
"ec2:DescribeAddresses",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeClassicLinkInstances",
"ec2:DescribeClientVpnEndpoints",
"ec2:DescribeCustomerGateways",
"ec2:DescribeDhcpOptions",
"ec2:DescribeEgressOnlyInternetGateways",
"ec2:DescribeFlowLogs",
"ec2:DescribeInternetGateways",
"ec2:DescribeManagedPrefixLists",
"ec2:DescribeMovingAddresses",
"ec2:DescribeNatGateways",
"ec2:DescribeNetworkAcls",
"ec2:DescribeNetworkInterfaceAttribute",
"ec2:DescribeNetworkInterfacePermissions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribePrefixLists",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroupReferences",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSecurityGroupRules",
"ec2:DescribeStaleSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeTags",
"ec2:DescribeTrafficMirrorFilters",
"ec2:DescribeTrafficMirrorSessions",
"ec2:DescribeTrafficMirrorTargets",
"ec2:DescribeTransitGateways",
"ec2:DescribeTransitGatewayVpcAttachments",
"ec2:DescribeTransitGatewayRouteTables",
"ec2:DescribeVpcAttribute",
"ec2:DescribeVpcClassicLink",
"ec2:DescribeVpcClassicLinkDnsSupport",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcEndpointConnectionNotifications",
"ec2:DescribeVpcEndpointConnections",
"ec2:DescribeVpcEndpointServiceConfigurations",
"ec2:DescribeVpcEndpointServicePermissions",
"ec2:DescribeVpcEndpointServices",
"ec2:DescribeVpcPeeringConnections",
"ec2:DescribeVpcs",
"ec2:DescribeVpnConnections",
"ec2:DescribeVpnGateways",
"ec2:GetManagedPrefixListAssociations",
"ec2:GetManagedPrefixListEntries"
],
"Resource": "*"
}
]
}
```
------
Non è necessario consentire autorizzazioni minime da console per i ruoli che effettuano chiamate solo verso AWS CLI o l'API. AWS Al contrario, concedi l'accesso solo alle operazioni che soddisfano l'operazione API che il ruolo deve eseguire.
## Creare un VPC con una sottorete pubblica
L'esempio seguente abilita la creazione di ruoli VPCs, sottoreti, tabelle di routing e gateway Internet. Gli utenti possono anche collegare un gateway Internet a un VPC e creare route nelle tabelle di instradamento. L'operazione `ec2:ModifyVpcAttribute` consente ai ruoli di abilitare i nomi host DNS per il VPC in modo che ogni istanza lanciata in un VPC riceva un nome host DNS.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"ec2:CreateVpc",
"ec2:CreateSubnet",
"ec2:DescribeAvailabilityZones",
"ec2:CreateRouteTable",
"ec2:CreateRoute",
"ec2:CreateInternetGateway",
"ec2:AttachInternetGateway",
"ec2:AssociateRouteTable",
"ec2:ModifyVpcAttribute"
],
"Resource": "*"
}
]
}
```
------
La policy precedente consente inoltre ai ruoli di creare un VPC nella console Amazon VPC.
## Modifica ed eliminazione delle risorse VPC
È possibile che sia necessario controllare le risorse VPC che i ruoli possono modificare o eliminare. Ad esempio, la seguente policy consente ai ruoli di utilizzare ed eliminare le tabelle di instradamento che hanno il tag `Purpose=Test`. La policy specifica inoltre che i ruoli possono eliminare solo i gateway Internet che hanno il tag `Purpose=Test`. I ruoli non possono utilizzare tabelle di instradamento o gateway Internet che non hanno questo tag.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:DeleteInternetGateway",
"Resource": "arn:aws:ec2:*:*:internet-gateway/*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/Purpose": "Test"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DeleteRouteTable",
"ec2:CreateRoute",
"ec2:ReplaceRoute",
"ec2:DeleteRoute"
],
"Resource": "arn:aws:ec2:*:*:route-table/*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/Purpose": "Test"
}
}
}
]
}
```
------
## Gestione dei gruppi di sicurezza
La policy seguente consente ai ruoli di gestire i gruppi di sicurezza. La prima istruzione consente ai ruoli di eliminare qualsiasi gruppo di sicurezza con il tag `Stack=test` e gestire le regole in entrata e in uscita per tutti i gruppi di sicurezza con il tag `Stack=test`. La seconda istruzione richiede ai ruoli di taggare tutti i gruppi di sicurezza creati con il tag `Stack=Test`. La terza istruzione consente ai ruoli di creare tag durante la creazione di un gruppo di sicurezza. La quarta istruzione consente ai ruoli di visualizzare qualsiasi gruppo di sicurezza e regola del gruppo di sicurezza. La quinta istruzione consente ai ruoli di creare un gruppo di sicurezza in un VPC.
**Nota**
Questa politica non può essere utilizzata dal AWS CloudFormation servizio per creare un gruppo di sicurezza con i tag richiesti. Se rimuovi la condizione sull'azione `ec2:CreateSecurityGroup` che richiede il tag, la policy funzionerà.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:RevokeSecurityGroupIngress",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:UpdateSecurityGroupRuleDescriptionsEgress",
"ec2:RevokeSecurityGroupEgress",
"ec2:DeleteSecurityGroup",
"ec2:ModifySecurityGroupRules",
"ec2:UpdateSecurityGroupRuleDescriptionsIngress"
],
"Resource": "arn:aws:ec2:*:*:security-group/*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/Stack": "test"
}
}
},
{
"Effect": "Allow",
"Action": "ec2:CreateSecurityGroup",
"Resource": "arn:aws:ec2:*:*:security-group/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Stack": "test"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": "Stack"
}
}
},
{
"Effect": "Allow",
"Action": "ec2:CreateTags",
"Resource": "arn:aws:ec2:*:*:security-group/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateSecurityGroup"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeSecurityGroupRules",
"ec2:DescribeVpcs",
"ec2:DescribeSecurityGroups"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "ec2:CreateSecurityGroup",
"Resource": "arn:aws:ec2:*:*:vpc/*"
}
]
}
```
------
Per permettere ai ruoli di modificare il gruppo di sicurezza associato a un'istanza, aggiungi l'operazione `ec2:ModifyInstanceAttribute` alla policy.
Per permettere ai ruoli di modificare i gruppi di sicurezza per un'interfaccia di rete, aggiungi l'operazione `ec2:ModifyNetworkInterfaceAttribute` alla policy.
## Gestione delle regole del gruppo di sicurezza
La seguente policy concede ai ruoli l'autorizzazione per visualizzare tutti i gruppi di sicurezza e le regole del gruppo di sicurezza, per aggiungere e rimuovere le regole in entrata e in uscita per i gruppi di sicurezza per un VPC specifico e per modificare le descrizioni delle regole per il VPC specificato. La prima istruzione utilizza la chiave di condizione `ec2:Vpc` per determinare l'ambito delle autorizzazioni di un VPC specifico.
La seconda istruzione concede ai ruoli l'autorizzazione per descrivere tutti i gruppi di sicurezza, le regole dei gruppi di sicurezza e i tag. In questo modo i ruoli possono visualizzare le regole dei gruppi di sicurezza per modificarle.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:AuthorizeSecurityGroupIngress",
"ec2:RevokeSecurityGroupIngress",
"ec2:UpdateSecurityGroupRuleDescriptionsIngress",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:RevokeSecurityGroupEgress",
"ec2:UpdateSecurityGroupRuleDescriptionsEgress",
"ec2:ModifySecurityGroupRules"
],
"Resource": "arn:aws:ec2:us-east-1:123456789012:security-group/*",
"Condition": {
"ArnEquals": {
"ec2:Vpc": "arn:aws:ec2:us-east-1:123456789012:vpc/vpc-1234567890abcdef0"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeSecurityGroups",
"ec2:DescribeSecurityGroupRules",
"ec2:DescribeTags"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:ModifySecurityGroupRules"
],
"Resource": "arn:aws:ec2:us-east-1:123456789012:security-group-rule/*"
}
]
}
```
------
## Avvio di istanze in una sottorete specifica
La seguente policy concede ai ruoli le autorizzazioni per avviare le istanze in una sottorete specifica e utilizzare un gruppo di sicurezza specifico nella richiesta. La policy esegue questa operazione specificando l'ARN per la sottorete e l'ARN per il gruppo di sicurezza. Se gli utenti provano ad avviare un'istanza in una sottorete diversa o utilizzando un gruppo di sicurezza diverso, la richiesta non va a buon fine (a meno che un'altra policy o istruzione non conceda ai ruoli l'autorizzazione appropriata).
La policy concede anche l'autorizzazione per utilizzare la risorsa dell'interfaccia di rete. Quando viene avviata in una sottorete, la richiesta `RunInstances` crea un'interfaccia di rete principale per impostazione predefinita, pertanto il ruolo necessita dell'autorizzazione per creare questa risorsa quando avvia l'istanza.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:RunInstances",
"Resource": [
"arn:aws:ec2:us-east-1::image/ami-*",
"arn:aws:ec2:us-east-1:123456789012:instance/*",
"arn:aws:ec2:us-east-1:123456789012:subnet/subnet-1234567890abcdef0",
"arn:aws:ec2:us-east-1:123456789012:network-interface/*",
"arn:aws:ec2:us-east-1:123456789012:volume/*",
"arn:aws:ec2:us-east-1:123456789012:key-pair/*",
"arn:aws:ec2:us-east-1:123456789012:security-group/sg-0abcdef1234567890"
]
}
]
}
```
------
## Avvio di istanze in un VPC specifico
La seguente policy concede ai ruoli l'autorizzazione per avviare istanze in qualsiasi sottorete all'interno di un VPC specifico. La policy fa questo applicando una chiave di condizione (`ec2:Vpc`) alla risorsa di sottorete.
La politica concede inoltre ai ruoli il permesso di avviare istanze utilizzando solo AMIs quelle con il tag "»`department=dev`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:RunInstances",
"Resource": "arn:aws:ec2:us-east-1:123456789012:subnet/*",
"Condition": {
"ArnEquals": {
"ec2:Vpc": "arn:aws:ec2:us-east-1:123456789012:vpc/vpc-1234567890abcdef0"
}
}
},
{
"Effect": "Allow",
"Action": "ec2:RunInstances",
"Resource": "arn:aws:ec2:us-east-1::image/ami-*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/department": "dev"
}
}
},
{
"Effect": "Allow",
"Action": "ec2:RunInstances",
"Resource": [
"arn:aws:ec2:us-east-1:123456789012:instance/*",
"arn:aws:ec2:us-east-1:123456789012:volume/*",
"arn:aws:ec2:us-east-1:123456789012:network-interface/*",
"arn:aws:ec2:us-east-1:123456789012:key-pair/*",
"arn:aws:ec2:us-east-1:123456789012:security-group/*"
]
}
]
}
```
------
## Blocca l'accesso pubblico alle sottoreti e alle VPCs sottoreti
I seguenti esempi di policy concedono ai ruoli l'autorizzazione a utilizzare la [funzionalità VPC Block Public Access (BPA)](security-vpc-bpa.md) per bloccare l'accesso pubblico alle risorse e alle sottoreti. VPCs
Esempio 1: consenti l'accesso in sola lettura alle impostazioni a livello di account BPA VPC e alle esclusioni BPA VPC.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VPCBPAReadOnlyAccess",
"Action": [
"ec2:DescribeVpcBlockPublicAccessOptions",
"ec2:DescribeVpcBlockPublicAccessExclusions"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
Esempio 2: consenti l'accesso completo in lettura e scrittura alle impostazioni a livello di account BPA VPC e alle esclusioni BPA VPC.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VPCBPAFullAccess",
"Action": [
"ec2:DescribeVpcBlockPublicAccessOptions",
"ec2:DescribeVpcBlockPublicAccessExclusions",
"ec2:ModifyVpcBlockPublicAccessOptions",
"ec2:CreateVpcBlockPublicAccessExclusion",
"ec2:ModifyVpcBlockPublicAccessExclusion",
"ec2:DeleteVpcBlockPublicAccessExclusion"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
Esempio 3 - Consenti l'accesso a tutti gli EC2 APIs tranne la modifica delle impostazioni VPC BPA e la creazione di esclusioni.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EC2FullAccess",
"Action": [
"ec2:*"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Sid": "VPCBPAPartialAccess",
"Action": [
"ec2:ModifyVpcBlockPublicAccessOptions",
"ec2:CreateVpcBlockPublicAccessExclusion"
],
"Effect": "Deny",
"Resource": "*"
}
]
}
```
------
## Esempi aggiuntivi di policy di Amazon VPC
Puoi trovare ulteriori esempi di policy IAM relative ad Amazon VPC nella seguente documentazione:
+ [Elenchi di prefissi gestiti](managed-prefix-lists.md#managed-prefix-lists-iam)
+ [Mirroring del traffico](https://docs.aws.amazon.com/vpc/latest/mirroring/traffic-mirroring-security.html)
+ [Gateway di transito](https://docs.aws.amazon.com/vpc/latest/tgw/transit-gateway-authentication-access-control.html#tgw-example-iam-policies)
+ [Endpoint VPC e servizi per endpoint VPC (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/privatelink/security_iam_id-based-policy-examples.html)
+ [Peering VPC](https://docs.aws.amazon.com/vpc/latest/peering/security-iam.html)
# Risoluzione dei problemi relativi all'identità e all'accesso di Amazon VPC
Utilizza le informazioni seguenti per diagnosticare e risolvere i problemi comuni che possono verificarsi durante l'utilizzo di Amazon VPC e IAM.
**Topics**
+ [Non sono autorizzato a eseguire un'operazione in Amazon VPC](#security_iam_troubleshoot-no-permissions)
+ [Non sono autorizzato a eseguire iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Voglio consentire a persone esterne al mio AWS account di accedere alle mie risorse Amazon VPC](#security_iam_troubleshoot-cross-account-access)
## Non sono autorizzato a eseguire un'operazione in Amazon VPC
Se ti Console di gestione AWS dice che non sei autorizzato a eseguire un'azione, devi contattare l'amministratore per ricevere assistenza. L'amministratore è colui che ti ha fornito le credenziali di accesso.
Il seguente errore di esempio si verifica quando l'utente IAM `mateojackson` prova a utilizzare la console per visualizzare i dettagli relativi a una sottorete ma appartiene a un ruolo IAM che non dispone delle autorizzazioni `ec2:DescribeSubnets`.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: ec2:DescribeSubnets on resource: subnet-id
```
In questo caso, Mateo richiede al suo amministratore di aggiornare le sue policy per poter accedere alla sottorete.
## Non sono autorizzato a eseguire iam: PassRole
Se ricevi un errore che indica che non sei autorizzato a eseguire l'operazione `iam:PassRole`, per poter passare un ruolo ad Amazon VPC dovrai aggiornare le policy.
Alcuni Servizi AWS consentono di passare un ruolo esistente a quel servizio invece di creare un nuovo ruolo di servizio o un ruolo collegato al servizio. Per eseguire questa operazione, è necessario disporre delle autorizzazioni per trasmettere il ruolo al servizio.
L'errore di esempio seguente si verifica quando un utente IAM denominato `marymajor` cerca di utilizzare la console per eseguire un'operazione in Amazon VPC. Tuttavia, l’azione richiede che il servizio disponga delle autorizzazioni concesse da un ruolo di servizio. Mary non dispone delle autorizzazioni per trasmettere il ruolo al servizio.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In questo caso, le policy di Mary devono essere aggiornate per poter eseguire l’operazione `iam:PassRole`.
Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.
## Voglio consentire a persone esterne al mio AWS account di accedere alle mie risorse Amazon VPC
È possibile creare un ruolo con il quale utenti in altri account o persone esterne all’organizzazione possono accedere alle tue risorse. È possibile specificare chi è attendibile per l’assunzione del ruolo. Per i servizi che supportano politiche basate sulle risorse o liste di controllo degli accessi (ACLs), puoi utilizzare tali policy per consentire alle persone di accedere alle tue risorse.
Per maggiori informazioni, consulta gli argomenti seguenti:
+ Per sapere se Amazon VPC supporta queste caratteristiche, consulta [Come funziona Amazon VPC con IAM](security_iam_service-with-iam.md).
+ Per scoprire come fornire l'accesso alle tue risorse attraverso Account AWS le risorse di tua proprietà, consulta [Fornire l'accesso a un utente IAM in un altro Account AWS di tua proprietà](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) nella *IAM* User Guide.
+ Per scoprire come fornire l'accesso alle tue risorse a terze parti Account AWS, consulta [Fornire l'accesso a soggetti Account AWS di proprietà di terze parti](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) nella *Guida per l'utente IAM*.
+ Per informazioni su come fornire l'accesso tramite la federazione delle identità, consulta [Fornire l'accesso a utenti autenticati esternamente (federazione delle identità)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) nella *Guida per l'utente IAM*.
+ Per informazioni sulle differenze di utilizzo tra ruoli e policy basate su risorse per l’accesso multi-account, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente di IAM*.
# AWS politiche gestite per Amazon Virtual Private Cloud
Una politica AWS gestita è una politica autonoma creata e amministrata da AWS. AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.
Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Si consiglia pertanto di ridurre ulteriormente le autorizzazioni definendo [policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) specifiche per i propri casi d'uso.
Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove operazioni API per i servizi esistenti.
Per ulteriori informazioni, consultare [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida per l'utente di IAM*.
## AWS politica gestita: Amazon VPCFull Access
Puoi collegare la policy `AmazonVPCFullAccess` alle identità IAM. Questa policy concede le autorizzazioni che consentono l'accesso completo ad Amazon VPC.
Per visualizzare le autorizzazioni per questa politica, consulta [Amazon VPCFull Access](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonVPCFullAccess.html) nel *AWS Managed Policy Reference*.
## AWS politica gestita: Amazon VPCRead OnlyAccess
Puoi collegare la policy `AmazonVPCReadOnlyAccess` alle identità IAM. Questa policy concede le autorizzazioni che consentono l'accesso in sola lettura ad Amazon VPC.
Per visualizzare le autorizzazioni per questa politica, consulta [Amazon VPCRead OnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonVPCReadOnlyAccess.html) nel *AWS Managed Policy Reference.*
## AWS politica gestita: Amazon VPCCross AccountNetworkInterfaceOperations
È possibile allegare la policy `AmazonVPCCrossAccountNetworkInterfaceOperations` alle identità IAM. Questa policy concede autorizzazioni che consentono all'identità di creare interfacce di rete e di collegarle alle risorse tra account.
Per visualizzare le autorizzazioni per questa politica, consulta [Amazon VPCCross AccountNetworkInterfaceOperations](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonVPCCrossAccountNetworkInterfaceOperations.html) nel *AWS Managed Policy Reference.*
## AWS politica gestita: AWSService RoleFor NATGateway
È possibile allegare la policy `AWSServiceRoleForNATGateway` alle identità IAM. Questa politica concede le autorizzazioni che consentono all'identità di lavorare per conto dell'utente per scalare automaticamente i gateway NAT regionali.
Per vedere le autorizzazioni per questa policy, consulta [AWSServiceRoleForNATGateway ](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRoleForNATGateway.html) nella * Guida di riferimento sulle policy gestite da AWS *.
## Amazon VPC si aggiorna alle AWS policy gestite
Visualizza i dettagli sugli aggiornamenti alle politiche AWS gestite per Amazon VPC da quando questo servizio ha iniziato a tracciare queste modifiche a marzo 2021.
| Modifica | Descrizione | Data |
| --- | --- | --- |
| [AWS politica gestita: Amazon VPCFull Access](#security-iam-awsmanpol-AmazonVPCFullAccess): aggiornamento a una policy esistente | Azioni aggiunte alla policy AWSIPAMService RolePolicy gestita (ec2:ModifyManagedPrefixList,ec2:DescribeManagedPrefixLists, andec2:GetManagedPrefixListEntries) per consentire a IPAM di modificare e leggere gli elenchi di prefissi gestiti. | 31 ottobre 2025 |
| [AWS politica gestita: AWSService RoleFor NATGateway](#security-iam-awsmanpol-AWSServiceRoleForNATGateway): nuova policy | La nuova AWSService RoleFor NATGateway politica consente all'identità di scalare automaticamente i gateway NAT regionali. | 19 novembre 2025 |
| [AWS politica gestita: Amazon VPCFull Access](#security-iam-awsmanpol-AmazonVPCFullAccess): aggiornamento di una policy esistente | Sono state aggiunte le DisassociateSecurityGroupVpc azioni AssociateSecurityGroupVpcDescribeSecurityGroupVpcAssociations, e, che consentono di associare, dissociare e visualizzare le associazioni dei gruppi di sicurezza con. VPCs | 9 dicembre 2024 |
| [AWS politica gestita: Amazon VPCRead OnlyAccess](#security-iam-awsmanpol-AmazonVPCReadOnlyAccess): aggiornamento di una policy esistente | È stata aggiunta l'DescribeSecurityGroupVpcAssociationsazione, che consente di visualizzare le associazioni dei gruppi di sicurezza con VPCs. | 9 dicembre 2024 |
| [AWS politica gestita: Amazon VPCFull Access](#security-iam-awsmanpol-AmazonVPCFullAccess): aggiornamento di una policy esistente | È stata aggiunta l'operazione GetSecurityGroupsForVpc, che ti consente di ottenere gruppi di sicurezza utilizzabili nel tuo VPC. | 8 febbraio 2024 |
| [AWS politica gestita: Amazon VPCRead OnlyAccess](#security-iam-awsmanpol-AmazonVPCReadOnlyAccess): aggiornamento di una policy esistente | È stata aggiunta l'operazione GetSecurityGroupsForVpc, che ti consente di ottenere gruppi di sicurezza utilizzabili nel tuo VPC. | 8 febbraio 2024 |
| [AWS politica gestita: Amazon VPCCross AccountNetworkInterfaceOperations](#security-iam-awsmanpol-AmazonVPCCrossAccountNetworkInterfaceOperations): aggiornamento di una policy esistente | Sono state aggiunte le UnassignIpv6Addresses azioni AssignIpv6Addresses and, che consentono di gestire gli IPv6 indirizzi associati alle interfacce di rete. | 25 settembre 2023 |
| [AWS politica gestita: Amazon VPCRead OnlyAccess](#security-iam-awsmanpol-AmazonVPCReadOnlyAccess): aggiornamento di una policy esistente | Aggiunta l'azione DescribeSecurityGroupRules, che consente di visualizzare le [regole del gruppo di sicurezza](security-group-rules.md). | 2 agosto 2021 |
| [AWS politica gestita: Amazon VPCFull Access](#security-iam-awsmanpol-AmazonVPCFullAccess): aggiornamento di una policy esistente | Aggiunte le azioni DescribeSecurityGroupRules e ModifySecurityGroupRules, che consentono di visualizzare le [regole del gruppo di sicurezza](security-group-rules.md). | 2 agosto 2021 |
| [AWS politica gestita: Amazon VPCFull Access](#security-iam-awsmanpol-AmazonVPCFullAccess): aggiornamento di una policy esistente | Sono state aggiunte azioni per i gateway degli operatori, i IPv6 pool, i gateway locali e le tabelle di routing dei gateway locali. | 23 giugno 2021 |
| [AWS politica gestita: Amazon VPCRead OnlyAccess](#security-iam-awsmanpol-AmazonVPCReadOnlyAccess): aggiornamento di una policy esistente | Sono state aggiunte azioni per i gateway degli operatori, i IPv6 pool, i gateway locali e le tabelle di routing dei gateway locali. | 23 giugno 2021 |
# Utilizzo di ruoli collegati ai servizi per VPC
Amazon VPC utilizza ruoli collegati ai [servizi AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un ruolo collegato ai servizi è un tipo unico di ruolo IAM collegato direttamente al VPC. I ruoli collegati ai servizi sono predefiniti dal VPC e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per tuo conto. AWS
Un ruolo collegato al servizio semplifica la configurazione del VPC perché non è necessario aggiungere manualmente le autorizzazioni necessarie. VPC definisce le autorizzazioni dei suoi ruoli collegati ai servizi e, se non diversamente definito, solo VPC può assumerne i ruoli. Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni che non può essere allegata a nessun’altra entità IAM.
È possibile eliminare un ruolo collegato al servizio solo dopo avere eliminato le risorse correlate. In questo modo proteggi le tue risorse VPC perché non puoi rimuovere inavvertitamente l'autorizzazione ad accedere alle risorse.
**Per informazioni su altri servizi che supportano i ruoli collegati ai servizi, consulta i [AWS servizi che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e cerca i servizi con **Sì** nella colonna Ruoli collegati ai servizi.** Scegli **Sì** in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato al servizio per tale servizio.
## Autorizzazioni di ruolo collegate ai servizi per VPC
VPC utilizza il ruolo collegato ai servizi denominato **AWSServiceRoleForNATGateway**: questo ruolo collegato ai servizi consente ad Amazon VPC di allocare indirizzi IP elastici per tuo conto per scalare automaticamente i gateway NAT regionali, associare e dissociare i gateway NAT IPs elastici esistenti da quelli regionali su tua richiesta e descrivere le interfacce di rete per identificare l'infrastruttura esistente da espandere automaticamente in nuove zone di disponibilità.
AWSServiceRoleForNATGateway Il ruolo collegato ai servizi prevede che i seguenti servizi assumano il ruolo:
+ `ec2-nat-gateway.amazonaws.com`
La politica di autorizzazione dei ruoli denominata AWSNATGateway ServiceRolePolicy consente a VPC di completare le seguenti azioni sulle risorse specificate:
+ Azione: `AllocateAddress` su Service Managed EIPs da allocare per tuo EIPs conto. Service EIPs Managed gestisce i tag successivi con tag gestiti dal servizio e ReleaseAddress automaticamente.
+ Azione: `AssociateAddress` sugli indirizzi IP elastici preesistenti per associarli manualmente al gateway NAT regionale su richiesta.
+ Azione: `DisassociateAddress` sugli indirizzi IP elastici preesistenti per rimuoverli dal gateway NAT regionale su richiesta.
+ Azione: `DescribeAddresses` ottenere informazioni sull'indirizzo IP pubblico fornite dal cliente EIPs in associazione.
+ Azione: `DescribeNetworkInterface` sulle interfacce di rete esistenti per identificare automaticamente le zone di disponibilità in cui risiede l'infrastruttura per scalare automaticamente verso nuove zone.
Per consentire a utenti, gruppi o ruoli di creare, modificare o eliminare un ruolo orientato ai servizi, devi configurare le autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) nella *Guida per l'utente IAM*.
## Creazione di un ruolo collegato ai servizi per VPC
Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando crei un gateway NAT con una modalità di disponibilità «regionale» nell' Console di gestione AWS AWS API AWS CLI, VPC crea automaticamente il ruolo collegato al servizio.
**Importante**
Questo ruolo collegato al servizio può apparire nell'account, se è stata completata un'operazione in un altro servizio che utilizza le caratteristiche supportate da questo ruolo. Inoltre, se utilizzavi il servizio VPC prima del 1° gennaio 2017, quando ha iniziato a supportare i ruoli collegati al servizio, VPC ha creato il ruolo nel tuo account. AWSService RoleFor NATGateway Per ulteriori informazioni, consulta [A new role](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared) appeared in my. Account AWS
Se elimini questo ruolo collegato al servizio, è possibile ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell’account. Quando crei un gateway NAT con una modalità di disponibilità «regionale», VPC crea nuovamente il ruolo collegato al servizio per te.
Puoi anche utilizzare la console IAM per creare un ruolo collegato al servizio con lo use case. **AWSServiceRoleForNATGateway** Nella AWS CLI o nell' AWS API, crea un ruolo collegato al servizio con il nome del servizio. `ec2-nat-gateway.amazonaws.com` Per ulteriori informazioni, consulta [Creazione di un ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) nella *Guida per l’utente IAM*. Se elimini il ruolo collegato ai servizi, è possibile utilizzare lo stesso processo per crearlo nuovamente.
## Modifica di un ruolo collegato ai servizi per VPC
Il VPC non consente di modificare il ruolo collegato al AWSService RoleFor NATGateway servizio. Dopo avere creato un ruolo collegato al servizio, non sarà possibile modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta [Modifica di un ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l’utente di IAM*.
## Eliminazione di un ruolo collegato al servizio per VPC
Se non è più necessario utilizzare una caratteristica o un servizio che richiede un ruolo collegato ai servizi, ti consigliamo di eliminare quel ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato ai servizi prima di poterlo eliminare manualmente.
**Nota**
Se il servizio VPC utilizza il ruolo quando si tenta di eliminare le risorse, l'eliminazione potrebbe non riuscire. In questo caso, attendi alcuni minuti e quindi ripeti l’operazione.
**Per eliminare le risorse VPC utilizzate da AWSService RoleFor NATGateway**
+ Eliminare tutti i gateway NAT regionali in tutte le regioni in cui sono stati distribuiti.
**Per eliminare manualmente il ruolo collegato ai servizi mediante IAM**
Utilizza la console IAM AWS CLI, o l' AWS API per eliminare il ruolo collegato al AWSService RoleFor NATGateway servizio. Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l'utente IAM*.
## Regioni supportate per i ruoli collegati ai servizi VPC
VPC supporta l'utilizzo di ruoli collegati ai servizi in tutte le regioni in cui il servizio è disponibile. Per maggiori informazioni, consulta [Regioni ed endpoint di AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html).
VPC non supporta l'utilizzo di ruoli collegati al servizio in tutte le regioni in cui il servizio è disponibile. È possibile utilizzare il AWSService RoleFor NATGateway ruolo nelle seguenti regioni.
| Nome della Regione | Identità della Regione | Support in VPC |
| --- | --- | --- |
| Stati Uniti orientali (Virginia settentrionale) | us-east-1 | Sì |
| Stati Uniti orientali (Ohio) | us-east-2 | Sì |
| Stati Uniti occidentali (California settentrionale) | us-west-1 | Sì |
| Stati Uniti occidentali (Oregon) | us-west-2 | Sì |
| Africa (Città del Capo) | af-south-1 | Sì |
| Asia Pacific (Hong Kong) | ap-east-1 | Sì |
| Asia Pacifico (Taipei) | ap-east-2 | Sì |
| Asia Pacifico (Giacarta) | ap-southeast-3 | Sì |
| Asia Pacifico (Mumbai) | ap-south-1 | Sì |
| Asia Pacifico (Hyderabad) | ap-south-2 | Sì |
| Asia Pacifico (Osaka) | ap-northeast-3 | Sì |
| Asia Pacifico (Seoul) | ap-northeast-2 | Sì |
| Asia Pacifico (Singapore) | ap-southeast-1 | Sì |
| Asia Pacifico (Sydney) | ap-southeast-2 | Sì |
| Asia Pacifico (Tokyo) | ap-northeast-1 | Sì |
| Asia Pacifico (Melbourne) | ap-southeast-4 | Sì |
| Asia Pacifico (Malesia) | ap-southeast-5 | Sì |
| Asia Pacifico (Nuova Zelanda) | ap-southeast-6 | Sì |
| Asia Pacifico (Thailandia) | ap-southeast-7 | Sì |
| Canada (Centrale) | ca-central-1 | Sì |
| Canada occidentale (Calgary) | ca-west-1 | Sì |
| Europa (Francoforte) | eu-central-1 | Sì |
| Europa (Zurigo) | eu-central-2 | Sì |
| Europa (Irlanda) | eu-west-1 | Sì |
| Europa (Londra) | eu-west-2 | Sì |
| Europe (Milan) | eu-south-1 | Sì |
| Europa (Spagna) | eu-south-2 | Sì |
| Europa (Parigi) | eu-west-3 | Sì |
| Europa (Stoccolma) | eu-north-1 | Sì |
| Israele (Tel Aviv) | il-central-1 | Sì |
| Medio Oriente (Bahrein) | me-south-1 | Sì |
| Medio Oriente (Emirati Arabi Uniti) | me-central-1 | Sì |
| Medio Oriente (Arabia Saudita) | me-west-1 | Sì |
| Messico (Centrale) | mx-central-1 | Sì |
| Sud America (San Paolo) | sa-east-1 | Sì |
| AWS GovCloud (Stati Uniti orientali) | us-gov-east-1 | No |
| AWS GovCloud (Stati Uniti occidentali) | us-gov-west-1 | No |
# Sicurezza dell'infrastruttura in Amazon VPC
In quanto servizio gestito, Amazon Virtual Private Cloud è protetto dalla sicurezza di rete AWS globale. Per informazioni sui servizi AWS di sicurezza e su come AWS protegge l'infrastruttura, consulta [AWS Cloud Security](https://aws.amazon.com/security/). Per progettare il tuo AWS ambiente utilizzando le migliori pratiche per la sicurezza dell'infrastruttura, vedi [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected* Framework.
Utilizzi chiamate API AWS pubblicate per accedere ad Amazon VPC attraverso la rete. I client devono supportare quanto segue:
+ Transport Layer Security (TLS). È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Suite di cifratura con Perfect Forward Secrecy (PFS), ad esempio Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La maggior parte dei sistemi moderni, come Java 7 e versioni successive, supporta tali modalità.
## Isolamento della rete
Un cloud privato virtuale (VPC) è una rete virtuale nella propria area logicamente isolata nel cloud. AWS Utilizzalo separatamente VPCs per isolare l'infrastruttura in base al carico di lavoro o all'entità organizzativa.
Una sottorete è un intervallo di indirizzi IP in un VPC. Quando avvii un'istanza, questa operazione viene eseguita in una sottorete nel VPC. Utilizza sottoreti per isolare i livelli dell'applicazione (ad esempio, web, applicazione e database) all'interno di un singolo VPC. Utilizza sottoreti private per le istanze se non devono essere accessibili direttamente da Internet.
Puoi utilizzarlo [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/)per abilitare la connessione alle risorse del tuo VPC Servizi AWS utilizzando indirizzi IP privati, come se tali servizi fossero ospitati direttamente nel tuo VPC. Pertanto, non è necessario utilizzare un gateway Internet o un dispositivo NAT per accedere. Servizi AWS
## Controllo del traffico di rete
Valuta le opzioni seguenti per il controllo del traffico di rete verso le risorse nel VPC, come le istanze EC2:
+ Utilizza [i gruppi di sicurezza](vpc-security-groups.md) come meccanismo principale per controllare l'accesso alla rete VPCs a. Se necessario, utilizzate la [rete ACLs per fornire un controllo di rete](vpc-network-acls.md) a grana grossa e senza stato. I gruppi di sicurezza sono più versatili della rete ACLs, grazie alla loro capacità di eseguire un filtraggio dei pacchetti basato sullo stato e di creare regole che fanno riferimento ad altri gruppi di sicurezza. La rete ACLs può essere efficace come controllo secondario (ad esempio, per negare un sottoinsieme specifico di traffico) o come guardie di sottorete di alto livello. Inoltre, poiché le reti ACLs si applicano a un'intera sottorete, possono essere utilizzate come defense-in-depth nel caso in cui un'istanza venga avviata senza il gruppo di sicurezza corretto.
+ Utilizza sottoreti private per le istanze se non devono essere accessibili direttamente da Internet. Utilizza un host bastione o gateway NAT per l'accesso a Internet dalle istanze nelle sottoreti private.
+ Configura le [tabelle di instradamento](VPC_Route_Tables.md) della sottorete con i percorsi di rete minimi per supportare i tuoi requisiti di connettività.
+ Prendi in considerazione l'utilizzo di gruppi di sicurezza aggiuntivi per controllare e verificare il traffico di gestione delle istanze Amazon EC2 separatamente dal normale traffico delle applicazioni. Pertanto, puoi implementare policy IAM speciali per il controllo delle modifiche, semplificando l'audit delle modifiche apportate alle regole dei gruppi di sicurezza o agli script di verifica automatica delle regole. Più interfacce di rete forniscono inoltre opzioni aggiuntive per il controllo del traffico di rete, inclusa la possibilità di creare policy di instradamento basate su host o sfruttare diverse regole di instradamento delle sottoreti VPC basate sulle interfacce di rete assegnate a una sottorete.
+ Utilizza AWS Virtual Private Network o Direct Connect per stabilire connessioni private dalle tue reti remote al tuo VPCs. Per ulteriori informazioni, consulta Opzioni di [connettività Network-to-Amazon VPC](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/network-to-amazon-vpc-connectivity-options.html).
+ Utilizza [Log di flusso VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) per monitorare il traffico che raggiunge le istanze.
+ Utilizza [AWS Security Hub CSPM](https://aws.amazon.com/security-hub/) per verificare accessibilità di rete indesiderata dalle istanze.
+ Utilizza [AWS Network Firewall](network-firewall.md) per proteggere le sottoreti del VPC dalle minacce di rete comuni.
## Confronta i gruppi di sicurezza e la rete ACLs
La tabella seguente riassume le differenze di base tra i gruppi di sicurezza e la rete ACLs.
| Caratteristica | Gruppo di sicurezza | Lista di controllo degli accessi di rete |
| --- | --- | --- |
| Livello di funzionamento | Livello di istanza | Livello di sottorete |
| Scope | Si applica a tutte le istanze associate al gruppo di sicurezza | Si applica a tutte le istanze nelle sottoreti associate |
| Tipo di regola | Solo consenti regole | Consenti e rifiuta regole |
| Valutazione delle regole | Valuta tutte le regole prima di decidere se consentire il traffico. | Valuta le regole in ordine crescente finché non viene trovata una corrispondenza per il traffico |
| Traffico di ritorno | Consentito automaticamente (stateful) | Deve essere esplicitamente consentito (stateless) |
Il diagramma seguente illustra i livelli di sicurezza forniti dai gruppi di sicurezza e dalla rete. ACLs Ad esempio, il traffico da un Internet Gateway viene instradato alla sottorete appropriata utilizzando le route nella tabella di instradamento. Le regole delle liste di controllo accessi di rete associate alla sottorete determinano quale traffico è consentito alla sottorete. Le regole del gruppo di sicurezza associato a un'istanza determinano quale traffico è consentito all'istanza.
![\[Il traffico è controllato tramite gruppi di sicurezza e rete ACLs\]](http://docs.aws.amazon.com/it_it/vpc/latest/userguide/images/security-comparison.png)
È possibile proteggere le istanze utilizzando solo gruppi di sicurezza. Tuttavia, puoi aggiungere la rete ACLs come ulteriore livello di difesa. Per ulteriori informazioni, consulta [Esempio: controllo dell'accesso alle istanze in una sottorete](nacl-examples.md).
# Controlla il traffico verso AWS le tue risorse utilizzando i gruppi di sicurezza
Un *gruppo di sicurezza* controlla il traffico consentito per raggiungere e lasciare le risorse a cui è associato. Ad esempio, dopo aver associato un gruppo di sicurezza a un'istanza EC2, controlla il traffico in entrata e in uscita per l'istanza.
Al momento della creazione di un VPC, questo include un gruppo di sicurezza di default. È possibile creare gruppi di sicurezza aggiuntivi per un VPC, ciascuno con le proprie regole in entrata e in uscita. È possibile specificare l'origine, l'intervallo di porte e il protocollo per ogni regola in entrata. È possibile specificare la destinazione, l'intervallo di porte e il protocollo per ogni regola in uscita.
Il diagramma seguente mostra un VPC con una sottorete, un gateway Internet e un gruppo di sicurezza. La sottorete contiene un'istanza EC2. Il gruppo di sicurezza del viene assegnato all'istanza. Il gruppo di sicurezza funziona da firewall virtuale. L'unico traffico che raggiunge l'istanza è quello consentito dalle regole del gruppo di sicurezza. Ad esempio, se il gruppo di sicurezza contiene una regola che consente il traffico ICMP verso l'istanza dalla rete, è possibile eseguire il ping dell'istanza dal computer. Se il gruppo di sicurezza non contiene una regola che consenta il traffico SSH, non potrai connetterti all'istanza tramite SSH.
![\[VPC con 2 sottoreti, 2 gruppi di sicurezza, server in sottoreti associati a gruppi di sicurezza diversi\]](http://docs.aws.amazon.com/it_it/vpc/latest/userguide/images/security-group-overview.png)
**Topics**
+ [Nozioni di base sui gruppi di sicurezza](#security-group-basics)
+ [Esempio di gruppo di sicurezza](#security-group-example-details)
+ [Regole del gruppo di sicurezza](security-group-rules.md)
+ [Gruppi di sicurezza predefiniti](default-security-group.md)
+ [Creare un gruppo di sicurezza](creating-security-groups.md)
+ [Configurazione delle regole per i gruppi di sicurezza](working-with-security-group-rules.md)
+ [Eliminare un gruppo di sicurezza](deleting-security-groups.md)
+ [Associare gruppi di sicurezza a più gruppi di sicurezza VPCs](security-group-assoc.md)
+ [Condividi i gruppi di sicurezza con AWS Organizations](security-group-sharing.md)
**Prezzi**
L'utilizzo di gruppi di sicurezza non comporta costi supplementari.
## Nozioni di base sui gruppi di sicurezza
+ È possibile assegnare un gruppo di sicurezza a risorse create nello stesso VPC del gruppo di sicurezza o a risorse in VPCs altro se si utilizza [la funzione Security Group VPC Association](security-group-assoc.md) per associare il gruppo di sicurezza ad VPCs altri nella stessa regione. Puoi anche assegnare più gruppi di sicurezza a un’unica risorsa.
+ Quando crei un gruppo di sicurezza, devi indicarne il nome e la descrizione. Si applicano le regole seguenti:
+ Il nome di un gruppo di sicurezza deve Essere univoco all'interno del VPC.
+ I nomi dei gruppi di sicurezza non prevedono una distinzione tra lettere maiuscole e minuscole.
+ I nomi e le descrizioni possono avere una lunghezza massima di 255 caratteri.
+ I nomi e le descrizioni possono contenere solo i seguenti caratteri: a-z, A-Z, 0-9, spazi e .\$1-:/()\$1,@[]\$1=&;\$1\$1\$1\$1\$1.
+ Quando il nome contiene spazi finali, questi vengono eliminati. Ad esempio, se inserisci “Test Security Group ". per il nome, lo memorizziamo come “Test Security Group”.
+ Il nome di un gruppo di sicurezza non può iniziare per `sg-`.
+ I gruppi di sicurezza sono stateful. Ad esempio, inviando una richiesta da un'istanza, il traffico in risposta alla richiesta è autorizzato a raggiungerla, indipendentemente dalle regole in entrata del gruppo di sicurezza. Le risposte al traffico in entrata autorizzato possono lasciare l'istanza indipendentemente dalle regole in uscita.
+ I gruppi di sicurezza non filtrano il traffico destinato a e da i seguenti:
+ Amazon Domain Name Services (DNS)
+ Amazon Dynamic Host Configuration Protocol (DHCP)
+ Metadati delle istanze Amazon EC2.
+ Endpoint di metadati dei processi Amazon ECS
+ Attivazione della licenza per le istanze Windows
+ Servizio di sincronizzazione oraria di Amazon
+ Indirizzi IP riservati utilizzati dal router VPC predefinito
+ Esistono delle quote per il numero di gruppi di sicurezza che si possono creare per ogni VPC, al numero di regole che si possono aggiungere a ciascun gruppo di sicurezza e al numero di gruppi di sicurezza che si possono associare a un'interfaccia di rete. Per ulteriori informazioni, consulta [Quote Amazon VPC](amazon-vpc-limits.md).
**Best practice**
+ Autorizza solo specifici principali IAM a creare e modificare gruppi di sicurezza.
+ Crea il numero minimo di gruppi di sicurezza di cui hai bisogno per ridurre il rischio di errore. Utilizza ogni gruppo di sicurezza per gestire l'accesso a risorse con funzioni e requisiti di sicurezza simili.
+ Quando aggiungi regole per le porte 22 (SSH) o 3389 (RDP) in modo da poter accedere alle istanze EC2, autorizza solo intervalli di indirizzi IP specifici. Se specificate 0.0.0.0/0 (IPv4) e: :/ (IPv6), ciò consente a chiunque di accedere alle vostre istanze da qualsiasi indirizzo IP utilizzando il protocollo specificato.
+ Non aprire grandi intervalli di porte. Assicurati che l'accesso tramite ciascuna porta sia limitato alle origini o alle destinazioni che lo richiedono.
+ Valuta la possibilità di creare una rete ACLs con regole simili ai tuoi gruppi di sicurezza, per aggiungere un ulteriore livello di sicurezza al tuo VPC. Per ulteriori informazioni sulle differenze tra gruppi di sicurezza e rete ACLs, consulta[Confronta i gruppi di sicurezza e la rete ACLs](infrastructure-security.md#VPC_Security_Comparison).
## Esempio di gruppo di sicurezza
Il seguente diagramma mostra un VPC con due gruppi di sicurezza e due sottoreti. Le istanze nella sottorete A hanno gli stessi requisiti di connettività, quindi sono associate al gruppo di sicurezza 1. Le istanze nella sottorete B hanno gli stessi requisiti di connettività, quindi sono associate al gruppo di sicurezza 2. Le regole del gruppo di sicurezza consentono il traffico nel modo seguente:
+ La prima regola in entrata nel gruppo di sicurezza 1 consente il traffico SSH verso le istanze nella sottorete A dall'intervallo di indirizzi specificato (ad esempio, un intervallo nella propria rete).
+ La seconda regola in entrata nel gruppo di sicurezza 1 consente alle istanze della sottorete A di comunicare tra loro utilizzando qualsiasi protocollo e porta.
+ La seconda regola in entrata nel gruppo di sicurezza 2 consente alle istanze della sottorete B di comunicare tra loro utilizzando qualsiasi protocollo e porta.
+ La seconda regola in entrata nel gruppo di sicurezza 2 consente alle istanze della sottorete A di comunicare con le istanze nella sottorete B utilizzando SSH.
+ Entrambi i gruppi di sicurezza usano la regola in uscita predefinita che consente tutto il traffico.
![\[Un VPC con due gruppi di sicurezza e server in due sottoreti. I server nella sottorete A sono associati al gruppo di sicurezza 1. I server nella sottorete B sono associati al gruppo di sicurezza 2.\]](http://docs.aws.amazon.com/it_it/vpc/latest/userguide/images/security-group-details.png)
# Regole del gruppo di sicurezza
Le regole di un gruppo di sicurezza controllano il traffico in entrata autorizzato a raggiungere le risorse associate al gruppo di sicurezza. e il traffico in uscita autorizzato a lasciarle.
Puoi aggiungere o rimuovere le regole di un gruppo di sicurezza (*autorizzazione* o *revoca* dell'accesso in entrata o in uscita). Una regola si applica al traffico in entrata (ingresso) o al traffico in uscita (uscita). Puoi concedere l'accesso a un'origine o a una destinazione specifica.
**Topics**
+ [Nozioni di base sulle regole dei gruppi di sicurezza](#security-group-rule-characteristics)
+ [Componenti di una regola di un gruppo di sicurezza](#security-group-rule-components)
+ [Riferimenti dei gruppi di sicurezza](#security-group-referencing)
+ [Dimensioni dei gruppi di sicurezza](#security-group-size)
+ [Regole obsolete del gruppo di sicurezza](#vpc-stale-security-group-rules)
## Nozioni di base sulle regole dei gruppi di sicurezza
Di seguito sono riportate le caratteristiche delle regole dei gruppi di sicurezza:
+ Puoi specificare regole che autorizzano, non regole che negano.
+ Al momento della sua creazione, un gruppo di sicurezza è privo di regole in entrata. Di conseguenza, non è consentito alcun traffico in entrata fino a quando al gruppo di sicurezza non vengono aggiunte regole in entrata.
+ Quando si crea per la prima volta un gruppo di sicurezza, questo include una regola in uscita che consente tutto il traffico in uscita dalla risorsa. Puoi rimuovere la regola e aggiungere regole in uscita che autorizzano l'uscita solo di un determinato tipo di traffico. Se un gruppo di sicurezza è privo di regole in uscita, non viene autorizzato alcun traffico in uscita.
+ Se si associano a una risorsa molteplici gruppi di sicurezza, le regole di ciascun gruppo di sicurezza vengono aggregate efficacemente per creare un unico set di regole utilizzate per determinare se consentire l'accesso o meno.
+ Quando si aggiunge, aggiorna o rimuove delle regole, queste si applicano automaticamente a tutte le risorse associate al gruppo di sicurezza. Per istruzioni, consulta [Configurazione delle regole per i gruppi di sicurezza](working-with-security-group-rules.md).
+ Gli effetti di alcune modifiche delle regole possono dipendere dalle modalità di monitoraggio del traffico. Per maggiori informazioni, consulta [Tracciamento delle connessioni](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-connection-tracking.html) nella *Guida dell'utente di Amazon EC2*.
+ Quando crei una regola del gruppo di sicurezza, AWS assegna un ID univoco alla regola. È possibile utilizzare l'ID di una regola quando si utilizza l'API o la CLI per modificare o eliminare la regola.
**Limitazione**
[I gruppi di sicurezza non possono bloccare le richieste DNS da o verso il Route 53 Resolver, a volte indicato come «indirizzo IP VPC\$12» (vedi [Amazon Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html)nella *Amazon Route 53* Developer Guide) o come DNS. AmazonProvided](DHCPOptionSet.md) Per filtrare le richieste DNS attraverso il risolutore Route 53, utilizza [DNS Firewall per il risolutore Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall.html).
## Componenti di una regola di un gruppo di sicurezza
Di seguito vengono riportati i componenti delle regole del gruppo di sicurezza in entrata e in uscita:
+ **Protocollo**: il protocollo da autorizzare. I protocolli più comuni sono 6 (TCP) 17 (UDP) e 1 (ICMP).
+ **Intervallo di porte**: per un protocollo personalizzato o per TCP e UDP, l'intervallo di porte da autorizzare. Puoi specificare un solo numero di porta (ad esempio `22`) o un intervallo dei numeri di porta (ad esempio `7000-8000`).
+ **Tipo e codice ICMP**: per ICMP, il tipo e il codice ICMP. Ad esempio, usa il tipo 8 per ICMP Echo Request o il tipo 128 per Echo Request. ICMPv6 Per ulteriori informazioni, consulta [Rules for ping/ICMP](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html#sg-rules-ping) nella *Guida per l’utente di Amazon EC2*.
+ **Origine o destinazione**: l'origine (regole in entrata) o la destinazione (regole in uscita) del traffico da consentire. Specifica una delle seguenti proprietà:
+ Un unico indirizzo. IPv4 Devi utilizzare la lunghezza del prefisso `/32`. Ad esempio, `203.0.113.1/32`.
+ Un solo IPv6 indirizzo. Devi utilizzare la lunghezza del prefisso `/128`. Ad esempio, `2001:db8:1234:1a00::123/128`.
+ Un intervallo di IPv4 indirizzi, in notazione a blocchi CIDR. Ad esempio, `203.0.113.0/24`.
+ Una serie di IPv6 indirizzi, in notazione a blocchi CIDR. Ad esempio, `2001:db8:1234:1a00::/64`.
+ L'ID di un elenco di prefissi. Ad esempio, `pl-1234abc1234abc123`. Per ulteriori informazioni, consulta [Elenchi di prefissi gestiti](managed-prefix-lists.md).
+ L'ID di un gruppo di sicurezza. Ad esempio, `sg-1234567890abcdef0`. Per ulteriori informazioni, consulta [Riferimenti dei gruppi di sicurezza](#security-group-referencing).
+ **(Opzionale) Descrizione**: puoi aggiungere una descrizione della regola, per semplificarne l'identificazione in un secondo momento. Una descrizione può essere lunga fino a 255 caratteri. I caratteri consentiti sono a-z, A-Z, 0-9, spazi e .\$1-:/()\$1,@[]\$1=;\$1\$1\$1\$1\$1.
Per vedere esempi, consulta [Security group rules for different use cases](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html) nella *Guida per l’utente di Amazon EC2*.
## Riferimenti dei gruppi di sicurezza
Quando specifichi un gruppo di sicurezza come origine o destinazione di una regola, la regola interessa tutte le istanze associate ai gruppi di sicurezza. Le istanze possono comunicare nella direzione specificata utilizzando gli indirizzi IP privati delle istanze tramite il protocollo e la porta specificati.
Ad esempio, la tabella seguente rappresenta una regola in entrata per un gruppo di sicurezza che si riferisce al gruppo di sicurezza sg-0abcdef1234567890. Questa regola consente il traffico SSH in entrata dalle istanze associate a sg-0abcdef1234567890.
| Crea | Protocollo | Intervallo porte |
| --- | --- | --- |
| sg-0abcdef1234567890 | TCP | 22 |
Quando fai riferimento a un gruppo di sicurezza in una regola di un gruppo di sicurezza, tieni presente quanto segue:
+ È possibile fare riferimento a un gruppo di sicurezza nella regola in entrata di un altro gruppo se si verifica una delle seguenti condizioni:
+ I gruppi di sicurezza sono associati allo stesso VPC.
+ Esiste una connessione peering tra i gruppi di sicurezza a VPCs cui sono associati i gruppi di sicurezza.
+ Esiste un gateway di transito tra quelli a VPCs cui sono associati i gruppi di sicurezza.
+ È possibile fare riferimento a un gruppo di sicurezza nella regola in entrata se si verifica una delle seguenti condizioni:
+ I gruppi di sicurezza sono associati allo stesso VPC.
+ Esiste una connessione peering tra quelli a VPCs cui sono associati i gruppi di sicurezza.
+ Nessuna regola del gruppo di sicurezza di riferimento viene aggiunta al gruppo di sicurezza che vi fa riferimento.
+ Per le regole in entrata, le istanze EC2 associate al gruppo di sicurezza possono ricevere traffico in entrata dagli indirizzi IP privati dalle interfacce di rete delle istanze EC2 associate al gruppo di sicurezza di riferimento.
+ Per le regole in uscita, le istanze EC2 associate al gruppo di sicurezza possono indirizzare traffico in uscita agli indirizzi IP privati dalle interfacce di rete delle istanze EC2 associate al gruppo di sicurezza di riferimento.
+ I gruppi di sicurezza di riferimento non sono autorizzati per le seguenti operazioni: `AuthorizeSecurityGroupIngress`, `AuthorizeSecurityGroupEgress`, `RevokeSecurityGroupIngress` e `RevokeSecurityGroupEgress`. In questi casi, verifichiamo solo che il gruppo di sicurezza esista. I risultati sono illustrati di seguito:
+ L’indicazione del gruppo di sicurezza di riferimento nelle policy IAM per queste operazioni non ha alcun effetto.
+ Quando un gruppo di sicurezza a cui si fa riferimento è di proprietà di un altro account, l'account del proprietario non riceve CloudTrail eventi per queste azioni.
**Limitazione**
Se le route vengono configurate per inoltrare il traffico tra due istanze in sottoreti diverse attraverso un'appliance middlebox, è necessario assicurarsi che i gruppi di sicurezza per entrambe le istanze consentano il flusso del traffico tra le istanze. Il gruppo di sicurezza per ogni istanza deve fare riferimento all'indirizzo IP privato dell'altra istanza o all'intervallo CIDR della sottorete che contiene l'altra istanza come origine. Se si fa riferimento al gruppo di sicurezza dell’altra istanza come origine, allora il flusso del traffico tra le istanze non sarà consentito.
**Esempio**
Il seguente diagramma mostra un VPC con sottoreti in due zone di disponibilità, un gateway Internet e un Application Load Balancer. Ogni zona di disponibilità ha una sottorete pubblica per i server web e una sottorete privata per i server di database. Esistono gruppi di sicurezza separati per il sistema di bilanciamento del carico, i server web e i server di database. Crea le seguenti regole del gruppo di sicurezza per consentire il traffico.
+ Aggiungi regole al gruppo di sicurezza del sistema di bilanciamento del carico per consentire il traffico HTTP e HTTPS da Internet. Il codice sorgente è 0.0.0.0/0.
+ Aggiungi regole al gruppo di sicurezza dei server Web per consentire il traffico HTTP e HTTPS solo dal sistema di bilanciamento del carico. L'origine è il gruppo di sicurezza per il sistema di bilanciamento del carico.
+ Aggiungi regole al gruppo di sicurezza dei server di database per consentire le richieste dei database dai server Web. L'origine è il gruppo di sicurezza dei server Web.
![\[Architettura con server web e db, gruppi di sicurezza, gateway Internet e bilanciatori del carico\]](http://docs.aws.amazon.com/it_it/vpc/latest/userguide/images/security-group-referencing.png)
## Dimensioni dei gruppi di sicurezza
Il tipo di origine o destinazione determina la modalità con cui ogni regola viene conteggiata ai fini del numero massimo di regole che è possibile avere per ogni gruppo di sicurezza.
+ Una regola che fa riferimento a un blocco CIDR viene conteggiata come regola singola.
+ Una regola che fa riferimento a un altro gruppo di sicurezza viene conteggiata come regola singola, indipendentemente dalle dimensioni del gruppo di sicurezza di riferimento.
+ Una regola che fa riferimento a un elenco di prefissi gestito dal cliente viene conteggiata in base alla dimensione massima dell'elenco di prefissi. Ad esempio, se la dimensione massima dell'elenco di prefissi è 20, una regola che fa riferimento a questo elenco di prefissi viene conteggiata come 20 regole.
+ Una regola che fa riferimento a un elenco di prefissi AWS-managed conta come peso dell'elenco di prefissi. Ad esempio, se il peso dell'elenco di prefissi è 10, una regola che fa riferimento a tale elenco di prefissi viene conteggiata come 10 regole. Per ulteriori informazioni, consulta [Elenchi di prefissi gestiti disponibili AWS](working-with-aws-managed-prefix-lists.md#available-aws-managed-prefix-lists).
## Regole obsolete del gruppo di sicurezza
Se il VPC ha una connessione peering VPC con un altro VPC, o se utilizza un VPC condiviso da un altro account, una regola del gruppo di sicurezza potrebbe fare riferimento all'altro gruppo di sicurezza nel VPC simile o condiviso. Ciò consente alle risorse associate al gruppo di sicurezza e a quelle associate al gruppo di protezione di riferimento di comunicare tra loro. Per ulteriori informazioni, consulta la sezione relativa all'[aggiornamento dei gruppi di sicurezza per fare riferimento ai gruppi di sicurezza in peering](https://docs.aws.amazon.com/vpc/latest/peering/vpc-peering-security-groups.html) nella *Guida ad Amazon VPC Peering*.
Se disponi di una regola del gruppo di sicurezza che fa riferimento a un gruppo in un VPC in peering o condiviso e il gruppo di sicurezza nel VPC condiviso viene eliminato o la connessione peering VPC viene eliminata, la regola del gruppo viene contrassegnata come obsoleta. Le regole obsolete possono essere Eliminate nello stesso modo delle altre regole del gruppo di sicurezza.
# Gruppi di sicurezza predefiniti per i tuoi VPCs
I tuoi valori predefiniti VPCs e quelli VPCs che crei includono un gruppo di sicurezza predefinito. Il nome del gruppo di sicurezza predefinito è "default".
Ti consigliamo di creare gruppi di sicurezza per risorse o gruppi di risorse specifici invece di utilizzare il gruppo di sicurezza predefinito. Tuttavia, per alcune risorse, se non si associa un gruppo di sicurezza quando vengono create, queste vengono associate al gruppo di sicurezza predefinito. Ad esempio, se non specifichi un gruppo di sicurezza all'avvio di un'istanza EC2, l'istanza sarà associata al gruppo di sicurezza predefinito per il relativo VPC.
## Nozioni di base sui gruppi di sicurezza predefiniti
+ È possibile modificare le regole di un gruppo di sicurezza di default.
+ Non è possibile eliminare un gruppo di sicurezza predefinito. Se provi a eliminare un gruppo di sicurezza predefinito, sarà restituito il seguente codice di errore: `Client.CannotDelete`.
## Regole predefinite
La tabella seguente descrive le regole in entrata predefinite di un gruppo di sicurezza predefinito.
| Crea | Protocollo | Intervallo porte | Description |
| --- | --- | --- | --- |
| sg-1234567890abcdef0 | Tutti | Tutti | Consente il traffico in entrata da tutte le risorse assegnate a questo gruppo di sicurezza. L'origine è l'ID di questo gruppo di sicurezza. |
La tabella seguente descrive le regole in uscita predefinite di un gruppo di sicurezza predefinito.
| Destinazione | Protocollo | Intervallo porte | Descrizione |
| --- | --- | --- | --- |
| 0.0.0.0/0 | Tutti | Tutti | Consente tutto il IPv4 traffico in uscita. |
| ::/0 | Tutti | Tutti | Consente tutto il traffico in uscita IPv6 . Questa regola viene aggiunta solo se al VPC è associato un blocco IPv6 CIDR. |
## Esempio
Il diagramma seguente mostra un VPC con un gruppo di sicurezza predefinito, un gateway Internet e un gateway NAT. Il gruppo di sicurezza predefinito contiene solo le regole predefinite ed è associato a due istanze EC2 in esecuzione nel cloud VPC. In questo scenario, ogni istanza può ricevere traffico in entrata da un'altra istanza su tutte le porte e i protocolli. Le regole predefinite non consentono alle istanze di ricevere traffico dal gateway Internet o dal gateway NAT. Se le istanze devono ricevere traffico aggiuntivo, è consigliabile creare un gruppo di sicurezza con le regole richieste e associare il nuovo gruppo di sicurezza alle istanze anziché il gruppo di sicurezza predefinito.
![\[VPC con 2 sottoreti, gruppo di sicurezza predefinito, 2 istanze EC2, gateway Internet e gateway NAT\]](http://docs.aws.amazon.com/it_it/vpc/latest/userguide/images/default-security-group.png)
# Creazione di un gruppo di sicurezza per il VPC
Il cloud privato virtuale (VPC) include un gruppo di sicurezza predefinito. È possibile creare gruppi di sicurezza aggiuntivi. I gruppi di sicurezza possono essere utilizzati solo con le risorse nel VPC per cui vengono creati.
Di default, i nuovi gruppi di sicurezza hanno solo una regola in uscita che autorizza tutto il traffico a lasciare la risorsa. Devi aggiungere le regole per autorizzare qualsiasi tipo di traffico in entrata o per limitare quello in uscita. È possibile aggiungere regole quando si crea un gruppo di sicurezza o in un secondo momento. Per ulteriori informazioni, consulta [Regole del gruppo di sicurezza](security-group-rules.md).
**Autorizzazioni richieste**
Prima di iniziare, assicurati di disporre delle autorizzazioni richieste. Per ulteriori informazioni, consulta gli argomenti seguenti:
+ [Gestione dei gruppi di sicurezza](vpc-policy-examples.md#vpc-security-groups-iam)
+ [Gestione delle regole del gruppo di sicurezza](vpc-policy-examples.md#vpc-security-group-rules-iam)
**Per creare un gruppo di sicurezza tramite console**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Scegli **Gruppi di sicurezza** nel riquadro di navigazione.
1. Scegliere **Create Security Group (Crea gruppo di sicurezza)**.
1. Immettere un nome e una descrizione per il gruppo di sicurezza. Non è possibile modificare il nome e la descrizione di un gruppo di sicurezza dopo averlo creato.
1. Per **VPC**, scegli il VPC in cui creare le risorse a cui associare il gruppo di sicurezza.
1. (Facoltativo) Per aggiungere regole in entrata, scegli **Regole in entrata**. Per ogni regola, scegli **Aggiungi regola** e specifica il protocollo, la porta e l'origine. Per ulteriori informazioni, consulta [Configurazione delle regole per i gruppi di sicurezza](working-with-security-group-rules.md).
1. (Facoltativo) Per aggiungere regole in uscita, scegli **Regole in uscita**. Per ogni regola, scegli **Aggiungi regola** e specifica il protocollo, la porta e la destinazione.
1. (Facoltativo) Per aggiungere un tag, scegli **Add new tag** (Aggiungi nuovo tag) e immetti la chiave e il valore del tag.
1. Scegliere **Create Security Group** (Crea gruppo di sicurezza).
**Per creare un gruppo di sicurezza utilizzando AWS CLI**
Utilizza il comando [create-security-group](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-security-group.html).
In alternativa, puoi creare un nuovo gruppo di sicurezza copiandone uno esistente. Quando copi un gruppo di sicurezza, aggiungiamo automaticamente le stesse regole in entrata e in uscita del gruppo di sicurezza originale e utilizziamo lo stesso VPC del gruppo di sicurezza originale. Puoi immettere un nome e una descrizione per il nuovo gruppo di sicurezza. Facoltativamente, puoi scegliere un VPC diverso e modificare le regole in entrata e in uscita secondo le esigenze. Tuttavia, non puoi copiare un gruppo di sicurezza da una Regione a un'altra.
**Per creare un gruppo di sicurezza in base a uno esistente**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Nel pannello di navigazione, seleziona **Gruppi di sicurezza**.
1. Selezionare un gruppo di sicurezza.
1. Scegli **Operazioni**, **Copia in un nuovo gruppo di sicurezza**.
1. Immettere un nome e una descrizione per il gruppo di sicurezza.
1. (Facoltativo) Scegli un VPC diverso se necessario.
1. (Facoltativo) Aggiungi, rimuovi o modifica le regole del gruppo di sicurezza in base alle esigenze.
1. Scegliere **Create Security Group** (Crea gruppo di sicurezza).
# Configurazione delle regole per i gruppi di sicurezza
Dopo aver creato un gruppo di sicurezza, puoi aggiungere, aggiornare ed eliminare le relative regole. Quando aggiungi, aggiorni o elimini una regola, la modifica viene applicata automaticamente alle risorse associate a quel gruppo.
**Autorizzazioni richieste**
Prima di iniziare, assicurati di disporre delle autorizzazioni richieste. Per ulteriori informazioni, consulta [Gestione delle regole del gruppo di sicurezza](vpc-policy-examples.md#vpc-security-group-rules-iam).
**Protocolli e porte**
+ Con la console, quando selezioni un tipo predefinito, il **protocollo** e l’**intervallo di porte** vengono specificati automaticamente. Per inserire un intervallo di porte, dovrai selezionare uno dei seguenti tipi personalizzati: **TCP personalizzato** o **UDP personalizzato**.
+ Con AWS CLI, è possibile aggiungere una singola regola con una singola porta utilizzando le `--port` opzioni `--protocol` and. Per aggiungere più regole o una regola con un intervallo di porte, seleziona l’opzione `--ip-permissions`.
**Origini e destinazioni**
+ Tramite la console potrai indicare i seguenti dati come origine per le regole in entrata o come destinazione per le regole in uscita:
+ **Personalizzato**: un blocco IPv4 CIDR, un blocco IPv6 CIDR, un gruppo di sicurezza o un elenco di prefissi.
+ **Anywhere- IPv4** — Il blocco CIDR 0.0.0.0/0 IPv4 .
+ **Anywhere- IPv6 —** Il blocco CIDR: :/0. IPv6
+ **Il mio IP**: l' IPv4 indirizzo pubblico del computer locale.
+ Con AWS CLI, è possibile specificare un blocco IPv4 CIDR utilizzando l'`--cidr`opzione o un gruppo di sicurezza utilizzando l'`--source-group`opzione. Per specificare un elenco di prefissi o un blocco IPv6 CIDR, utilizzate l'opzione. `--ip-permissions`
**avvertimento**
Se scegli **Anywhere- IPv4**, consenti il traffico proveniente da tutti gli IPv4 indirizzi. Se scegli **Anywhere- IPv6**, consenti il traffico proveniente da tutti IPv6 gli indirizzi. È consigliabile autorizzare solo gli intervalli di indirizzi IP specifici che richiedono l'accesso alle risorse.
**Configurare le regole di un gruppo di sicurezza tramite la console**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Scegli **Gruppi di sicurezza** nel riquadro di navigazione.
1. Selezionare il gruppo di sicurezza.
1. Per modificare le regole in entrata, scegli **Modifica regole in entrata** dalla scheda **Azioni** o dalla scheda **Regole in entrata**.
1. Per aggiungere una regola, scegli **Aggiungi regola** e immetti il tipo, il protocollo, la porta e l'origine della regola.
Se il tipo è TCP o UDP, è necessario immettere l'intervallo di porte consentito. Se si sceglie un protocollo ICMP personalizzato, occorre scegliere il nome del tipo ICMP da **Protocollo** e, se applicabile, il nome del codice da **Intervallo di porte**. Se scegli qualsiasi altro tipo, il protocollo e l'intervallo di porte vengono configurati automaticamente.
1. Per aggiornare una regola, modificane il protocollo, la descrizione e l'origine in base alle esigenze. Tuttavia, il tipo di origine non può essere modificato. Ad esempio, se l'origine è un blocco IPv4 CIDR, non è possibile specificare un blocco IPv6 CIDR, un elenco di prefissi o un gruppo di sicurezza.
1. Per eliminare una regola, seleziona il pulsante **Elimina** corrispondente.
1. Per modificare le regole in uscita, scegli **Modifica regole in uscita** dalla scheda **Azioni** o dalla scheda **Regole in uscita**.
1. Per aggiungere una regola, scegli **Aggiungi regola** e immetti il tipo, il protocollo, la porta e la destinazione della regola. Facoltativamente, è possibile inserire una descrizione.
Se il tipo è TCP o UDP, è necessario immettere l'intervallo di porte consentito. Se si sceglie un protocollo ICMP personalizzato, occorre scegliere il nome del tipo ICMP da **Protocollo** e, se applicabile, il nome del codice da **Intervallo di porte**. Se scegli qualsiasi altro tipo, il protocollo e l'intervallo di porte vengono configurati automaticamente.
1. Per aggiornare una regola, modificane il protocollo, la descrizione e l'origine in base alle esigenze. Tuttavia, il tipo di origine non può essere modificato. Ad esempio, se l'origine è un blocco IPv4 CIDR, non è possibile specificare un blocco IPv6 CIDR, un elenco di prefissi o un gruppo di sicurezza.
1. Per eliminare una regola, seleziona il pulsante **Elimina** corrispondente.
1. Scegliere **Salva regole**.
**Per configurare le regole dei gruppi di sicurezza utilizzando il AWS CLI**
+ **Aggiungi**: utilizza i [authorize-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-egress.html)comandi [authorize-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-ingress.html)and.
+ **Rimuovi**: utilizza i [revoke-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-egress.html)comandi [revoke-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-ingress.html)and.
+ **Modifica**[: utilizza i [modify-security-group-rules](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-security-group-rules.html)comandi [update-security-group-rule-descriptions-ingress e -descriptions-egress.](https://docs.aws.amazon.com/cli/latest/reference/ec2/update-security-group-rule-descriptions-ingress.html) update-security-group-rule](https://docs.aws.amazon.com/cli/latest/reference/ec2/update-security-group-rule-descriptions-egress.html)
# Eliminare un gruppo di sicurezza
Quando un gruppo di sicurezza creato non è più necessario, è possibile eliminarlo.
**Requisiti**
+ Il gruppo di sicurezza non può essere associato ad alcuna risorsa.
+ Il gruppo di sicurezza non può essere utilizzato come riferimento da una regola di un altro gruppo di sicurezza.
+ Il gruppo di sicurezza non può essere utilizzato come gruppo di sicurezza predefinito di un VPC.
**Per eliminare un gruppo di sicurezza tramite console**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Nel pannello di navigazione, seleziona **Gruppi di sicurezza**.
1. Seleziona il gruppo di sicurezza e scegli **Operazioni**, **Elimina gruppi di sicurezza**.
1. Se hai selezionato più di un gruppo di sicurezza, ti verrà richiesta la conferma. Se alcuni gruppi di sicurezza non possono essere eliminati, viene visualizzato lo stato di ciascun gruppo di sicurezza, che indica se verrà eliminato. Per confermare l'eliminazione, immetti **Elimina**.
1. Scegli **Elimina**.
**Per eliminare un gruppo di sicurezza utilizzando il AWS CLI**
Utilizza il comando [delete-security-group](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-security-group.html).
# Associare gruppi di sicurezza a più gruppi di sicurezza VPCs
Se hai carichi di lavoro in esecuzione in più gruppi VPCs che condividono i requisiti di sicurezza di rete, puoi utilizzare la funzionalità Security Group VPC Associations per associare un gruppo di sicurezza a VPCs più gruppi nella stessa regione. Ciò consente di gestire e mantenere i gruppi di sicurezza in un unico posto per più utenti del proprio VPCs account.
![\[Un diagramma del gruppo di sicurezza associato a due VPCs.\]](http://docs.aws.amazon.com/it_it/vpc/latest/userguide/images/sec-group-vpc-assoc.png)
Il diagramma precedente mostra l' AWS account A con due al suo VPCs interno. Ciascuno di essi VPCs ha carichi di lavoro in esecuzione in una sottorete privata. In questo caso, i carichi di lavoro nelle sottoreti A e B del VPC condividono gli stessi requisiti di traffico di rete, quindi l'account A può utilizzare la funzionalità Associazioni di VPC e gruppi di sicurezza per associare il gruppo di sicurezza nel VPC A al VPC B. Qualsiasi aggiornamento apportato al gruppo di sicurezza associato viene applicato automaticamente al traffico dei carichi di lavoro nella sottorete B del VPC.
**Requisiti della funzionalità Associazioni di VPC e gruppi di sicurezza**
+ Per associare un gruppo di sicurezza al VPC devi possedere il VPC o avere in condivisione una delle sue sottoreti.
+ Il VPC e il gruppo di sicurezza devono trovarsi nella stessa AWS regione.
+ Non è possibile associare un gruppo di sicurezza predefinito a un altro VPC o associare un gruppo di sicurezza a un VPC predefinito.
+ Sia il proprietario del gruppo di sicurezza che il proprietario del VPC possono visualizzare le associazioni tra VPC e gruppi di sicurezza.
**Servizi che supportano questa funzionalità**
+ Amazon API Gateway ( APIs solo REST)
+ AWS Auto Scaling
+ CloudFormation
+ Amazon EC2
+ Amazon EFS
+ Amazon EKS
+ Amazon FSx
+ AWS PrivateLink
+ Amazon Route 53
+ Elastic Load Balancing
+ Application Load Balancer
+ Network Load Balancer
## Associazione di un gruppo di sicurezza a un altro VPC
Questa sezione spiega come utilizzare Console di gestione AWS e AWS CLI a cui associare un gruppo di sicurezza VPCs.
------
#### [ AWS Management Console ]
**Come associare un gruppo di sicurezza a un altro VPC**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Nel riquadro di navigazione a sinistra, scegli **Gruppi di sicurezza**.
1. Scegli un gruppo di sicurezza per visualizzare i dettagli.
1. Scegli la scheda **Associazioni VPC**.
1. Scegli **Associa VPC**.
1. In **ID VPC**, scegli un VPC da associare al gruppo di sicurezza.
1. Scegli **Associa VPC**.
------
#### [ Command line ]
**Associare un gruppo di sicurezza a un altro VPC**
1. Crea un'associazione VPC con. [associate-security-group-vpc](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/associate-security-group-vpc.html)
1. Controlla lo stato di un'associazione VPC con [describe-security-group-vpc-associations](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/describe-security-group-vpc-associations.html) e attendi che lo sia lo stato. `associated`
------
Il VPC è ora associato al gruppo di sicurezza.
Dopo aver associato il VPC al gruppo di sicurezza, puoi, ad esempio, [avviare un'istanza nel VPC e scegliere questo nuovo gruppo di sicurezza](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/LaunchingAndUsingInstances.html) o [fare riferimento a questo gruppo di sicurezza in una regola del gruppo di sicurezza esistente](security-group-rules.md#security-group-referencing).
## Dissociazione di un gruppo di sicurezza da un altro VPC
Questa sezione spiega come utilizzare Console di gestione AWS e da cui AWS CLI dissociare un gruppo di sicurezza. VPCs Potresti volerlo fare se il tuo obiettivo è eliminare il gruppo di sicurezza. I gruppi di sicurezza non possono essere eliminati se sono associati. Puoi dissociare un gruppo di sicurezza solo se non ci sono interfacce di rete nel VPC associato che utilizza quel gruppo di sicurezza.
------
#### [ AWS Management Console ]
**Come dissociare un gruppo di sicurezza da un VPC**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Nel riquadro di navigazione a sinistra, scegli **Gruppi di sicurezza**.
1. Scegli un gruppo di sicurezza per visualizzare i dettagli.
1. Scegli la scheda **Associazioni VPC**.
1. Scegli **Dissocia VPC**.
1. In **ID VPC**, scegli un VPC da dissociare dal gruppo di sicurezza.
1. Scegli **Dissocia VPC**.
1. Visualizza lo **stato** della dissociazione nella scheda Associazioni VPC e attendi che lo stato sia `disassociated`.
------
#### [ Command line ]
**Per dissociare un gruppo di sicurezza da un VPC**
1. Dissocia un'associazione VPC con. [disassociate-security-group-vpc](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/disassociate-security-group-vpc.html)
1. Controlla lo stato di una disassociazione VPC con [describe-security-group-vpc-associations](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/describe-security-group-vpc-associations.html) e attendi che lo sia lo stato. `disassociated`
------
Il VPC è ora dissociato dal gruppo di sicurezza.
# Condividi i gruppi di sicurezza con AWS Organizations
La funzionalità Shared Security Group consente di condividere un gruppo di sicurezza con altri account AWS Organizations all'interno della stessa AWS regione e di rendere il gruppo di sicurezza disponibile per l'utilizzo da parte di tali account.
Il diagramma seguente mostra come utilizzare la funzionalità Shared Security Group per semplificare la gestione dei gruppi di sicurezza tra gli account delle Organizzazioni AWS :
![\[Diagramma della condivisione di gruppi di sicurezza con altri account in una sottorete VPC condivisa.\]](http://docs.aws.amazon.com/it_it/vpc/latest/userguide/images/sec-group-sharing.png)
Questo diagramma mostra tre account che fanno parte della stessa organizzazione. L'account A condivide una sottorete VPC con gli account B e C. L'account A condivide il gruppo di sicurezza con gli account B e C utilizzando la funzionalità Gruppo di sicurezza condiviso. Gli account B e C utilizzano quindi quel gruppo di sicurezza quando avviano istanze nella sottorete condivisa. Ciò consente all'account A di gestire il gruppo di sicurezza; qualsiasi aggiornamento al gruppo di sicurezza si applica alle risorse che gli account B e C hanno in esecuzione nella sottorete VPC condivisa.
**Requisiti della funzionalità Gruppo di sicurezza condiviso**
+ Questa funzionalità è disponibile solo per gli account della stessa organizzazione in AWS Organizations. [La condivisione delle risorse](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html) deve essere abilitata in AWS Organizations.
+ L'account che condivide il gruppo di sicurezza deve possedere sia il VPC che il gruppo di sicurezza.
+ Non è possibile condividere gruppi di sicurezza predefiniti.
+ Non è possibile condividere gruppi di sicurezza che si trovano in un VPC predefinito.
+ Gli account dei partecipanti possono creare gruppi di sicurezza in un VPC condiviso, ma non possono condividere tali gruppi di sicurezza.
+ È necessario un set minimo di autorizzazioni per consentire a un principale IAM di condividere un gruppo di AWS RAM sicurezza. Utilizza le policy IAM `AmazonEC2FullAccess` e `AWSResourceAccessManagerFullAccess` gestite per assicurarti che i principali IAM dispongano delle autorizzazioni necessarie per condividere e utilizzare gruppi di sicurezza condivisi. Se utilizzi una policy IAM personalizzata, sono necessarie le operazioni `c2:PutResourcePolicy` e `ec2:DeleteResourcePolicy`. Si tratta di operazioni IAM che richiedono solo l'autorizzazione. Se a un principale IAM non sono concesse queste autorizzazioni, si verificherà un errore nel tentativo di condividere il gruppo di sicurezza utilizzando AWS RAM.
**Servizi che supportano questa funzionalità**
+ Gateway Amazon API
+ Amazon EC2
+ Amazon ECS
+ Amazon EFS
+ Amazon EKS
+ Amazon EMR
+ Amazon FSx
+ Amazon ElastiCache
+ AWS Elastic Beanstalk
+ AWS Glue
+ Amazon MQ
+ Amazon SageMaker AI
+ Elastic Load Balancing
+ Application Load Balancer
+ Network Load Balancer
**In che modo questa funzionalità influisce sulle quote esistenti**
Si applicano le [quote dei gruppi di sicurezza](amazon-vpc-limits.md#vpc-limits-security-groups). Per la quota “Gruppi di sicurezza per interfaccia di rete”, tuttavia, se un partecipante utilizza sia gruppi di proprietà che gruppi condivisi su un’interfaccia di rete elastica (ENI), si applica la quota minima del proprietario e del partecipante.
Esempio per dimostrare in che modo la quota è influenzata da questa funzionalità:
+ Quota dell'account del proprietario: 4 gruppi di sicurezza per interfaccia
+ Quota dell'account del partecipante: 5 gruppi di sicurezza per interfaccia
+ Il proprietario condivide i gruppi SG-O1, SG-O2, SG-O3, SG-O4, SG-O5 con il partecipante. Il partecipante dispone già di gruppi propri nel VPC: SG-P1, SG-P2, SG-P3, SG-P4, SG-P5.
+ Se un partecipante crea una ENI e utilizza solo i gruppi di cui è proprietario, può associare tutti e 5 i gruppi di sicurezza (SG-P1, SG-P2, SG-P3, SG-P4, SG-P5) perché questa è la sua quota.
+ Se il partecipante crea una ENI e utilizza dei gruppi condivisi al suo interno, può associare solo fino a 4 gruppi. In questo caso, la quota per tale ENI è la quota minima delle quote del proprietario e del partecipante. Le possibili configurazioni valide sono le seguenti:
+ SG-O1, SG-P1, SG-P2, SG-P3
+ SG-O1, SG-O2, SG-O3, SG-O4
## Condivisione di un gruppo di sicurezza
Questa sezione spiega come utilizzare Console di gestione AWS e AWS CLI condividere un gruppo di sicurezza con altri account dell'organizzazione.
------
#### [ AWS Management Console ]
**Condividere un gruppo di sicurezza**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Nel riquadro di navigazione a sinistra, scegli **Gruppi di sicurezza**.
1. Scegli un gruppo di sicurezza per visualizzare i dettagli.
1. Scegliere la scheda **Sharing (Condivisione)** .
1. Scegli **Condividi gruppo di sicurezza**.
1. Seleziona **Crea condivisione risorse**. Di conseguenza, si apre la AWS RAM console in cui potrai creare la condivisione di risorse per il gruppo di sicurezza.
1. Aggiungi un **Nome** per la condivisione della risorsa.
1. In **Risorse - facoltativo**, scegli **Gruppi di sicurezza**.
1. Scelta del gruppo di sicurezza. Il gruppo di sicurezza non può essere un gruppo di sicurezza predefinito e non può essere associato al VPC predefinito.
1. Scegli **Next (Successivo)**.
1. Controlla le operazioni che i principali saranno autorizzati a eseguire e scegli **Avanti**.
1. In **Principali - facoltativo**, scegli **Consenti la condivisione solo all'interno dell'organizzazione**.
1. In **Principali**, seleziona uno dei seguenti tipi di principali e inserisci i numeri appropriati:
+ **AWS account**: il numero di account di un account dell'organizzazione.
+ **Organizzazione**: The AWS Organizations ID.
+ **Unità organizzativa (UO)**: l'ID di un'unità organizzativa nell'organizzazione.
+ **Ruolo IAM**: l'ARN di un ruolo IAM. L'account che ha creato il ruolo deve essere membro della stessa organizzazione dell'account che crea questa condivisione di risorse.
+ **Utente IAM**: l'ARN di un utente IAM. L'account che ha creato l'utente deve essere membro della stessa organizzazione dell'account che crea questa condivisione di risorse.
+ **Principale del servizio**: non è possibile condividere un gruppo di sicurezza con un principale del servizio.
1. Scegli **Aggiungi**.
1. Scegli **Next (Successivo)**.
1. Seleziona **Crea condivisione risorse**.
1. In **Risorse condivise**, attendi di visualizzare lo **stato** di `Associated`. Se si verifica un errore nell'associazione tra i gruppi di sicurezza, il motivo può essere una delle limitazioni sopra elencate. Visualizza i dettagli del gruppo di sicurezza e la scheda **Condivisione** nella pagina dei dettagli per visualizzare eventuali messaggi relativi al motivo per cui un gruppo di sicurezza potrebbe non essere condivisibile.
1. Torna all'elenco dei gruppi di sicurezza della console VPC.
1. Scegli il gruppo di sicurezza che hai condiviso.
1. Scegliere la scheda **Sharing (Condivisione)** . La tua AWS RAM risorsa dovrebbe essere visibile lì. In caso contrario, la creazione della condivisione di risorse potrebbe non essere riuscita e potrebbe essere necessario ricrearla.
------
#### [ Command line ]
**Condividere un gruppo di sicurezza**
1. È innanzitutto necessario creare una condivisione di risorse per il gruppo di sicurezza con cui si desidera condividere AWS RAM. Per istruzioni su come creare una condivisione di risorse AWS RAM utilizzando il AWS CLI, consulta [Creazione di una condivisione di risorse AWS RAM nella](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html) *Guida per l'AWS RAM utente*
1. Per visualizzare le associazioni di condivisione delle risorse create, utilizzare [get-resource-share-associations](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/get-resource-share-associations.html).
------
Il gruppo di sicurezza è ora condiviso. Puoi selezionare il gruppo di sicurezza quando [avvii un’istanza EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/LaunchingAndUsingInstances.html) in una sottorete condivisa all’interno dello stesso VPC.
## Interruzione della condivisione di un gruppo di sicurezza
Questa sezione spiega come utilizzare Console di gestione AWS e AWS CLI per interrompere la condivisione di un gruppo di sicurezza con altri account dell'organizzazione.
------
#### [ AWS Management Console ]
**Interrompere la condivisione di un gruppo di sicurezza**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Nel riquadro di navigazione a sinistra, scegli **Gruppi di sicurezza**.
1. Scegli un gruppo di sicurezza per visualizzare i dettagli.
1. Scegliere la scheda **Sharing (Condivisione)** .
1. Scegli una condivisione di risorse per il gruppo di sicurezza e successivamente **Interrompi condivisione**.
1. Scegli **Sì, interrompi condivisione**.
------
#### [ Command line ]
**Interrompere la condivisione di un gruppo di sicurezza**
Elimina la condivisione di risorse con [delete-resource-share](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/delete-resource-share.html).
------
Il gruppo di sicurezza non è più condiviso. Una volta che il proprietario interrompe la condivisione di un gruppo di sicurezza, si applicano le regole seguenti:
+ Il partecipante esistente Elastic Network Interfaces (ENIs) continua a ricevere tutti gli aggiornamenti delle regole dei gruppi di sicurezza apportati ai gruppi di sicurezza non condivisi. L'annullamento della condivisione impedisce solo al partecipante di creare nuove associazioni con il gruppo non condiviso.
+ I partecipanti non possono più associare il gruppo di sicurezza non condiviso a nessuno di loro proprietà. ENIs
+ I partecipanti possono descrivere ed eliminare i gruppi ENIs di sicurezza ancora associati a gruppi di sicurezza non condivisi.
+ Se i partecipanti sono ancora ENIs associati al gruppo di sicurezza non condiviso, il proprietario non può eliminare il gruppo di sicurezza non condiviso. Il proprietario può eliminare il gruppo di sicurezza solo dopo che i partecipanti hanno dissociato (rimosso) il gruppo di sicurezza da tutti i propri. ENIs
+ I partecipanti non possono avviare nuove istanze EC2 utilizzando una ENI associata a un gruppo di sicurezza non condiviso.
# Controllo del traffico della sottorete con le liste di controllo degli accessi alla rete
Una *lista di controllo degli accessi (ACL) di rete* consente o nega traffico specifico in entrata o in uscita a livello di sottorete. Si possono utilizzare liste di controllo accessi di rete predefinite per il VPC oppure creare liste di controllo accessi di rete personalizzate per il VPC con regole simili a quelle del gruppo di sicurezza, in modo tale da aggiungere un ulteriore livello di sicurezza al VPC.
Non ci sono costi aggiuntivi per l'utilizzo della rete ACLs.
Il seguente diagramma mostra un VPC con due sottoreti. Ogni sottorete ha un'ACL di rete. Quando il traffico entra nel VPC (ad esempio, da un VPC in peering, da una connessione VPN o da Internet), il router invia il traffico a destinazione. L'ACL di rete A determina quale traffico destinato alla sottorete 1 può entrare nella sottorete 1 e quale traffico destinato a una posizione esterna alla sottorete 1 può uscire dalla sottorete 1. Analogamente, l'ACL B della rete determina quale traffico può entrare e uscire dalla sottorete 2.
![\[Un VPC con due sottoreti e un'ACL di rete per ogni sottorete.\]](http://docs.aws.amazon.com/it_it/vpc/latest/userguide/images/network-acl.png)
Per informazioni sulle differenze tra gruppi di sicurezza e rete ACLs, vedere[Confronta i gruppi di sicurezza e la rete ACLs](infrastructure-security.md#VPC_Security_Comparison).
**Topics**
+ [Informazioni di base sulla lista di controllo accessi di rete](#nacl-basics)
+ [Regole di liste di controllo accessi di rete](nacl-rules.md)
+ [ACL di rete predefinita per un VPC](default-network-acl.md)
+ [Rete personalizzata ACLs per il tuo VPC](custom-network-acl.md)
+ [Path MTU Discovery e rete ACLs](path_mtu_discovery.md)
+ [Creazione di una lista di controllo accessi di rete per il VPC](create-network-acl.md)
+ [Gestione delle associazioni delle ACL di rete per il VPC](network-acl-associations.md)
+ [Eliminazione di una ACL di rete per il VPC](delete-network-acl.md)
+ [Esempio: controllo dell'accesso alle istanze in una sottorete](nacl-examples.md)
## Informazioni di base sulla lista di controllo accessi di rete
Di seguito sono riportate le informazioni di base da sapere sulla rete ACLs prima di iniziare.
**Associazioni delle liste di controllo degli accessi di rete**
+ Ogni sottorete nel VPC deve Essere associata a una lista di controllo accessi di rete. Se non associ in maniera esplicita una sottorete a una lista di controllo degli accessi di rete (ACL), la sottorete viene associata automaticamente alla [ACL predefinita](default-network-acl.md).
+ Puoi creare una [ACL di rete personalizzata](custom-network-acl.md) e associarla a una sottorete per consentire o rifiutare traffico specifico in entrata o in uscita al livello della sottorete.
+ Puoi associare una lista di controllo accessi di rete a più sottoreti. Tuttavia, una sottorete può essere associata a una sola lista di controllo accessi di rete alla volta. Quando associ una lista di controllo accessi di rete a una sottorete, l'associazione precedente viene rimossa.
**Regole di liste di controllo accessi di rete**
+ Un'ACL di rete ha regole in entrata e regole in uscita. Esistono [quote (o limiti) al numero di regole disponibili per ogni lista di controllo degli accessi di rete](amazon-vpc-limits.md#vpc-limits-nacls). Ogni regola può consentire o negare il traffico. Ogni regola ha un numero compreso tra 1 e 32766. Quando decidiamo se consentire o rifiutare il traffico, valutiamo le regole in ordine, a partire dalla regola numerata più bassa. Se il traffico corrisponde a una regola, la regola viene applicata e non ne viene valutata nessun'altra. Ti consigliamo di iniziare creando regole in incrementi (ad esempio, incrementi di 10 o 100) in modo da poter inserire nuove regole se richiesto in seguito.
+ Valutiamo le regole ACL di rete quando il traffico entra ed esce dalla sottorete, non quando viene instradato all'interno di una sottorete.
+ NACLs sono *apolidi*, il che significa che le informazioni sul traffico inviato o ricevuto in precedenza non vengono salvate. Se, ad esempio, si crea una regola NACL per consentire un traffico in entrata specifico verso una sottorete, le risposte a tale traffico non vengono consentite automaticamente. Ciò è in contrasto con il funzionamento dei gruppi di sicurezza. I NAC sono *stateful*, quindi le informazioni sul traffico inviato o ricevuto in precedenza vengono salvate. Se, ad esempio, un gruppo di sicurezza consente il traffico in entrata verso un'istanza EC2, le risposte vengono automaticamente consentite, indipendentemente dalle regole del gruppo di sicurezza in uscita.
**Limitazioni**
+ Esistono delle quote (note anche come limiti) per la rete. ACLs Per ulteriori informazioni, consulta [Rete ACLs](amazon-vpc-limits.md#vpc-limits-nacls).
+ La rete non ACLs può bloccare le richieste DNS da o verso il Route 53 Resolver (noto anche come indirizzo IP VPC\$12 o DNS). AmazonProvided Per filtrare le richieste DNS attraverso il Route 53 Resolver, abilita il [Firewall DNS per il Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall.html).
+ La rete non ACLs può bloccare il traffico verso l'Instance Metadata Service (IMDS). Per gestire l'accesso a IMDS, consulta la pagina [Configurazione delle opzioni dei metadati dell'istanza](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-options.html) nella *Guida per l'utente di Amazon EC2*.
+ La rete ACLs non filtra il traffico destinato e proveniente da quanto segue:
+ Amazon Domain Name Services (DNS)
+ Amazon Dynamic Host Configuration Protocol (DHCP)
+ Metadati delle istanze Amazon EC2.
+ Endpoint di metadati dei processi Amazon ECS
+ Attivazione della licenza per le istanze Windows
+ Servizio di sincronizzazione oraria di Amazon
+ Indirizzi IP riservati utilizzati dal router VPC predefinito
# Regole di liste di controllo accessi di rete
Puoi aggiungere o rimuovere regole dall'ACL di rete predefinito o creare una rete aggiuntiva ACLs per il tuo VPC. Quando aggiungi o rimuovi regole da una lista di controllo accessi di rete, le modifiche vengono applicate automaticamente alle sottoreti cui è associata.
Di seguito sono riportate le parti di una regola della lista di controllo accessi di rete:
+ **Numero regola**. Le regole sono valutate a partire da quella con numerazione più bassa. Non appena una regola corrisponde al traffico, viene applicata a prescindere da qualsiasi altra regola con numerazione più alta che potrebbe contraddirla.
+ **Tipo**. Il tipo di traffico; ad esempio, SSH. Puoi anche specificare tutto il traffico o un intervallo personalizzato.
+ **Protocol (Protocollo**. Puoi specificare qualsiasi protocollo che dispone di un numero di protocollo standard. Per ulteriori informazioni, consulta la sezione relativa ai [numeri di protocollo](http://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml). Se specifichi ICMP come protocollo, puoi specificare qualcuno o tutti dei tipi e dei codici ICMP.
+ **Intervallo porte**. La porta di ascolto o l'intervallo di porte per il traffico. Ad esempio, 80 per il traffico HTTP.
+ **Source (Origine**. [Solo regole in entrata] L'origine del traffico (intervallo CIDR).
+ **Destination (Destinazione**. [Solo regole in uscita] La destinazione per il traffico (intervallo CIDR).
+ **Consenti/Nega**. Scelta tra le opzioni *allow* o *deny* per il traffico specificato.
Per le regole di esempio, consulta [Esempio: controllo dell'accesso alle istanze in una sottorete](nacl-examples.md).
## Considerazioni
+ Esistono delle quote (note anche come limiti) per il numero di regole per rete. ACLs Per ulteriori informazioni, consulta [Quote Amazon VPC](amazon-vpc-limits.md).
+ Quando aggiungi o elimini una regola da una lista di controllo accessi, le eventuali sottoreti associate alla lista di controllo accessi sono influenzate dalla modifica. Le modifiche diventano effettive dopo un breve periodo di tempo.
+ Se si aggiunge una regola utilizzando uno strumento a riga di comando o l'API Amazon EC2, l'intervallo CIDR viene modificato automaticamente nel suo formato canonico. Ad esempio, se si specifica `100.68.0.18/18` per l'intervallo CIDR, verrà creata una regola con un intervallo CIDR `100.68.0.0/18`.
+ Potrebbe essere necessario aggiungere una regola Rifiuta in una situazione in cui devi aprire un ampio intervallo di porte, ma alcune di esse sono incluse nell’intervallo di porte che hai scelto di rifiutare. Assicurati di assegnare alla regola Rifiuta un numero inferiore rispetto alla regola che consente una gamma più ampia di traffico per le porte.
+ Se decidi di aggiungere ed eliminare contemporaneamente regole da una lista di controllo degli accessi di rete, dovrai prestare attenzione. Se elimini regole in entrata o in uscita e poi aggiungi nuove voci superando il limite massimo consentito (consulta [Quote Amazon VPC](amazon-vpc-limits.md)), le voci selezionate per l’eliminazione verranno eliminate, ma le nuove voci *non verranno aggiunte*. Questo potrebbe causare problemi di connettività imprevisti e impedire l’accesso da e verso i VPC.
# ACL di rete predefinita per un VPC
Il cloud privato virtuale (VPC) include automaticamente una ACL di rete predefinita. Viene configurata una ACL di rete predefinita per abilitare tutto il traffico in entrata e in uscita dalle sottoreti cui è associata. Ogni ACL di rete include anche regole in cui il numero della regola è un asterisco (\$1). Queste regole garantiscono che, se un pacchetto non corrisponde a nessuna delle altre regole numerate, verrà rifiutato.
Puoi modificare una ACL di rete predefinita aggiungendo regole o eliminando le regole numerate predefinite. Non puoi eliminare una regola in cui il numero della stessa è un asterisco.
**Regole in entrata predefinite**
La tabella seguente mostra le regole in entrata predefinite per una ACL di rete predefinita. Le regole per IPv6 vengono aggiunte solo se si crea il VPC con un blocco IPv6 CIDR associato o si associa un blocco IPv6 CIDR al VPC. Tuttavia, se hai modificato le regole in entrata di un ACL di rete predefinito, non aggiungiamo la regola che consente tutto il IPv6 traffico in entrata quando associ un IPv6 blocco al VPC.
| Rule \$1 | Tipo | Protocollo | Intervallo porte | Crea | Consenti/Nega |
| --- | --- | --- | --- | --- | --- |
| 100 | Tutto il traffico IPv4 | Tutti | Tutti | 0.0.0.0/0 | PERMETTI |
| 101 | Tutto IPv6 il traffico | Tutti | Tutti | ::/0 | ALLOW |
| \$1 | Tutto il traffico | Tutti | Tutti | 0.0.0.0/0 | DENY |
| \$1 | Tutto IPv6 il traffico | Tutti | Tutti | ::/0 | DENY |
**Regole in uscita predefinite**
La tabella seguente mostra le regole in uscita predefinite per una ACL di rete predefinita. Le regole per IPv6 vengono aggiunte solo se si crea il VPC con un blocco IPv6 CIDR associato o si associa un blocco IPv6 CIDR al VPC. Tuttavia, se hai modificato le regole in uscita di un ACL di rete predefinito, non aggiungiamo la regola che consente tutto il IPv6 traffico in uscita quando associ un IPv6 blocco al VPC.
| Rule \$1 | Tipo | Protocollo | Intervallo porte | Destinazione | Consenti/Nega |
| --- | --- | --- | --- | --- | --- |
| 100 | Tutto il traffico | Tutti | Tutti | 0.0.0.0/0 | PERMETTI |
| 101 | Tutto il traffico IPv6 | Tutti | Tutti | ::/0 | ALLOW |
| \$1 | Tutto il traffico | Tutti | Tutti | 0.0.0.0/0 | DENY |
| \$1 | Tutto IPv6 il traffico | Tutti | Tutti | ::/0 | DENY |
# Rete personalizzata ACLs per il tuo VPC
Puoi creare una ACL di rete personalizzata e associarla a una sottorete per consentire o rifiutare traffico specifico in entrata o in uscita al livello della sottorete. Per ulteriori informazioni, consulta [Creazione di una lista di controllo accessi di rete per il VPC](create-network-acl.md).
Ogni ACL di rete include una regola in entrata e una regola in uscita predefinite in cui il numero della regola è un asterisco (\$1). Queste regole garantiscono che se un pacchetto non corrisponde a nessuna delle altre regole verrà rifiutato.
Puoi modificare una ACL di rete aggiungendo o eliminando regole. Non puoi eliminare una regola in cui il numero della stessa è un asterisco.
Per ogni regola aggiunta deve esserci una regola in entrata o una regola in uscita che abiliti il traffico di risposta. Per ulteriori informazioni su come selezionare l'intervallo di porte temporanee appropriato, consulta [Porte Effimere](#nacl-ephemeral-ports).
**Regole in entrata di esempio**
La tabella seguente mostra esempi di regole in entrata per una lista di controllo degli accessi di rete. Le regole per IPv6 vengono aggiunte solo se al VPC è associato un blocco IPv6 CIDR. IPv4 e il IPv6 traffico viene valutato separatamente. Pertanto, nessuna delle regole per il IPv4 traffico si applica al IPv6 traffico. È possibile aggiungere IPv6 regole accanto alle IPv4 regole corrispondenti o aggiungere le IPv6 regole dopo l'ultima IPv4 regola.
Non appena un pacchetto arriva nella sottorete, lo valutiamo rispetto alle regole in entrata della ACL di rete associata alla sottorete, partendo dalla regola con il numero più basso. Ad esempio, supponiamo che ci sia IPv4 traffico destinato alla porta HTTPS (443). Il pacchetto non corrisponde alla regola 100 o 105. Corrisponde alla regola 110, che consente al traffico di entrare nella sottorete. Se il pacchetto fosse stato destinato alla porta 139 (NetBIOS), non corrisponderebbe a nessuna delle regole numerate, quindi la regola\$1 per il IPv4 traffico alla fine nega il pacchetto.
| Rule \$1 | Tipo | Protocollo | Intervallo porte | Crea | Consenti/Nega | Commenti |
| --- | --- | --- | --- | --- | --- | --- |
| 100 | HTTP | TCP | 80 | 0.0.0.0/0 | PERMETTI | Consente il traffico HTTP in entrata da qualsiasi indirizzo. IPv4 |
| 105 | HTTP | TCP | 80 | ::/0 | ALLOW | Consente il traffico HTTP in entrata da qualsiasi IPv6 indirizzo. |
| 110 | HTTPS | TCP | 443 | 0.0.0.0/0 | PERMETTI | Consente il traffico HTTPS in entrata da qualsiasi IPv4 indirizzo. |
| 115 | HTTPS | TCP | 443 | ::/0 | ALLOW | Consente il traffico HTTPS in entrata da qualsiasi IPv6 indirizzo. |
| 120 | SSH | TCP | 22 | *192.0.2.0/24* | PERMETTI | Consente il traffico SSH in entrata dall'intervallo di IPv4 indirizzi pubblici della rete domestica (tramite il gateway Internet). |
| 140 | TCP personalizzato | TCP | *32768-65535* | 0.0.0.0/0 | PERMETTI | Consente il IPv4 traffico di ritorno in entrata da Internet (per le richieste che hanno origine nella sottorete). |
| 145 | TCP personalizzato | TCP | *32768-65535* | ::/0 | ALLOW | Consente il IPv6 traffico di ritorno in entrata da Internet (per le richieste che hanno origine nella sottorete). |
| \$1 | Tutto il traffico | Tutti | Tutti | 0.0.0.0/0 | DENY | Nega tutto il IPv4 traffico in entrata non già gestito da una regola precedente (non modificabile). |
| \$1 | Tutto il traffico | Tutti | Tutti | ::/0 | DENY | Nega tutto il IPv6 traffico in entrata che non sia già gestito da una regola precedente (non modificabile). |
**Regole in uscita di esempio**
La tabella seguente mostra esempi di regole in uscita per una ACL di rete personalizzata. Le regole per IPv6 vengono aggiunte solo se al VPC è associato un blocco IPv6 CIDR. IPv4 e il IPv6 traffico viene valutato separatamente. Pertanto, nessuna delle regole per il IPv4 traffico si applica al IPv6 traffico. È possibile aggiungere IPv6 regole accanto alle IPv4 regole corrispondenti o aggiungere le IPv6 regole dopo l'ultima IPv4 regola.
| Rule \$1 | Tipo | Protocollo | Intervallo porte | Destinazione | Consenti/Nega | Commenti |
| --- | --- | --- | --- | --- | --- | --- |
| 100 | HTTP | TCP | 80 | 0.0.0.0/0 | PERMETTI | Consente il traffico IPv4 HTTP in uscita dalla sottorete a Internet. |
| 105 | HTTP | TCP | 80 | ::/0 | ALLOW | Consente il traffico IPv6 HTTP in uscita dalla sottorete verso Internet. |
| 110 | HTTPS | TCP | 443 | 0.0.0.0/0 | PERMETTI | Consente il traffico IPv4 HTTPS in uscita dalla sottorete verso Internet. |
| 115 | HTTPS | TCP | 443 | ::/0 | ALLOW | Consente il traffico IPv6 HTTPS in uscita dalla sottorete verso Internet. |
| 120 | TCP personalizzato | TCP | *1024-65535* | *192.0.2.0/24* | PERMETTI | Abilita le risposte in uscita per il traffico SSH alla rete privata. |
| 140 | TCP personalizzato | TCP | *32768-65535* | 0.0.0.0/0 | PERMETTI | Consente IPv4 risposte in uscita ai client su Internet (ad esempio, la pubblicazione di pagine Web). |
| 145 | TCP personalizzato | TCP | *32768-65535* | ::/0 | ALLOW | Consente IPv6 risposte in uscita ai client su Internet (ad esempio, la pubblicazione di pagine Web). |
| \$1 | Tutto il traffico | Tutti | Tutti | 0.0.0.0/0 | DENY | Nega tutto il IPv4 traffico in uscita non ancora gestito da una regola precedente. |
| \$1 | Tutto il traffico | Tutti | Tutti | ::/0 | DENY | Nega tutto il IPv6 traffico in uscita che non sia già gestito da una regola precedente. |
## Porte Effimere
La lista di controllo accessi di rete di esempio nella sezione precedente utilizza un intervallo di porte Effimere di 32768-65535. Tuttavia, potresti voler utilizzare un intervallo diverso per la tua rete ACLs a seconda del tipo di client che stai utilizzando o con cui stai comunicando.
Il client che avvia la richiesta sceglie l'intervallo di porte Effimere. L'intervallo varia a seconda del sistema operativo del client.
+ Molti kernel Linux (incluso il kernel Amazon Linux) usano le porte 32768-61000.
+ Le richieste provenienti da Elastic Load Balancing utilizzano le porte 1024-65535.
+ I sistemi operativi Windows tramite Windows Server 2003 utilizzano porte 1025-5000.
+ Windows Server 2008 e versioni successive utilizzano porte 49152-65535.
+ Un gateway NAT utilizza le porte 1024-65535.
+ AWS Lambda le funzioni utilizzano le porte 1024-65535.
Ad esempio, se una richiesta arriva in un server Web nel VPC da un client Windows 10 su Internet, la lista di controllo degli accessi di rete deve disporre di una regola in uscita per abilitare il traffico destinato alle porte 49152-65535.
Se un’istanza nel VPC è il client che avvia una richiesta, la ACL di rete deve disporre di una regola in entrata per abilitare il traffico destinato alle porte temporanee specifiche per il sistema operativo dell’istanza.
In pratica, per coprire i diversi tipi di client che possono avviare il traffico su istanze rivolte al pubblico nel VPC, puoi aprire porte Effimere 1024-65535. Tuttavia, puoi anche aggiungere regole alla lista di controllo accessi per rifiutare il traffico su porte dannose all'interno di tale intervallo. Accertati di posizionare le regole deny il prima possibile nella tabella rispetto alle regole allow che aprono l'ampio intervallo di porte temporanee.
## Rete personalizzata e altri servizi ACLs AWS
Se crei un ACL di rete personalizzato, tieni presente come ciò potrebbe influire sulle risorse create utilizzando altri AWS servizi.
Con Elastic Load Balancing, se la sottorete per le istanze di back-end dispone di una lista di controllo accessi di rete in cui è stata aggiunta una regola *deny* per tutto il traffico con un'origine di `0.0.0.0/0` o il CIDR della sottorete, il load balancer non può eseguire controlli di stato sulle istanze. Per ulteriori informazioni sulle regole della ACL di rete consigliate per i bilanciatori del carico e le istanze di backend, consulta:
+ [Rete ACLs per il tuo Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-troubleshooting.html)
+ [Rete ACLs per il tuo Network Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/target-group-register-targets.html#network-acls)
+ [Rete ACLs per il tuo Classic Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-vpc-network-acls.html)
## Risoluzione dei problemi di raggiungibilità
Reachability Analyzer è uno strumento di analisi statica della configurazione. Utilizza questo strumento per analizzare ed eseguire il debug della raggiungibilità di rete tra due risorse nel VPC. Reachability Analyzer hop-by-hop produce dettagli del percorso virtuale tra queste risorse quando sono raggiungibili e identifica il componente di blocco in caso contrario. Ad esempio, è in grado di identificare le regole ACL di rete mancanti o configurate in modo errato.
Per ulteriori informazioni, consulta la [Guida di Reachability Analyzer](https://docs.aws.amazon.com/vpc/latest/reachability/).
# Path MTU Discovery e rete ACLs
Il rilevamento della MTU del percorso è utilizzato per determinare la MTU del percorso tra due dispositivi. La MTU del percorso è la dimensione massima del pacchetto che è supportata nel percorso tra l'host di origine e quello ricevente.
Infatti IPv4, quando un host invia un pacchetto più grande dell'MTU dell'host ricevente o più grande dell'MTU di un dispositivo lungo il percorso, l'host o il dispositivo ricevente elimina il pacchetto e quindi restituisce il seguente messaggio ICMP: `Destination Unreachable: Fragmentation Needed and Don't Fragment was Set` (Tipo 3, Codice 4). Questo indica all'host trasmittente di dividere il payload in più pacchetti più piccoli e quindi di trasmetterli di nuovo.
Il IPv6 protocollo non supporta la frammentazione della rete. Se un host invia un pacchetto più grande della MTU dell'host ricevente o della MTU di un dispositivo lungo il percorso, l'host o il dispositivo ricevente elimina il pacchetto e restituisce il seguente messaggio ICMP: `ICMPv6 Packet Too Big (PTB)` (Tipo 2). Questo indica all'host trasmittente di dividere il carico in più pacchetti più piccoli e quindi di trasmetterli di nuovo.
Se l'unità di trasmissione massima (MTU) tra gli host nelle sottoreti è diversa o se le istanze comunicano con peer su Internet, devi aggiungere la regola della lista di controllo degli accessi (ACL) seguente, sia in entrata sia in uscita. Ciò garantisce il corretto funzionamento del rilevamento della MTU del percorso e previene la perdita di pacchetti. Seleziona **Custom ICMP Rule (Regola ICMP personalizzata)** per il tipo e **Destination Unreachable**, **fragmentation required, and DF flag set (Destinazione irraggiungibile: richiesta frammentazione e flag DF attivo)** per l'intervallo di porte (tipo 3, codice 4). Se si utilizza traceroute, aggiungere anche la seguente regola: selezionare **Custom ICMP Rule (Regola ICMP personalizzata)** per il tipo e **Time Exceeded (Orario superato)**, **TTL expired transit (Transito TTL scaduto)** per l'intervallo porte (tipo 11, codice 0). Per ulteriori informazioni, consulta [Unità di trasmissione massima di rete (MTU) per la tua istanza EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/network_mtu.html) nella *Guida per l'utente di Amazon EC2*.
# Creazione di una lista di controllo accessi di rete per il VPC
Le seguenti attività mostrano come creare una ACL di rete, aggiungere regole e quindi associarla a una sottorete.
**Topics**
+ [Passaggio 1: creazione di una lista di controllo degli accessi di rete](#CreateACL)
+ [Passaggio 2: aggiungere regole](#Rules)
+ [Passaggio 3: associazione di una sottorete a una lista di controllo degli accessi di rete](#NetworkACL)
+ [(Facoltativo) Gestione della rete ACLs tramite Firewall Manager](#nacls-using-firewall-manager)
## Passaggio 1: creazione di una lista di controllo degli accessi di rete
Puoi creare una lista di controllo accessi di rete personalizzata dal VPC. Le regole iniziali per una ACL personalizzata bloccano tutto il traffico in entrata e in uscita. La nuova ACL personalizzata non è associata a una sottorete per impostazione predefinita e deve essere associata in modo esplicito alle sottoreti.
**Creare una ACL tramite la console**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Nel riquadro di navigazione, scegli **Rete ACLs**.
1. Seleziona **Crea una ACL di rete**.
1. (Facoltativo) In **Nome**, indica un nome per la lista di controllo degli accessi di rete.
1. In **VPC**, seleziona il VPC.
1. (Facoltativo) In **Tag**, seleziona **Aggiungi tag**, dopodiché inserisci la chiave e il valore del tag.
1. Seleziona **Crea una ACL di rete**.
**Creare una ACL di rete tramite la riga di comando**
+ [create-network-acl](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-network-acl.html) (AWS CLI)
+ [New-EC2NetworkAcl](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2NetworkAcl.html) (AWS Tools for Windows PowerShell)
## Passaggio 2: aggiungere regole
Puoi aggiungere regole che abilitano o rifiutano il traffico in entrata o in uscita.
Elaboriamo le regole nell’ordine, partendo dalla regola con il numero più basso. Ti consigliamo di lasciare degli spazi vuoti tra i numeri regola (ad esempio 100, 200, 300), anziché utilizzare numeri in sequenziali (101, 102, 103). Questo semplifica l'aggiunta di una nuova regola senza la necessità di numerare le regole Esistenti.
Se stai utilizzando l'API Amazon EC2 o uno strumento a riga di comando, non puoi modificare le regole. Puoi solo aggiungere ed eliminare regole. Se stai utilizzando la console Amazon VPC, puoi modificare le voci relative alle regole esistenti. La console rimuove la regola esistente e aggiunge una nuova regola automaticamente. Se occorre modificare l'ordine di una regola nella lista di controllo accessi, devi aggiungere una nuova regola con il nuovo numero regola , quindi eliminare la regola originale.
**Aggiungere regole a una ACL di rete tramite la console**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Nel riquadro di navigazione, scegli **Rete ACLs**.
1. Selezionare l'ACL di rete.
1. Per aggiungere una regola in entrata, effettua le seguenti operazioni:
1. Selezionare la scheda **Regole in entrata**.
1. Seleziona **Modifica regole in entrata**, **Aggiungi nuova regola**.
1. Inserisci un numero della regola che non sia già in uso, un tipo, un protocollo, un intervallo di porte e un’origine, e indica se abilitare o rifiutare il traffico. Per alcuni tipi, il protocollo e la porta vengono compilati automaticamente. Se ti viene richiesto di indicare un intervallo di porte, inserisci un numero di porta o un intervallo di porte (ad esempio, da 49152 a 65535).
Per utilizzare un protocollo non riportato nell’elenco, seleziona **Protocollo personalizzato** per indicare il tipo, quindi scegli il protocollo. Per ulteriori informazioni, consulta la sezione [Numeri di protocollo IANA](http://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml).
1. Scegli **Save changes** (Salva modifiche).
1. Per aggiungere una regola in uscita, effettua le seguenti operazioni:
1. Seleziona la scheda **Regole in uscita**.
1. Seleziona **Modifica regole in uscita**, **Aggiungi nuova regola**.
1. Inserisci un numero della regola che non sia già in uso, un tipo, un protocollo, un intervallo di porte e un’origine, e indica se abilitare o rifiutare il traffico. Per alcuni tipi, il protocollo e la porta vengono compilati automaticamente. Se ti viene richiesto di indicare un intervallo di porte, inserisci un numero di porta o un intervallo di porte (ad esempio, da 49152 a 65535).
Per utilizzare un protocollo non riportato nell’elenco, seleziona **Protocollo personalizzato** per indicare il tipo, quindi scegli il protocollo. Per ulteriori informazioni, consulta la sezione [Numeri di protocollo IANA](http://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml).
1. Scegli **Save changes** (Salva modifiche).
**Aggiungere una regola a una ACL di rete tramite la riga di comando**
+ [create-network-acl-entry](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-network-acl-entry.html) (AWS CLI)
+ [New-EC2NetworkAclEntry](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2NetworkAclEntry.html) (AWS Tools for Windows PowerShell)
**Sostituire una regola in una ACL di rete tramite la riga di comando**
+ [replace-network-acl-entry](https://docs.aws.amazon.com/cli/latest/reference/ec2/replace-network-acl-entry.html) (AWS CLI)
+ [Set-EC2NetworkAclEntry](https://docs.aws.amazon.com/powershell/latest/reference/items/Set-EC2NetworkAclEntry.html) (AWS Tools for Windows PowerShell)
**Eliminare una regola da una ACL di rete tramite la riga di comando**
+ [delete-network-acl-entry](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-network-acl-entry.html) (AWS CLI)
+ [Remove-EC2NetworkAclEntry](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2NetworkAclEntry.html) (AWS Tools for Windows PowerShell)
## Passaggio 3: associazione di una sottorete a una lista di controllo degli accessi di rete
Per applicare le regole di una lista di controllo accessi di rete a una particolare sottorete, occorre associare la sottorete alla lista di controllo accessi di rete. Puoi associare una lista di controllo accessi di rete a più sottoreti. Tuttavia, una sottorete può essere associata a una sola lista di controllo accessi di rete. Eventuali sottoreti non associate a una particolare lista di controllo accessi vengono associate per impostazione predefinita alla lista di controllo accessi di rete predefinita.
**Per associare una sottorete a una lista di controllo accessi di rete**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Nel riquadro di navigazione, scegli **Rete ACLs**, quindi seleziona l'ACL di rete.
1. Nel riquadro dei dettagli, nella scheda **Associazioni sottorete**, seleziona **Modifica**. Selezionare la casella di controllo **Associate (Associa)** per la sottorete da associare alla lista di controllo accessi di rete, quindi selezionare **Save (Salva)**.
## (Facoltativo) Gestione della rete ACLs tramite Firewall Manager
AWS Firewall Manager semplifica le attività di amministrazione e manutenzione degli ACL di rete su più account e sottoreti. È possibile utilizzare Firewall Manager per monitorare account e sottoreti all'interno dell'organizzazione e applicare automaticamente le configurazioni delle liste di controllo degli accessi alla rete definite. Firewall Manager è particolarmente utile quando si desidera proteggere l'intera organizzazione o se si aggiungono spesso nuove sottoreti che si desidera proteggere automaticamente da un account amministratore centrale.
Con una politica ACL di rete Firewall Manager, utilizzando un unico account amministratore, è possibile configurare, monitorare e gestire i set di regole minimi che si desidera definire nella rete ACLs utilizzata nell'organizzazione. È possibile specificare quali account e sottoreti dell'organizzazione rientrano nell'ambito della policy di Firewall Manager. Firewall Manager riporta lo stato di conformità della rete ACLs per le sottoreti incluse nell'ambito ed è possibile configurare Firewall Manager per automatizzare la riparazione delle reti non conformi. ACLs
Per ulteriori informazioni, consulta le seguenti risorse nella *Guida per gli sviluppatori AWS Firewall Manager *:
+ [AWS Firewall Manager prerequisiti](https://docs.aws.amazon.com/waf/latest/developerguide/fms-prereq.html)
+ [impostazione delle politiche AWS Firewall Manager ACL di rete](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started-fms-network-acl.html)
+ [Utilizzo delle policy per le liste di controllo degli accessi di rete con Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/network-acl-policies.html)
# Gestione delle associazioni delle ACL di rete per il VPC
Ciascuna sottorete è associata a una lista di controllo degli accessi di rete. Quando viene creata per la prima volta, una sottorete è associata alla ACL di rete predefinita per il VPC. Puoi creare una ACL di rete personalizzata e associarla a una o più sottoreti, sostituendo la precedente associazione ACL di rete.
**Topics**
+ [Descrizione delle associazioni delle ACL di rete](#describe-network-acl-association)
+ [Modifica delle sottoreti associate a una lista di controllo degli accessi di rete](#DisassociateNetworkACL)
+ [Modifica della ACL di rete associata a una sottorete](#ChangeNetworkACL)
## Descrizione delle associazioni delle ACL di rete
Puoi descrivere la ACL di rete che è associata a una sottorete e puoi anche descrivere quali sottoreti sono associate a una lista di controllo degli accessi di rete.
**Descrivere la ACL di rete associata a una sottorete tramite la console**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Nel riquadro di navigazione, seleziona **Sottoreti**.
1. Seleziona la sottorete.
1. Seleziona la scheda **ACL di rete**
**Per descrivere l'ACL di rete associato a una sottorete utilizzando AWS CLI**
Utilizzare il [describe-network-acls](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-network-acls.html)comando seguente per elencare l'ACL di rete associato alla sottorete specificata.
```
aws ec2 describe-network-acls --filters Name=association.subnet-id,Values=subnet-0d2d1b81e0bc9c6d4 --query NetworkAcls[*].NetworkAclId
```
Di seguito è riportato un output di esempio.
```
[
"acl-03701d1f82d8c3fd6"
]
```
**Descrivere le sottoreti associate a una ACL di rete tramite la console**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. **Nel riquadro di navigazione, scegli Rete. ACLs**
1. Selezionare l'ACL di rete.
1. Seleziona la scheda **Associazioni delle sottoreti**.
**Per descrivere le sottoreti associate a un ACL di rete utilizzando il AWS CLI**
Utilizzare il [describe-network-acls](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-network-acls.html)comando seguente per elencare le sottoreti associate all'ACL di rete specificato.
```
aws ec2 describe-network-acls --network-acl-ids acl-060415a18fcc9afde --query NetworkAcls[*].Associations[].SubnetId
```
Di seguito è riportato un output di esempio.
```
[
"subnet-0d2d1b81e0bc9c6d4",
"subnet-0e990c67809773b19",
"subnet-0eb17d85f5dfd33b1",
"subnet-0e01d500780bb7468"
]
```
## Modifica delle sottoreti associate a una lista di controllo degli accessi di rete
È possibile annullare l'associazione di una lista di controllo accessi di rete personalizzata da una sottorete. Quando viene annullata l’associazione di una sottorete a una ACL di rete personalizzata, associamo automaticamente la sottorete alla ACL di rete predefinita per il VPC. Le modifiche diventano effettive dopo un breve periodo di tempo.
**Modificare le sottoreti associate a una lista di controllo degli accessi di rete**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. **Nel riquadro di navigazione, scegli Rete. ACLs**
1. Selezionare l'ACL di rete.
1. Seleziona **Operazioni**, **Modifica associazioni sottorete**.
1. Elimina la sottorete da **Sottoreti selezionate**.
1. Scegli **Save changes** (Salva modifiche).
## Modifica della ACL di rete associata a una sottorete
Puoi modificare la lista di controllo accessi di rete associata a una sottorete. Ad esempio, al momento della creazione, una sottorete viene inizialmente associata alla ACL di rete predefinita per il VPC. Se decidi di creare una ACL di rete personalizzata, associandola a una o più sottoreti verranno applicate le regole della lista di controllo degli accessi di rete.
Dopo aver modificato la ACL di rete per una sottorete, le modifiche diventano effettive dopo un breve periodo di tempo.
**Modificare la ACL di rete associata a una sottorete.**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Nel riquadro di navigazione, seleziona **Sottoreti**.
1. Seleziona la sottorete.
1. Seleziona **Operazioni**, **Modifica l’associazione della lista di controllo degli accessi di rete**.
1. Per l’**ID lista di controllo degli accessi di rete**, seleziona la ACL di rete da associare alla sottorete e controlla le regole in entrata e in uscita per la ACL di rete selezionata.
1. Scegli **Save** (Salva).
**Sostituire un’associazione della ACL di rete tramite la riga di comando**
+ [replace-network-acl-association](https://docs.aws.amazon.com/cli/latest/reference/ec2/replace-network-acl-association.html) (AWS CLI)
+ [Set-EC2NetworkAclAssociation](https://docs.aws.amazon.com/powershell/latest/reference/items/Set-EC2NetworkAclAssociation.html) (AWS Tools for Windows PowerShell)
# Eliminazione di una ACL di rete per il VPC
Quando una ACL di rete non è più necessaria, puoi eliminarla. Non puoi eliminare una lista di controllo degli accessi che presenta sottoreti associate. Non puoi eliminare la lista di controllo accessi di rete predefinita.
**Eliminare le associazioni delle sottoreti a una ACL di rete tramite la console**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Nel riquadro di navigazione, scegli **Rete ACLs**. La colonna **Associato con** indica il numero di sottoreti associate a ciascuna lista di controllo degli accessi di rete. Questa colonna è `-` se non ci sono sottoreti associate.
1. Selezionare l'ACL di rete.
1. Seleziona **Operazioni**, **Modifica associazioni sottorete**.
1. Elimina le associazioni delle sottoreti.
1. Scegli **Save changes** (Salva modifiche).
**Per descrivere la rete ACLs, comprese le associazioni, utilizzando la riga di comando**
+ [describe-network-acls](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-network-acls.html) (AWS CLI)
+ [Get-EC2NetworkAcl](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2NetworkAcl.html) (AWS Tools for Windows PowerShell)
**Sostituire un’associazione della ACL di rete tramite la riga di comando**
+ [replace-network-acl-association](https://docs.aws.amazon.com/cli/latest/reference/ec2/replace-network-acl-association.html) (AWS CLI)
+ [Set-EC2NetworkAclAssociation](https://docs.aws.amazon.com/powershell/latest/reference/items/Set-EC2NetworkAclAssociation.html) (AWS Tools for Windows PowerShell)
**Eliminare una ACL di rete tramite la console**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Nel riquadro di navigazione, scegli **Rete ACLs**.
1. Selezionare l'ACL di rete.
1. Scegli **Azioni**, **Elimina rete ACLs**.
1. Quando viene richiesta la conferma, immettere **delete** e quindi scegliere **Elimina**.
**Eliminare una ACL di rete tramite la riga di comando**
+ [delete-network-acl](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-network-acl.html) (AWS CLI)
+ [Remove-EC2NetworkAcl](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2NetworkAcl.html) (AWS Tools for Windows PowerShell)
# Esempio: controllo dell'accesso alle istanze in una sottorete
In questo esempio, le istanze nella sottorete possono comunicare tra loro e sono accessibili da un computer remoto affidabile per svolgere attività amministrative. Il computer remoto potrebbe essere un computer della rete locale, come indicato nel diagramma, o un’istanza in una sottorete o in un VPC diversi. Le regole delle liste di controllo degli accessi di rete per la sottorete e le regole del gruppo di sicurezza per le istanze consentono di accedere dall’indirizzo IP del computer remoto. Tutto il traffico restante da Internet o altre reti viene rifiutato.
![\[Utilizzo di un gruppo di sicurezza e di un NACL\]](http://docs.aws.amazon.com/it_it/vpc/latest/userguide/images/nacl-example-diagram.png)
Utilizzare una ACL di rete offre la flessibilità necessaria per modificare i gruppi di sicurezza o le regole del gruppo di sicurezza per le istanze, avendo sempre a disposizione una ACL di rete come livello di difesa di backup. Ad esempio, se aggiorni accidentalmente il gruppo di sicurezza per consentire l’accesso SSH in entrata da qualsiasi luogo, ma la ACL di rete consente l’accesso solo dall’intervallo di indirizzi IP del computer remoto, la ACL di rete rifiuterà il traffico SSH in entrata da qualsiasi altro indirizzo IP.
## Regole di liste di controllo accessi di rete
Di seguito è riportato un esempio di regole in entrata della ACL di rete associata alla sottorete. Queste regole si applicano a tutte le istanze nella sottorete.
| Rule \$1 | Tipo | Protocollo | Intervallo porte | Crea | Consenti/Nega | Commenti |
| --- | --- | --- | --- | --- | --- | --- |
| 100 | SSH | TCP | 22 | 172.31.1.2/32 | PERMETTI | Abilita il traffico in entrata dal computer remoto. |
| \$1 | Tutto il traffico | Tutti | Tutti | 0.0.0.0/0 | DENY | Rifiuta tutto il restante traffico in entrata. |
Di seguito è riportato un esempio di regole in uscita della ACL di rete associata alla sottorete. ACLs Le reti sono prive di stato. Pertanto, dovrai includere una regola che consenta le risposte al traffico in entrata.
| Rule \$1 | Tipo | Protocollo | Intervallo porte | Destinazione | Consenti/Nega | Commenti |
| --- | --- | --- | --- | --- | --- | --- |
| 100 | TCP personalizzato | TCP | 1024-65535 | 172.31.1.2/32 | PERMETTI | Permette risposte in uscita al computer remoto. |
| \$1 | Tutto il traffico | Tutti | Tutti | 0.0.0.0/0 | RIFIUTA | Nega tutto il traffico in uscita. |
## Regole del gruppo di sicurezza
Di seguito è riportato un esempio di regole in entrata del gruppo di sicurezza associato alle istanze. Queste regole si applicano a tutte le istanze associate al gruppo di sicurezza. Un utente con la chiave privata per la coppia di chiavi associata alle istanze può connettersi alle istanze dal computer remoto tramite SSH.
| Tipo di protocollo | Protocollo | Intervallo porte | Crea | Commenti |
| --- | --- | --- | --- | --- |
| Tutto il traffico | Tutti | Tutti | sg-1234567890abcdef0 | Autorizza la comunicazione tra le istanze associate a questo gruppo di sicurezza. |
| SSH | TCP | 22 | 172.31.1.2/32 | Permette l’accesso SSH in entrata dal computer remoto. |
Di seguito è riportato un esempio di regole in uscita del gruppo di sicurezza associato alle istanze. I gruppi di sicurezza sono stateful. Pertanto, non è necessaria una regola che consenta le risposte al traffico in entrata.
| Tipo di protocollo | Protocollo | Intervallo porte | Destinazione | Commenti |
| --- | --- | --- | --- | --- |
| Tutto il traffico | Tutti | Tutti | sg-1234567890abcdef0 | Autorizza la comunicazione tra le istanze associate a questo gruppo di sicurezza. |
## Differenze tra rete ACLs e gruppi di sicurezza
La tabella seguente riassume le differenze di base tra rete ACLs e gruppi di sicurezza.
| Caratteristica | Lista di controllo degli accessi di rete | Gruppo di sicurezza |
| --- | --- | --- |
| Livello di funzionamento | Livello di sottorete | Livello di istanza |
| Scope | Si applica a tutte le istanze nelle sottoreti associate | Si applica a tutte le istanze associate al gruppo di sicurezza |
| Tipo di regola | Consenti e rifiuta regole | Solo consenti regole |
| Valutazione delle regole | Valuta le regole in ordine crescente finché non viene trovata una corrispondenza per il traffico | Valuta tutte le regole prima di decidere se consentire il traffico. |
| Traffico di ritorno | Deve essere esplicitamente consentito (stateless) | Consentito automaticamente (stateful) |
# Resilienza in Amazon Virtual Private Cloud
L'infrastruttura AWS globale è costruita attorno a zone Regioni AWS di disponibilità. Regioni AWS forniscono più zone di disponibilità fisicamente separate e isolate, collegate tramite reti a bassa latenza, ad alto throughput e altamente ridondanti. Con le zone di disponibilità è possibile progettare e gestire applicazioni e database che eseguono automaticamente il failover tra zone di disponibilità senza interruzioni. Le zone di disponibilità sono più disponibili, tolleranti ai guasti e scalabili rispetto alle infrastrutture a data center singolo o multiplo tradizionali.
Regioni AWS sono gli elementi costitutivi principali, ognuno dei quali rappresenta una posizione geografica distinta che ospita più zone di disponibilità fisicamente separate e isolate. Queste zone di disponibilità sono collegate attraverso un fabric di rete a bassa latenza, ad alta velocità e altamente ridondante, che consente la comunicazione e il trasferimento di dati senza soluzione di continuità tra esse.
L'architettura delle zone di disponibilità è un elemento chiave di differenziazione, in quanto sono progettate per essere molto più robuste e tolleranti ai guasti rispetto alle tradizionali configurazioni di data center singoli o multipli. Distribuendo le risorse su più zone di disponibilità all'interno di una regione, è possibile progettare applicazioni e database per eseguire automaticamente il failover tra le zone senza alcuna interruzione del servizio. Questo livello di ridondanza e alta disponibilità è un requisito fondamentale per i carichi di lavoro mission critical e consente alle organizzazioni di creare soluzioni resilienti native del cloud.
Inoltre, la scalabilità e la portata globale dell' AWS infrastruttura consentono ai clienti di implementare le proprie applicazioni più vicino agli utenti finali, riducendo la latenza e migliorando l'esperienza utente complessiva. La disponibilità di più Regioni in tutto il mondo consente inoltre un'effettiva sovranità e conformità dei dati, in quanto i clienti possono archiviare ed elaborare i dati entro i confini geografici richiesti dalle loro specifiche esigenze normative e aziendali.
Sfruttando l'infrastruttura AWS globale, le organizzazioni possono progettare i propri ambienti cloud in modo che siano altamente disponibili, tolleranti ai guasti e scalabili, con la flessibilità necessaria per adattarsi ai requisiti mutevoli e alle esigenze aziendali in evoluzione. Questa solida base è un fattore chiave per l'implementazione di successo di applicazioni e servizi moderni basati sul cloud.
[Per ulteriori informazioni sulle zone di disponibilità, consulta Global Regioni AWS Infrastructure.AWS](https://aws.amazon.com/about-aws/global-infrastructure/)
Puoi configurarlo VPCs per soddisfare i requisiti di resilienza per i tuoi carichi di lavoro. Per ulteriori informazioni, consulta gli argomenti seguenti:
+ [Comprendi i modelli e i compromessi di resilienza](https://aws.amazon.com/blogs/architecture/understand-resiliency-patterns-and-trade-offs-to-architect-efficiently-in-the-cloud/) (Architecture Blog)AWS
+ [Pianifica la tua topologia di rete](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/plan-your-network-topology.html) (AWS Well-Architected Framework)
+ [Opzioni di connettività Amazon Virtual Private Cloud](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/introduction.html) (AWS white paper)
# Convalida della conformità per Amazon Virtual Private Cloud
Per sapere se un Servizio AWS programma rientra nell'ambito di specifici programmi di conformità, consulta Servizi AWS la sezione [Scope by Compliance Program Servizi AWS](https://aws.amazon.com/compliance/services-in-scope/) e scegli il programma di conformità che ti interessa. Per informazioni generali, consulta Programmi di [AWS conformità Programmi](https://aws.amazon.com/compliance/programs/) di di .
È possibile scaricare report di audit di terze parti utilizzando AWS Artifact. Per ulteriori informazioni, consulta [Scaricamento dei report in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
La vostra responsabilità di conformità durante l'utilizzo Servizi AWS è determinata dalla sensibilità dei dati, dagli obiettivi di conformità dell'azienda e dalle leggi e dai regolamenti applicabili. Per ulteriori informazioni sulla responsabilità di conformità durante l'utilizzo Servizi AWS, consulta la [Documentazione AWS sulla sicurezza](https://docs.aws.amazon.com/security/).
# Blocca l'accesso pubblico alle sottoreti VPCs e alle sottoreti
VPC Block Public Access (BPA) è una funzionalità di sicurezza centralizzata che consente di impedire in modo autoritario l'accesso pubblico a Internet alle risorse VPC di un intero account AWS , garantendo la conformità ai requisiti di sicurezza e fornendo al contempo flessibilità per eccezioni specifiche e funzionalità di audit.
La funzionalità VPC BPA offre le seguenti modalità:
+ **Bidirezionale**: tutto il traffico da e verso i gateway Internet e i gateway Internet solo in uscita in questa regione (ad eccezione delle sottoreti escluse e delle sottoreti) è bloccato. VPCs
+ **Solo in ingresso**: tutto il traffico Internet verso questa regione (ad eccezione delle sottoreti o delle sottoreti che sono VPCs escluse) è bloccato. VPCs È consentito solo il traffico da e verso i gateway NAT e i gateway Internet egress-only, poiché questi gateway consentono solo di stabilire connessioni in uscita.
Puoi anche creare “esclusioni” in questa funzionalità per il traffico che non desideri bloccare. Un’esclusione è una modalità che può essere applicata a un singolo VPC o a una singola sottorete che lo esenta dalla modalità VPC BPA dell’account e consentirà l’accesso bidirezionale o egress-only.
Le esclusioni possono avere una delle seguenti modalità:
+ **Bidirezionale**: è consentito tutto il traffico Internet da e verso le sottoreti e le sottoreti escluse. VPCs
+ **Solo in uscita: è consentito il traffico Internet in uscita dalle sottoreti** e dalle sottoreti escluse. VPCs Il traffico Internet in entrata verso gli esclusi e le sottoreti è bloccato. VPCs Questo vale solo quando VPC BPA è impostato su Bidirezionale.
**Topics**
+ [Nozioni di base su VPC BPA](security-vpc-bpa-basics.md)
+ [Valuta l’impatto di VPC BPA e monitora i VPC BPA](security-vpc-bpa-assess-impact-main.md)
+ [Esempio avanzato](security-vpc-bpa-example.md)
# Nozioni di base su VPC BPA
Questa sezione contiene dettagli importanti su VPC BPA, inclusi i servizi che lo supportano e come utilizzarlo.
**Topics**
+ [Disponibilità regionale](#security-vpc-bpa-reg-avail)
+ [AWS impatto e supporto del servizio](#security-vpc-bpa-service-support)
+ [Limitazioni di VPC BPA](#security-vpc-bpa-limits)
+ [Controllo dell'accesso a VPC BPA con una policy IAM](#security-vpc-bpa-iam-example)
+ [Abilitazione della modalità bidirezionale VPC BPA per l’account](#security-vpc-bpa-enable-bidir)
+ [Modifica della modalità VPC BPA in ingress-only](#security-vpc-bpa-ingress-only)
+ [Creazione ed eliminazione di esclusioni](#security-vpc-bpa-exclusions)
+ [Abilitazione di VPC BPA a livello di organizzazione](#security-vpc-bpa-exclusions-orgs)
## Disponibilità regionale
VPC BPA è disponibile in tutte le [AWS regioni commerciali, comprese le regioni](https://aws.amazon.com//about-aws/global-infrastructure/regions_az/) GovCloud della Cina.
In questa guida, troverai anche informazioni sull'utilizzo dello Strumento di analisi degli accessi alla rete e di Reachability Analyzer con VPC BPA. Lo Strumento di analisi degli accessi alla rete e Reachability Analyzer non sono disponibili in tutte le Regioni commerciali. Per informazioni sulla disponibilità regionale dello Strumento di analisi degli accessi alla rete e di Reachability Analyzer, consulta [Limitazioni](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/how-network-access-analyzer-works.html#analyzer-limitations) nella *Guida dello Strumento di analisi degli accessi alla rete* e [Considerazioni](https://docs.aws.amazon.com/vpc/latest/reachability/how-reachability-analyzer-works.html#considerations) nella *Guida di Reachability Analyzer*.
## AWS impatto e supporto del servizio
Le risorse e i servizi seguenti supportano VPC BPA e il traffico verso questi servizi e risorse è influenzato da VPC BPA:
+ **Gateway Internet**: tutto il traffico in entrata e in uscita è bloccato.
+ **Gateway Internet egress-only**: tutto il traffico in uscita è bloccato. I gateway Internet egress-only non consentono il traffico in entrata.
+ **Gateway Load Balancer (GWLB)**: tutto il traffico in entrata e in uscita viene bloccato anche se la sottorete che contiene gli endpoint GWLB è esclusa.
+ **Gateway NAT**: tutto il traffico in entrata e in uscita è bloccato. I gateway NAT richiedono un gateway Internet per la connettività Internet.
+ **Network Load Balancer connesso a Internet**: tutto il traffico in entrata e in uscita è bloccato. I Network Load Balancer connessi a Internet richiedono un gateway Internet per la connettività.
+ **Application Load Balancer connesso a Internet**: tutto il traffico in entrata e in uscita è bloccato. Gli Application Load Balancer connessi a Internet richiedono un gateway Internet per la connettività.
+ **Amazon CloudFront VPC Origins**: tutto il traffico in entrata e in uscita è bloccato.
+ **Direct Connect**: Tutto il traffico in entrata e in uscita che utilizza interfacce virtuali pubbliche (indirizzi unicast pubblici IPv4 o globali) è bloccato. IPv6 Questo traffico utilizza il gateway Internet (o gateway Internet egress-only) per la connettività.
+ **AWS Global Accelerator**: il traffico in entrata verso VPCs è bloccato, indipendentemente dal fatto che la destinazione sia altrimenti accessibile da Internet.
+ **AWS Network Firewall**: tutto il traffico in entrata e in uscita è bloccato anche se la sottorete che contiene gli endpoint del firewall è esclusa.
+ **AWS Wavelength carrier gateway**: tutto il traffico in entrata e in uscita è bloccato.
Il traffico relativo alla connettività privata, come il traffico per i seguenti servizi e risorse, non viene bloccato o influenzato da VPC BPA:
+ AWS Client VPN
+ AWS CloudWAN
+ AWS Outposts gateway locale
+ AWS Site-to-Site VPN
+ Transit Gateway
+ Accesso verificato da AWS
**Importante**
Se devi indirizzare il traffico in entrata e in uscita attraverso un’appliance (ad esempio, uno strumento di sicurezza o monitoraggio di terzi) in esecuzione su un’istanza EC2 in una sottorete quando utilizzi VPC BPA, questa sottorete deve essere un’esclusione per abilitare il traffico in entrata e in uscita. Non è necessario aggiungere come esclusioni altre sottoreti che indirizzano traffico alla sottorete dell’appliance e non al gateway Internet.
Il traffico inviato privatamente dalle risorse del VPC ad altri servizi in esecuzione nel VPC, ad esempio Route 53 Resolver, è abilitato anche quando la funzionalità VPC BPA è attiva perché non passa attraverso un gateway Internet nel VPC. È possibile che questi servizi effettuino richieste a risorse esterne al VPC per tuo conto, ad esempio per risolvere una query DNS, e possano esporre informazioni sull'attività delle risorse all'interno del VPC se non mitigate da altri controlli di sicurezza.
## Limitazioni di VPC BPA
La modalità VPC BPA solo in ingresso non è supportata in Local Zones (LZs), dove i gateway NAT e i gateway Internet solo in uscita non sono consentiti.
## Controllo dell'accesso a VPC BPA con una policy IAM
Per esempi di policy IAM che allow/deny accedono alla funzionalità VPC BPA, consulta. [Blocca l'accesso pubblico alle sottoreti e alle VPCs sottoreti](vpc-policy-examples.md#vpc-bpa-example-iam)
## Abilitazione della modalità bidirezionale VPC BPA per l’account
La modalità bidirezionale VPC BPA blocca tutto il traffico da e verso i gateway Internet e i gateway Internet solo in uscita in questa regione (ad eccezione delle sottoreti e delle sottoreti escluse). VPCs Per ulteriori informazioni sulle esclusioni, consulta [Creazione ed eliminazione di esclusioni](#security-vpc-bpa-exclusions).
**Importante**
Ti consigliamo di esaminare attentamente i carichi di lavoro che richiedono l'accesso a Internet prima di abilitare VPC BPA nei tuoi account di produzione.
**Nota**
Per abilitare VPC BPA sulle sottoreti VPCs e del tuo account, devi possedere le sottoreti and. VPCs
Se attualmente condividi sottoreti VPC con altri account, la modalità VPC BPA applicata dal proprietario della sottorete si applica anche al traffico dei partecipanti, ma questi ultimi non possono controllare le impostazioni VPC BPA che influiscono sulla sottorete condivisa.
------
#### [ Console di gestione AWS ]
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Nel riquadro di navigazione a sinistra, scegli **Impostazioni**.
1. Scegli **Modifica impostazioni di accesso pubblico**.
1. Scegli **Attiva il blocco dell'accesso pubblico** e **Bidirezionale**, quindi scegli **Salva modifiche**.
1. Attendi che lo **stato** passi su **Abilitato**. Potrebbero essere necessari alcuni minuti prima che le impostazioni VPC BPA si attivino e lo stato venga aggiornato.
La modalità bidirezionale VPC BPA è ora attiva.
------
#### [ AWS CLI ]
1. Attiva VPC BPA:
```
aws ec2 --region us-east-2 modify-vpc-block-public-access-options --internet-gateway-block-mode block-bidirectional
```
Potrebbero essere necessari alcuni minuti prima che le impostazioni VPC BPA si attivino e lo stato venga aggiornato.
1. Visualizza lo stato di VPC BPA:
```
aws ec2 --region us-east-2 describe-vpc-block-public-access-options
```
------
## Modifica della modalità VPC BPA in ingress-only
La modalità VPC BPA solo in ingresso blocca tutto il traffico Internet verso questa regione (ad eccezione delle VPCs sottoreti che sono escluse). VPCs È consentito solo il traffico da e verso i gateway NAT e i gateway Internet egress-only, poiché questi gateway consentono solo di stabilire connessioni in uscita.
------
#### [ Console di gestione AWS ]
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Nel riquadro di navigazione a sinistra, scegli **Impostazioni**.
1. Scegli **Modifica impostazioni di accesso pubblico**.
1. Cambia la direzione impostandola su **Ingress-only.**
1. Salva le modifiche e attendi che lo stato venga aggiornato. Potrebbero essere necessari alcuni minuti prima che le impostazioni VPC BPA si attivino e lo stato venga aggiornato.
------
#### [ AWS CLI ]
1. Modifica la direzione del blocco VPC BPA:
```
aws ec2 --region us-east-2 modify-vpc-block-public-access-options --internet-gateway-block-mode block-ingress
```
Potrebbero essere necessari alcuni minuti prima che le impostazioni VPC BPA si attivino e lo stato venga aggiornato.
1. Visualizza lo stato di VPC BPA:
```
aws ec2 --region us-east-2 describe-vpc-block-public-access-options
```
------
## Creazione ed eliminazione di esclusioni
Un’esclusione VPC BPA è una modalità che può essere applicata a un singolo VPC o a una singola sottorete che lo esenta dalla modalità VPC BPA dell’account e consente l’accesso bidirezionale o egress-only. Puoi creare esclusioni VPC BPA per VPCs e sottoreti anche quando VPC BPA non è abilitato sull'account per garantire che non vi siano interruzioni del traffico delle esclusioni quando VPC BPA è attivato. Un'esclusione per un VPC si applica automaticamente a tutte le sottoreti del VPC.
È possibile creare un massimo di 50 esclusioni. Per informazioni su come richiedere un aumento dei limiti, consulta *Esclusioni di VPC BPA per account* in [Quote Amazon VPC](amazon-vpc-limits.md).
------
#### [ Console di gestione AWS ]
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Nel riquadro di navigazione a sinistra, scegli **Impostazioni**.
1. Nella scheda **Blocca accesso pubblico**, in **Esclusioni**, esegui una delle seguenti operazioni:
+ Per eliminare un’esclusione, seleziona l’esclusione, quindi seleziona **Operazioni** > **Elimina esclusioni**.
+ Per creare un’esclusione, seleziona **Crea esclusioni** e continua segieuendo i passaggi successivi.
1. Scegli la direzione del blocco:
+ **Bidirezionale**: consente tutto il traffico Internet da e verso le sottoreti e le sottoreti escluse. VPCs
+ **Solo uscita: consente il traffico Internet in uscita dalle sottoreti** escluse e dalle sottoreti. VPCs Blocca il traffico Internet in entrata verso gli esclusi e le sottoreti. VPCs Questa impostazione si applica solo quando la funzionalità VPC BPA è impostata su **Bidirezionale**.
1. Scegli un VPC o una sottorete
1. Scegli **Crea esclusioni**.
1. Attendi che lo **Stato dell'esclusione** passi su **Attivo**. Potrebbe essere necessario aggiornare la tabella di esclusione per visualizzare la modifica.
L'esclusione è stata creata.
------
#### [ AWS CLI ]
1. Modifica la direzione di autorizzazione dell'esclusione:
```
aws ec2 --region us-east-2 create-vpc-block-public-access-exclusion --subnet-id subnet-id --internet-gateway-exclusion-mode allow-bidirectional
```
1. L'aggiornamento dello stato dell'esclusione può richiedere del tempo. Per visualizzare lo stato dell'esclusione:
```
aws ec2 --region us-east-2 describe-vpc-block-public-access-exclusions --exclusion-ids exclusion-id
```
------
## Abilitazione di VPC BPA a livello di organizzazione
Se utilizzi AWS Organizations per gestire gli account della tua organizzazione, puoi utilizzare una [policy dichiarativa di AWS Organizations](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_declarative.html) per applicare il VPC BPA agli account dell'organizzazione. Per ulteriori informazioni sulla policy dichiarativa di VPC BPA, consulta [Policy dichiarative supportate](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_declarative_syntax.html#declarative-policy-vpc-block-public-access) nella *Guida per l'utente di AWS Organizations*.
**Nota**
Puoi utilizzare la policy dichiarativa di VPC BPA per configurare se le esclusioni sono consentite, ma non puoi creare esclusioni con la policy. Per creare esclusioni, devi comunque crearle nell'account che possiede il VPC. Per ulteriori informazioni sulla creazione di esclusioni di VPC BPA, consulta [Creazione ed eliminazione di esclusioni](#security-vpc-bpa-exclusions).
Se la policy dichiarativa di VPC BPA è abilitata, in **Blocca impostazioni di accesso pubblico** vedrai **Gestito da policy dichiarativa** e non potrai modificare le impostazioni di VPC BPA a livello di account.
# Valuta l’impatto di VPC BPA e monitora i VPC BPA
Questa sezione contiene informazioni su come valutare l'impatto di VPC BPA prima di attivarlo e su come monitorare se il traffico viene bloccato dopo l'attivazione.
**Topics**
+ [Valuta l’impatto di VPC BPA con lo Strumento di analisi degli accessi alla rete](#security-vpc-bpa-assess-impact)
+ [Monitoraggio dell’impatto di VPC BPA con log di flusso](#security-vpc-bpa-fl)
+ [Tieni traccia dell'eliminazione delle esclusioni con CloudTrail](#security-vpc-bpa-cloudtrail)
+ [Verifica del blocco della connettività con Reachability Analyzer](#security-vpc-bpa-verify-RA)
## Valuta l’impatto di VPC BPA con lo Strumento di analisi degli accessi alla rete
In questa sezione, userai lo Strumento di analisi degli accessi alla rete per visualizzare le risorse del tuo account che utilizzano un gateway Internet *prima* di abilitare VPC BPA e bloccare l’accesso. Utilizza questa analisi per comprendere l'impatto dell'attivazione di VPC BPA nel tuo account e del blocco del traffico.
**Nota**
Network Access Analyzer non supporta IPv6, quindi non sarà possibile utilizzarlo per visualizzare il potenziale impatto di VPC BPA sul traffico in uscita del gateway Internet solo in uscita. IPv6
Ti vengono addebitati i costi delle analisi eseguite con Strumento di analisi degli accessi alla rete. Per ulteriori informazioni, consulta la sezione [Prezzi](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-network-access-analyzer.html#pricing) nella *Guida dello Strumento di analisi degli accessi alla rete*.
Per informazioni sulla disponibilità regionale dello Strumento di analisi degli accessi alla rete, consulta [Limitazioni](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/how-network-access-analyzer-works.html#analyzer-limitations) nella *Guida dello Strumento di analisi degli accessi alla rete*.
------
#### [ Console di gestione AWS ]
1. Apri la console di Network Insights all'indirizzo. AWS [https://console.aws.amazon.com/networkinsights/](https://console.aws.amazon.com/networkinsights/)
1. Scegli **Strumento di analisi degli accessi alla rete**.
1. Scegli **Crea ambito di accesso alla rete**.
1. Scegli **Valuta l'impatto di Blocco dell'accesso pubblico VPC** e scegli **Avanti**.
1. Il modello è già configurato per analizzare il traffico da e verso i gateway Internet del tuo account. Puoi visualizzarlo in **Origine** e **Destinazione**.
1. Scegli **Next (Successivo)**.
1. Scegli **Crea ambito di accesso alla rete**.
1. Scegli l'ambito che hai appena creato e scegli **Analizza**.
1. Attendi il completamento del processo.
1. Visualizza gli esiti dell'analisi. Ogni riga in **Esiti** mostra un percorso di rete che un pacchetto può percorrere in una rete da o verso un gateway Internet del tuo account. In questo caso, se attivi VPC BPA e nessuna delle e/o o sottoreti che appaiono in questi risultati è configurata come esclusioni VPC BPA, il traffico verso quelle VPCs e le sottoreti sarà limitato. VPCs
1. Analizza ogni risultato per comprendere l'impatto del VPC BPA sulle risorse del tuo. VPCs
L'analisi dell'impatto è completa.
------
#### [ AWS CLI ]
1. Crea un ambito di accesso alla rete:
```
aws ec2 create-network-insights-access-scope --region us-east-2 --match-paths "Source={ResourceStatement={ResourceTypes=["AWS::EC2::InternetGateway"]}}" "Destination={ResourceStatement={ResourceTypes=["AWS::EC2::InternetGateway"]}}"
```
1. Inizia l'analisi dell'ambito:
```
aws ec2 start-network-insights-access-scope-analysis --region us-east-2 --network-insights-access-scope-id nis-id
```
1. Ottieni i risultati dell'analisi:
```
aws ec2 get-network-insights-access-scope-analysis-findings --region us-east-2 --network-insights-access-scope-analysis-id nisa-0aa383a1938f94cd1 --max-items 1
```
I risultati mostrano il traffico da e verso i gateway Internet in tutto il tuo account VPCs . I risultati sono organizzati come «risultati». "FindingId«:" AnalysisFinding -1" indica che questo è il primo risultato dell'analisi. Tieni presente che esistono diversi esiti e ognuno indica un flusso di traffico che verrà influenzato dall'attivazione di VPC BPA. Il primo risultato mostrerà che il traffico è iniziato da un gateway Internet (» SequenceNumber «: 1), è passato a un NACL (» SequenceNumber «: 2) a un gruppo di sicurezza (» SequenceNumber «: 3) e è terminato in un'istanza (» SequenceNumber «: 4).
1. Analizza i risultati per comprendere l'impatto del VPC BPA sulle risorse del tuo. VPCs
L'analisi dell'impatto è completa.
------
## Monitoraggio dell’impatto di VPC BPA con log di flusso
Log di flusso VPC è una funzionalità che consente di acquisire informazioni sul traffico IP da e verso le interfacce di rete elastiche nel VPC. Puoi utilizzare questa funzionalità per monitorare il traffico bloccato da VPC BPA e impedirgli di raggiungere le interfacce di rete dell'istanza.
Crea un log di flusso per il tuo VPC utilizzando i passaggi in [Utilizzo dei log di flusso](working-with-flow-logs.md).
Quando crei il log di flusso, assicurati di utilizzare un formato personalizzato che includa il campo `reject-reason`.
Quando visualizzi i log di flusso, se il traffico verso un ENI viene rifiutato a causa di VPC BPA, viene visualizzato un `reject-reason` di `BPA` nella voce del log di flusso.
Oltre alle [limitazioni](flow-logs-limitations.md) standard per i log di flusso VPC, tieni presente le seguenti limitazioni specifiche di VPC BPA:
+ I log di flusso per BPA VPC non includono i [record ignorati](flow-logs-records-examples.md#flow-log-example-no-data).
+ I log di flusso per BPA VPC non includono [`bytes`](flow-log-records.md#flow-logs-fields) anche se includi il campo `bytes` nel log di flusso.
## Tieni traccia dell'eliminazione delle esclusioni con CloudTrail
Questa sezione spiega come monitorare e tenere traccia dell'eliminazione delle esclusioni VPC BPA. AWS CloudTrail
------
#### [ Console di gestione AWS ]
Puoi visualizzare tutte le esclusioni eliminate nella **cronologia degli CloudTrail eventi** cercando **Tipo di risorsa** > `AWS::EC2::VPCBlockPublicAccessExclusion` nella console all'indirizzo. AWS CloudTrail [https://console.aws.amazon.com/cloudtrailv2/](https://console.aws.amazon.com/cloudtrailv2/)
------
#### [ AWS CLI ]
Puoi utilizzare il comando `lookup-events` per visualizzare gli eventi relativi all'eliminazione di esclusioni:
```
aws cloudtrail lookup-events --lookup-attributes AttributeKey=ResourceType,AttributeValue=AWS::EC2::VPCBlockPublicAccessExclusion
```
------
## Verifica del blocco della connettività con Reachability Analyzer
[VPC Reachability Analyzer](https://docs.aws.amazon.com/vpc/latest/reachability/what-is-reachability-analyzer.html) può essere utilizzato per valutare se determinati percorsi di rete possono essere raggiunti o meno in base alla configurazione di rete, incluse le impostazioni VPC BPA.
*Per informazioni sulla disponibilità regionale di Reachability Analyzer, consulta [Considerazioni](https://docs.aws.amazon.com/vpc/latest/reachability/how-reachability-analyzer-works.html#considerations) nella Guida di Reachability Analyzer*.
------
#### [ Console di gestione AWS ]
1. Apri la console AWS Network Insights all'indirizzo[https://console.aws.amazon.com/networkinsights/home#ReachabilityAnalyzer](https://console.aws.amazon.com/networkinsights/home#ReachabilityAnalyzer).
1. Fai clic su **Crea e analizza il percorso**.
1. Per **Tipo di origine**, scegli **Gateway Internet** e seleziona il gateway Internet per il quale desideri bloccare il traffico dal **menu a discesa Origine**.
1. Per **Tipo di destinazione**, scegli **Istanze** e seleziona l'istanza verso cui desideri bloccare il traffico dal menu a discesa **Destinazione**.
1. Fai clic su **Crea e analizza il percorso**.
1. Attendi il completamento del processo. Il processo può richiedere alcuni minuti.
1. Una volta completato, dovresti vedere che lo **stato di raggiungibilità** è **non raggiungibile** e che i **dettagli del percorso** indicano che `VPC_BLOCK_PUBLIC_ACCESS_ENABLED ` è la causa di questo problema di raggiungibilità.
------
#### [ AWS CLI ]
1. Crea un percorso di rete utilizzando l'ID del gateway Internet da cui desideri bloccare il traffico (origine) e l'ID dell'istanza verso cui desideri bloccare il traffico (destinazione):
```
aws ec2 --region us-east-2 create-network-insights-path --source igw-id --destination instance-id --protocol TCP
```
1. Avvia un'analisi sul percorso di rete:
```
aws ec2 --region us-east-2 start-network-insights-analysis --network-insights-path-id nip-id
```
1. Richiama i risultati dell'analisi:
```
aws ec2 --region us-east-2 describe-network-insights-analyses --network-insights-analysis-ids nia-id
```
1. Verifica che `VPC_BLOCK_PUBLIC_ACCESS_ENABLED` sia il `ExplanationCode` della mancanza di raggiungibilità.
------
# Esempio avanzato
Questa sezione contiene un esempio avanzato che ti aiuterà a capire come opera la funzionalità Blocco dell'accesso pubblico VPC in diversi scenari. Ogni scenario si basa sullo scenario precedente, quindi è importante completare i passaggi in ordine.
**Importante**
Non utilizzare questo esempio in un account di produzione. Ti consigliamo di esaminare attentamente i carichi di lavoro che richiedono l'accesso a Internet prima di abilitare VPC BPA nei tuoi account di produzione.
**Nota**
Per comprendere appieno la funzionalità VPC BPA, avrai bisogno di determinate risorse nel tuo account. In questa sezione, forniamo un CloudFormation modello che puoi utilizzare per fornire le risorse necessarie per comprendere appieno come funziona questa funzionalità. Esistono costi associati alle risorse fornite con il CloudFormation modello e alle analisi eseguite con Network Access Analyzer e Reachability Analyzer. Se utilizzi il modello in questa sezione, assicurati di completare i passaggi di pulizia al termine di questo esempio.
**Topics**
+ [CloudFormation Implementa il modello (opzionale)](#security-vpc-bpa-example-deploy-cfn)
+ [Visualizza l'impatto di VPC BPA con Strumento di analisi degli accessi alla rete](#vpc-bpa-naa)
+ [Scenario 1: connessione a istanze senza la funzionalità VPC BPA attivata](#vpc-bpa-scenario-1-connect-scen1)
+ [Scenario 2: attivazione di VPC BPA in modalità bidirezionale](#vpc-bpa-scenario-1-connect-scen2)
+ [Scenario 3: modifica della modalità VPC BPA in Ingress-only](#vpc-bpa-scenario-3)
+ [Scenario 4: Creazione di un'esclusione](#vpc-bpa-scenario-4)
+ [Scenario 5: modifica della modalità di esclusione](#vpc-bpa-scenario-5)
+ [Scenario 6: modifica della modalità VPC BPA](#vpc-bpa-scenario-6)
+ [Pulizia](#vpc-bpa-scenario-cleanup)
## CloudFormation Implementa il modello (opzionale)
Per dimostrare come funziona questa funzionalità, sono necessari un VPC, sottoreti, istanze e altre risorse. Per semplificare il completamento di questa dimostrazione, abbiamo fornito di seguito un modello CloudFormation che puoi utilizzare per aumentare rapidamente le risorse necessarie per gli scenari di questa demo. Questo passaggio è facoltativo e puoi decidere di limitarti a visualizzare i diagrammi negli Scenari di questa sezione.
**Nota**
Esistono costi associati alle risorse create in questa sezione con il CloudFormation modello, ad esempio il costo del gateway NAT e gli indirizzi pubblici IPv4 . Per evitare costi eccessivi, assicurati di completare i passaggi di pulizia per rimuovere tutte le risorse create ai fini di questo esempio.
Questo CloudFormation modello crea le risorse sottostanti necessarie per VPC BPA ma non abilita la funzionalità VPC BPA stessa. Le risorse disponibili in questa sezione ti aiuteranno a comprendere e testare la funzionalità VPC BPA dopo aver scelto di abilitarla separatamente.
Il modello crea le seguenti risorse nel tuo account:
+ Gateway Internet Egress-only
+ Internet Gateway
+ Gateway NAT
+ Due sottoreti pubbliche
+ Una sottorete privata
+ Due istanze EC2 con indirizzi pubblici e privati IPv4
+ Un'istanza EC2 con un IPv6 indirizzo e un indirizzo privato IPv4
+ Un'istanza EC2 con un solo indirizzo privato IPv4
+ Gruppo di sicurezza con traffico SSH e ICMP in entrata consentito e TUTTO il traffico in uscita consentito
+ Log di flusso VPC
+ 1 endpoint EC2 Instance Connect nella sottorete B
Copia il modello seguente e salvalo in un file .yaml.
```
AWSTemplateFormatVersion: '2010-09-09'
Description: Creates a VPC with public and private subnets, NAT gateway, and EC2 instances for VPC BPA.
Parameters:
InstanceAMI:
Description: ID of the Amazone Machine Image (AMI) to use with the instances launched by this template
Type: AWS::EC2::Image::Id
InstanceType:
Description: EC2 Instance type to use with the instances launched by this template
Type: String
Default: t2.micro
Resources:
# VPC
VPCBPA:
Type: AWS::EC2::VPC
Properties:
CidrBlock: 10.0.0.0/16
EnableDnsHostnames: true
EnableDnsSupport: true
InstanceTenancy: default
Tags:
- Key: Name
Value: VPC BPA
# VPC IPv6 CIDR
VPCBPAIpv6CidrBlock:
Type: AWS::EC2::VPCCidrBlock
Properties:
VpcId: !Ref VPCBPA
AmazonProvidedIpv6CidrBlock: true
# EC2 Key Pair
VPCBPAKeyPair:
Type: AWS::EC2::KeyPair
Properties:
KeyName: vpc-bpa-key
# Internet Gateway
VPCBPAInternetGateway:
Type: AWS::EC2::InternetGateway
Properties:
Tags:
- Key: Name
Value: VPC BPA Internet Gateway
VPCBPAInternetGatewayAttachment:
Type: AWS::EC2::VPCGatewayAttachment
Properties:
VpcId: !Ref VPCBPA
InternetGatewayId: !Ref VPCBPAInternetGateway
# Egress-Only Internet Gateway
VPCBPAEgressOnlyInternetGateway:
Type: AWS::EC2::EgressOnlyInternetGateway
Properties:
VpcId: !Ref VPCBPA
# Subnets
VPCBPAPublicSubnetA:
Type: AWS::EC2::Subnet
Properties:
VpcId: !Ref VPCBPA
CidrBlock: 10.0.1.0/24
MapPublicIpOnLaunch: true
Tags:
- Key: Name
Value: VPC BPA Public Subnet A
VPCBPAPublicSubnetB:
Type: AWS::EC2::Subnet
Properties:
VpcId: !Ref VPCBPA
CidrBlock: 10.0.2.0/24
MapPublicIpOnLaunch: true
Tags:
- Key: Name
Value: VPC BPA Public Subnet B
VPCBPAPrivateSubnetC:
Type: AWS::EC2::Subnet
Properties:
VpcId: !Ref VPCBPA
CidrBlock: 10.0.3.0/24
MapPublicIpOnLaunch: false
Ipv6CidrBlock: !Select [0, !GetAtt VPCBPA.Ipv6CidrBlocks]
AssignIpv6AddressOnCreation: true
Tags:
- Key: Name
Value: VPC BPA Private Subnet C
# NAT Gateway
VPCBPANATGateway:
Type: AWS::EC2::NatGateway
Properties:
AllocationId: !GetAtt VPCBPANATGatewayEIP.AllocationId
SubnetId: !Ref VPCBPAPublicSubnetB
Tags:
- Key: Name
Value: VPC BPA NAT Gateway
VPCBPANATGatewayEIP:
Type: AWS::EC2::EIP
Properties:
Domain: vpc
Tags:
- Key: Name
Value: VPC BPA NAT Gateway EIP
# Route Tables
VPCBPAPublicRouteTable:
Type: AWS::EC2::RouteTable
Properties:
VpcId: !Ref VPCBPA
Tags:
- Key: Name
Value: VPC BPA Public Route Table
VPCBPAPublicRoute:
Type: AWS::EC2::Route
DependsOn: VPCBPAInternetGatewayAttachment
Properties:
RouteTableId: !Ref VPCBPAPublicRouteTable
DestinationCidrBlock: 0.0.0.0/0
GatewayId: !Ref VPCBPAInternetGateway
VPCBPAPublicSubnetARouteTableAssoc:
Type: AWS::EC2::SubnetRouteTableAssociation
Properties:
SubnetId: !Ref VPCBPAPublicSubnetA
RouteTableId: !Ref VPCBPAPublicRouteTable
VPCBPAPublicSubnetBRouteTableAssoc:
Type: AWS::EC2::SubnetRouteTableAssociation
Properties:
SubnetId: !Ref VPCBPAPublicSubnetB
RouteTableId: !Ref VPCBPAPublicRouteTable
VPCBPAPrivateRouteTable:
Type: AWS::EC2::RouteTable
Properties:
VpcId: !Ref VPCBPA
Tags:
- Key: Name
Value: VPC BPA Private Route Table
VPCBPAPrivateRoute:
Type: AWS::EC2::Route
Properties:
RouteTableId: !Ref VPCBPAPrivateRouteTable
DestinationCidrBlock: 0.0.0.0/0
NatGatewayId: !Ref VPCBPANATGateway
VPCBPAPrivateSubnetCRoute:
Type: AWS::EC2::Route
Properties:
RouteTableId: !Ref VPCBPAPrivateRouteTable
DestinationIpv6CidrBlock: ::/0
EgressOnlyInternetGatewayId: !Ref VPCBPAEgressOnlyInternetGateway
VPCBPAPrivateSubnetCRouteTableAssociation:
Type: AWS::EC2::SubnetRouteTableAssociation
Properties:
SubnetId: !Ref VPCBPAPrivateSubnetC
RouteTableId: !Ref VPCBPAPrivateRouteTable
# EC2 Instances Security Group
VPCBPAInstancesSecurityGroup:
Type: AWS::EC2::SecurityGroup
Properties:
GroupName: VPC BPA Instances Security Group
GroupDescription: Allow SSH and ICMP access
SecurityGroupIngress:
- IpProtocol: tcp
FromPort: 22
ToPort: 22
CidrIp: 0.0.0.0/0
- IpProtocol: icmp
FromPort: -1
ToPort: -1
CidrIp: 0.0.0.0/0
VpcId: !Ref VPCBPA
Tags:
- Key: Name
Value: VPC BPA Instances Security Group
# EC2 Instances
VPCBPAInstanceA:
Type: AWS::EC2::Instance
Properties:
ImageId: !Ref InstanceAMI
InstanceType: t2.micro
KeyName: !Ref VPCBPAKeyPair
SubnetId: !Ref VPCBPAPublicSubnetA
SecurityGroupIds:
- !Ref VPCBPAInstancesSecurityGroup
Tags:
- Key: Name
Value: VPC BPA Instance A
VPCBPAInstanceB:
Type: AWS::EC2::Instance
Properties:
ImageId: !Ref InstanceAMI
InstanceType: !Ref InstanceType
KeyName: !Ref VPCBPAKeyPair
SubnetId: !Ref VPCBPAPublicSubnetB
SecurityGroupIds:
- !Ref VPCBPAInstancesSecurityGroup
Tags:
- Key: Name
Value: VPC BPA Instance B
VPCBPAInstanceC:
Type: AWS::EC2::Instance
Properties:
ImageId: !Ref InstanceAMI
InstanceType: !Ref InstanceType
KeyName: !Ref VPCBPAKeyPair
SubnetId: !Ref VPCBPAPrivateSubnetC
SecurityGroupIds:
- !Ref VPCBPAInstancesSecurityGroup
Tags:
- Key: Name
Value: VPC BPA Instance C
VPCBPAInstanceD:
Type: AWS::EC2::Instance
Properties:
ImageId: !Ref InstanceAMI
InstanceType: !Ref InstanceType
KeyName: !Ref VPCBPAKeyPair
NetworkInterfaces:
- DeviceIndex: '0'
GroupSet:
- !Ref VPCBPAInstancesSecurityGroup
SubnetId: !Ref VPCBPAPrivateSubnetC
Ipv6AddressCount: 1
Tags:
- Key: Name
Value: VPC BPA Instance D
# Flow Logs IAM Role
VPCBPAFlowLogRole:
Type: AWS::IAM::Role
Properties:
AssumeRolePolicyDocument:
Version: '2012-10-17'
Statement:
- Effect: Allow
Principal:
Service: vpc-flow-logs.amazonaws.com
Action: 'sts:AssumeRole'
Tags:
- Key: Name
Value: VPC BPA Flow Logs Role
VPCBPAFlowLogPolicy:
Type: AWS::IAM::Policy
Properties:
PolicyName: VPC-BPA-FlowLogsPolicy
PolicyDocument:
Version: '2012-10-17'
Statement:
- Effect: Allow
Action:
- 'logs:CreateLogGroup'
- 'logs:CreateLogStream'
- 'logs:PutLogEvents'
- 'logs:DescribeLogGroups'
- 'logs:DescribeLogStreams'
Resource: '*'
Roles:
- !Ref VPCBPAFlowLogRole
# Flow Logs
VPCBPAFlowLog:
Type: AWS::EC2::FlowLog
Properties:
ResourceId: !Ref VPCBPA
ResourceType: VPC
TrafficType: ALL
LogDestinationType: cloud-watch-logs
LogGroupName: /aws/vpc-flow-logs/VPC-BPA
DeliverLogsPermissionArn: !GetAtt VPCBPAFlowLogRole.Arn
LogFormat: '${version} ${account-id} ${interface-id} ${srcaddr} ${dstaddr} ${srcport} ${dstport} ${protocol} ${packets} ${bytes} ${start} ${end} ${action} ${log-status} ${vpc-id} ${subnet-id} ${instance-id} ${tcp-flags} ${type} ${pkt-srcaddr} ${pkt-dstaddr} ${region} ${az-id} ${sublocation-type} ${sublocation-id} ${pkt-src-aws-service} ${pkt-dst-aws-service} ${flow-direction} ${traffic-path} ${reject-reason}'
Tags:
- Key: Name
Value: VPC BPA Flow Logs
# EC2 Instance Connect Endpoint
VPCBPAEC2InstanceConnectEndpoint:
Type: AWS::EC2::InstanceConnectEndpoint
Properties:
SecurityGroupIds:
- !Ref VPCBPAInstancesSecurityGroup
SubnetId: !Ref VPCBPAPublicSubnetB
Outputs:
VPCBPAVPCId:
Description: A reference to the created VPC
Value: !Ref VPCBPA
Export:
Name: vpc-id
VPCBPAPublicSubnetAId:
Description: The ID of the public subnet A
Value: !Ref VPCBPAPublicSubnetA
VPCBPAPublicSubnetAName:
Description: The name of the public subnet A
Value: VPC BPA Public Subnet A
VPCBPAPublicSubnetBId:
Description: The ID of the public subnet B
Value: !Ref VPCBPAPublicSubnetB
VPCBPAPublicSubnetBName:
Description: The name of the public subnet B
Value: VPC BPA Public Subnet B
VPCBPAPrivateSubnetCId:
Description: The ID of the private subnet C
Value: !Ref VPCBPAPrivateSubnetC
VPCBPAPrivateSubnetCName:
Description: The name of the private subnet C
Value: VPC BPA Private Subnet C
VPCBPAInstanceAId:
Description: The ID of instance A
Value: !Ref VPCBPAInstanceA
VPCBPAInstanceBId:
Description: The ID of instance B
Value: !Ref VPCBPAInstanceB
VPCBPAInstanceCId:
Description: The ID of instance C
Value: !Ref VPCBPAInstanceC
VPCBPAInstanceDId:
Description: The ID of instance D
Value: !Ref VPCBPAInstanceD
```
------
#### [ Console di gestione AWS ]
1. Apri la CloudFormation console all'indirizzo[https://console.aws.amazon.com/cloudformation/](https://console.aws.amazon.com/cloudformation/).
1. Scegli **Crea stack** e carica il file modello .yaml.
1. Segui i passaggi per avviare il modello. Dovrai inserire un [ID immagine](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/finding-an-ami.html) e un [tipo di istanza](https://aws.amazon.com/ec2/instance-types/) (come t2.micro). Dovrai inoltre consentire la creazione CloudFormation di un ruolo IAM per la creazione del log di flusso e l'autorizzazione per l'accesso CloudWatch.
1. Una volta avviato lo stack, apri la scheda **Eventi** per visualizzare lo stato di avanzamento e assicurati che lo stack sia completato prima di continuare.
------
#### [ AWS CLI ]
1. Esegui il seguente comando per creare lo CloudFormation stack:
```
aws cloudformation create-stack --stack-name VPC-BPA-stack --template-body file://sampletemplate.yaml --capabilities CAPABILITY_IAM --region us-east-2
```
Output:
```
{
"StackId": "arn:aws:cloudformation:us-east-2:470889052923:stack/VPC-BPA-stack/8a7a2cc0-8001-11ef-b196-06386a84b72f"
}
```
1. Visualizza lo stato di avanzamento e assicurati che lo stack sia completato prima di continuare:
```
aws cloudformation describe-stack-events --stack-name VPC-BPA-stack --region us-east-2
```
------
## Visualizza l'impatto di VPC BPA con Strumento di analisi degli accessi alla rete
In questa sezione, userai Strumento di analisi degli accessi alla rete per visualizzare le risorse del tuo account che utilizzano il gateway Internet. Utilizza questa analisi per comprendere l'impatto dell'attivazione di VPC BPA nel tuo account e del blocco del traffico.
Per informazioni sulla disponibilità regionale dello Strumento di analisi degli accessi alla rete, consulta [Limitazioni](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/how-network-access-analyzer-works.html#analyzer-limitations) nella *Guida dello Strumento di analisi degli accessi alla rete*.
------
#### [ Console di gestione AWS ]
1. Apri la console AWS di Network Insights all'indirizzo[https://console.aws.amazon.com/networkinsights/](https://console.aws.amazon.com/networkinsights/).
1. Scegli **Strumento di analisi degli accessi alla rete**.
1. Scegli **Crea ambito di accesso alla rete**.
1. Scegli **Valuta l'impatto di Blocco dell'accesso pubblico VPC** e scegli **Avanti**.
1. Il modello è già configurato per analizzare il traffico da e verso i gateway Internet del tuo account. Puoi visualizzarlo in **Origine** e **Destinazione**.
1. Scegli **Next (Successivo)**.
1. Scegli **Crea ambito di accesso alla rete**.
1. Scegli l'ambito che hai appena creato e scegli **Analizza**.
1. Attendi il completamento del processo.
1. Visualizza gli esiti dell'analisi. Ogni riga in **Esiti** mostra un percorso di rete che un pacchetto può percorrere in una rete da o verso un gateway Internet del tuo account. In questo caso, se attivi VPC BPA e nessuna delle e/o o sottoreti che appaiono in questi risultati è configurata come esclusioni VPC BPA, il traffico verso quelle VPCs e le sottoreti sarà limitato. VPCs
1. Analizza ogni risultato per comprendere l'impatto del VPC BPA sulle risorse del tuo. VPCs
L'analisi dell'impatto è completa.
------
#### [ AWS CLI ]
1. Crea un ambito di accesso alla rete:
```
aws ec2 create-network-insights-access-scope --match-paths "Source={ResourceStatement={ResourceTypes=["AWS::EC2::InternetGateway"]}}" "Destination={ResourceStatement={ResourceTypes=["AWS::EC2::InternetGateway"]}}" --region us-east-2
```
Output:
```
{
"NetworkInsightsAccessScope": {
"NetworkInsightsAccessScopeId": "nis-04cad3c4b3a1d5e3e",
"NetworkInsightsAccessScopeArn": "arn:aws:ec2:us-east-2:470889052923:network-insights-access-scope/nis-04cad3c4b3a1d5e3e",
"CreatedDate": "2024-09-30T15:55:53.171000+00:00",
"UpdatedDate": "2024-09-30T15:55:53.171000+00:00"
},
"NetworkInsightsAccessScopeContent": {
"NetworkInsightsAccessScopeId": "nis-04cad3c4b3a1d5e3e",
"MatchPaths": [
{
"Source": {
"ResourceStatement": {
"ResourceTypes": [
"AWS::EC2::InternetGateway"
]
}
}
},
{
"Destination": {
"ResourceStatement": {
"ResourceTypes": [
"AWS::EC2::InternetGateway"
]
}
}
}
]
}
}
```
1. Inizia l'analisi dell'ambito:
```
aws ec2 start-network-insights-access-scope-analysis --network-insights-access-scope-id nis-04cad3c4b3a1d5e3e --region us-east-2
```
Output:
```
{
"NetworkInsightsAccessScopeAnalysis": {
"NetworkInsightsAccessScopeAnalysisId": "nisa-0aa383a1938f94cd1",
"NetworkInsightsAccessScopeAnalysisArn": "arn:aws:ec2:us-east-2:470889052923:network-insights-access-scope-analysis/nisa-0aa383a1938f94cd",
"NetworkInsightsAccessScopeId": "nis-04cad3c4b3a1d5e3e",
"Status": "running",
"StartDate": "2024-09-30T15:56:59.109000+00:00",
"AnalyzedEniCount": 0
}
}
```
1. Ottieni i risultati dell'analisi:
```
aws ec2 get-network-insights-access-scope-analysis-findings --network-insights-access-scope-analysis-id nisa-0aa383a1938f94cd1 --region us-east-2 --max-items 1
```
Output:
```
{
"AnalysisFindings": [
{
"NetworkInsightsAccessScopeAnalysisId": "nisa-0aa383a1938f94cd1",
"NetworkInsightsAccessScopeId": "nis-04cad3c4b3a1d5e3e",
"FindingId": "AnalysisFinding-1",
"FindingComponents": [
{
"SequenceNumber": 1,
"Component": {
"Id": "igw-04a5344b4e30486f1",
"Arn": "arn:aws:ec2:us-east-2:470889052923:internet-gateway/igw-04a5344b4e30486f1",
"Name": "VPC BPA Internet Gateway"
},
"OutboundHeader": {
"DestinationAddresses": [
"10.0.1.85/32"
]
},
"InboundHeader": {
"DestinationAddresses": [
"10.0.1.85/32"
],
"DestinationPortRanges": [
{
"From": 22,
"To": 22
}
],
"Protocol": "6",
"SourceAddresses": [
"0.0.0.0/5",
"100.0.0.0/10",
"96.0.0.0/6"
],
"SourcePortRanges": [
{
"From": 0,
"To": 65535
}
]
},
"Vpc": {
"Id": "vpc-0762547ec48b6888d",
"Arn": "arn:aws:ec2:us-east-2:470889052923:vpc/vpc-0762547ec48b6888d",
"Name": "VPC BPA"
}
},
{
"SequenceNumber": 2,
"AclRule": {
"Cidr": "0.0.0.0/0",
"Egress": false,
"Protocol": "all",
"RuleAction": "allow",
"RuleNumber": 100
},
"Component": {
"Id": "acl-06194fc3a4a03040b",
"Arn": "arn:aws:ec2:us-east-2:470889052923:network-acl/acl-06194fc3a4a03040b"
}
},
{
"SequenceNumber": 3,
"Component": {
"Id": "sg-093dde06415d03924",
"Arn": "arn:aws:ec2:us-east-2:470889052923:security-group/sg-093dde06415d03924",
"Name": "VPC BPA Instances Security Group"
},
"SecurityGroupRule": {
"Cidr": "0.0.0.0/0",
"Direction": "ingress",
"PortRange": {
"From": 22,
"To": 22
},
"Protocol": "tcp"
}
},
{
"SequenceNumber": 4,
"AttachedTo": {
"Id": "i-058db34f9a0997895",
"Arn": "arn:aws:ec2:us-east-2:470889052923:instance/i-058db34f9a0997895",
"Name": "VPC BPA Instance A"
},
"Component": {
"Id": "eni-0fa23f2766f03b286",
"Arn": "arn:aws:ec2:us-east-2:470889052923:network-interface/eni-0fa23f2766f03b286"
},
"InboundHeader": {
"DestinationAddresses": [
"10.0.1.85/32"
],
"DestinationPortRanges": [
{
"From": 22,
"To": 22
}
],
"Protocol": "6",
"SourceAddresses": [
"0.0.0.0/5",
"100.0.0.0/10",
"96.0.0.0/6"
],
"SourcePortRanges": [
{
"From": 0,
"To": 65535
}
]
},
"Subnet": {
"Id": "subnet-035d235a762eeed04",
"Arn": "arn:aws:ec2:us-east-2:470889052923:subnet/subnet-035d235a762eeed04",
"Name": "VPC BPA Public Subnet A"
},
"Vpc": {
"Id": "vpc-0762547ec48b6888d",
"Arn": "arn:aws:ec2:us-east-2:470889052923:vpc/vpc-0762547ec48b6888d",
"Name": "VPC BPA"
}
}
]
}
],
"AnalysisStatus": "succeeded",
"NetworkInsightsAccessScopeAnalysisId": "nisa-0aa383a1938f94cd1",
"NextToken": "eyJOZXh0VG9rZW4iOiBudWxsLCAiYm90b190cnVuY2F0ZV9hbW91bnQiOiAxfQ=="
}
```
I risultati mostrano il traffico da e verso i gateway Internet in tutto il tuo account VPCs . I risultati sono organizzati come «risultati». "FindingId«:" AnalysisFinding -1" indica che questo è il primo risultato dell'analisi. Tieni presente che esistono diversi esiti e ognuno indica un flusso di traffico che verrà influenzato dall'attivazione di VPC BPA. Il primo risultato mostrerà che il traffico è iniziato da un gateway Internet (» SequenceNumber «: 1), è passato a un NACL (» SequenceNumber «: 2) a un gruppo di sicurezza (» SequenceNumber «: 3) e è terminato in un'istanza (» SequenceNumber «: 4).
1. Analizza i risultati per comprendere l'impatto del VPC BPA sulle risorse del tuo. VPCs
L'analisi dell'impatto è completa.
------
## Scenario 1: connessione a istanze senza la funzionalità VPC BPA attivata
In questa sezione, le istanze EC2 nelle sottoreti pubbliche A e B sono raggiungibili da Internet tramite il gateway Internet, che abilita il traffico sia in entrata che in uscita. Le istanze C e D nella sottorete privata possono avviare il traffico in uscita attraverso il gateway NAT o il gateway Internet egress-only, ma non sono raggiungibili direttamente da Internet. Questa configurazione consente l’accesso a Internet ad alcune risorse proteggendone altre. Questa sezione si propone di definire parametri di riferimento e garantire che, prima di abilitare VPC BPA, tutte le istanze possano essere raggiunte, e che dovrai connetterti a tutte le istanze e inviare il ping a un indirizzo IP pubblico.
Diagramma di un VPC senza VPC BPA attivato:
![\[Diagramma che mostra un VPC senza la funzionalità VPC BPA abilitata.\]](http://docs.aws.amazon.com/it_it/vpc/latest/userguide/images/vpc-bpa-1.png)
### 1.1 Connessione alle istanze
Completa questa sezione per connetterti alle tue istanze con VPC BPA disattivato per avere la certezza di poterti connettere senza problemi. Tutte le istanze create con questo CloudFormation esempio hanno nomi come «VPC BPA Instance A».
------
#### [ Console di gestione AWS ]
1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Apri i dettagli dell'istanza A.
1. Connettiti all'istanza A utilizzando l'opzione **EC2 Instance Connect** **Connessione tramite l'endpoint EC2 Instance Connect**.
1. Scegli **Connetti**. Una volta stabilita la connessione all'istanza, invia il ping a www.amazon.com per verificare che sia possibile inviare richieste in uscita a Internet.
1. Usa lo stesso metodo utilizzato per connetterti all'istanza A per connetterti a B, C e D. Da ciascuna istanza, esegui il ping a www.amazon.com per verificare di poter inviare le richieste in uscita su Internet.
------
#### [ AWS CLI ]
1. Esegui il ping dell'istanza A utilizzando l' IPv4 indirizzo pubblico per controllare il traffico in entrata:
```
ping 18.225.8.244
```
Output:
```
Pinging 18.225.8.244 with 32 bytes of data:
Reply from 18.225.8.244: bytes=32 time=51ms TTL=110
Reply from 18.225.8.244: bytes=32 time=61ms TTL=110
```
Nota che il ping riesce correttamente e il traffico non è bloccato.
1. Usa l' IPv4 indirizzo privato per connetterti e controllare il traffico in uscita:
```
aws ec2-instance-connect ssh --instance-id i-058db34f9a0997895 --region us-east-2 --connection-type eice
```
Output:
```
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, #_ ~_ ####_ Amazon Linux 2023
~~ _#####\ ~~ ###|
~~ #/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~._. _/
/ /
/m/'
Last login: Fri Sep 27 18:27:57 2024 from 3.16.146.5
[ec2-user@ip-10-0-1-85 ~]$ ping www.amazon.com
PING www-amazon-com.customer.fastly.net (18.65.233.187) 56(84) bytes of data.
64 bytes from 18.65.233.187 (18.65.233.187): icmp_seq=15 ttl=58 time=2.06 ms
64 bytes from 18.65.233.187 (18.65.233.187): icmp_seq=16 ttl=58 time=2.26 ms
```
Nota che il ping riesce correttamente e il traffico non è bloccato.
1. Esegui il ping dell'istanza B utilizzando l' IPv4 indirizzo pubblico per controllare il traffico in entrata:
```
ping 3.18.106.198
```
Output:
```
Pinging 3.18.106.198 with 32 bytes of data:
Reply from 3.18.106.198: bytes=32 time=83ms TTL=110
Reply from 3.18.106.198: bytes=32 time=54ms TTL=110
```
Nota che il ping riesce correttamente e il traffico non è bloccato.
1. Usa l' IPv4 indirizzo privato per connetterti e controllare il traffico in uscita:
```
aws ec2-instance-connect ssh --instance-id i-08552a0774b5c8f72 --region us-east-2 --connection-type eice
```
Output:
```
A newer release of "Amazon Linux" is available.
Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, # ~_ #### Amazon Linux 2023
~~ _#####\ ~~ ###|
~~ #/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~.. _/
/ /
/m/'
Last login: Fri Sep 27 18:12:27 2024 from 3.16.146.5
[ec2-user@ip-10-0-2-98 ~]$ ping www.amazon.com
PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
64 bytes from server-3-160-24-126.cmh68.r.cloudfront.net (18.65.233.187): icmp_seq=1 ttl=249 time=1.55 ms
64 bytes from server-3-160-24-126.cmh68.r.cloudfront.net (18.65.233.187): icmp_seq=2 ttl=249 time=1.67 ms
```
Nota che il ping riesce correttamente e il traffico non è bloccato.
1. Connessione all'istanza C. Poiché non esiste un indirizzo IP pubblico a cui inviare il ping, usa EC2 Instance Connect in modo da connetterti e poi esegui il ping di un IP pubblico dall'istanza per controllare il traffico in uscita:
```
aws ec2-instance-connect ssh --instance-id i-04eca55f2a482b2c4 --region us-east-2 --connection-type eice
```
Output:
```
A newer release of "Amazon Linux" is available.
Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, # ~_ #### Amazon Linux 2023
~~ _#####\ ~~ ###|
~~ #/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~.. _/
/ /
/m/'
Last login: Thu Sep 19 20:31:26 2024 from 10.0.2.86
[ec2-user@ip-10-0-3-180 ~]$ ping www.amazon.com
PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
64 bytes from server-3-160-24-126.cmh68.r.cloudfront.net (18.65.233.187): icmp_seq=1 ttl=248 time=1.75 ms
64 bytes from server-3-160-24-126.cmh68.r.cloudfront.net (18.65.233.187): icmp_seq=2 ttl=248 time=1.97 ms
64 bytes from server-3-160-24-26.cmh68.r.cloudfront.net (18.65.233.187): icmp_seq=3 ttl=248 time=1.08 ms
```
Nota che il ping riesce correttamente e il traffico non è bloccato.
1. Connessione all'istanza D. Poiché non esiste un indirizzo IP pubblico a cui inviare il ping, usa EC2 Instance Connect per connetterti e poi esegui il ping di un IP pubblico dall'istanza per controllare il traffico in uscita:
```
aws ec2-instance-connect ssh --instance-id i-05f9e6a9cfac1dba0 --region us-east-2 --connection-type eice
```
Output:
```
The authenticity of host '10.0.3.59 can't be established.
ECDSA key fingerprint is SHA256:c4naBCqbC61/cExDyccEproNU+1HHSpMSzl2J6cOtIZA8g.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added '10.0.3.59' (ECDSA) to the list of known hosts.
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, # ~_ #### Amazon Linux 2023
~~ _#####\ ~~ ###|
~~ #/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~.. _/
_/ _/
_/m/'
[ec2-user@ip-10-0-3-59 ~]$ ping www.amazon.com
PING www.amazon.com(2600:9000:25f3:ee00:7:49a5:5fd4:b121 (2600:9000:25f3:ee00:7:49a5:5fd4:b121)) 56 data bytes
64 bytes from 2600:9000:25f3:ee00:7:49a5:5fd4:b121 (2600:9000:25f3:ee00:7:49a5:5fd4:b121): icmp_seq=1 ttl=58 time=1.19 ms
64 bytes from 2600:9000:25f3:ee00:7:49a5:5fd4:b121 (2600:9000:25f3:ee00:7:49a5:5fd4:b121): icmp_seq=2 ttl=58 time=1.38 ms
```
Nota che il ping riesce correttamente e il traffico non è bloccato.
------
## Scenario 2: attivazione di VPC BPA in modalità bidirezionale
In questa sezione attiverai VPC BPA e bloccherai il traffico da e verso i gateway Internet del tuo account.
Diagramma che mostra la modalità bidirezionale VPC BPA attivata:
![\[Diagramma che mostra VPC con la modalità bidirezionale VPC BPA abilitata.\]](http://docs.aws.amazon.com/it_it/vpc/latest/userguide/images/vpc-bpa-2.png)
### 2.1 Abilitazione della modalità bidirezionale VPC BPA
Completa questa sezione per abilitare VPC BPA. La modalità bidirezionale VPC BPA blocca tutto il traffico da e verso i gateway Internet e i gateway Internet solo in uscita in questa regione (ad eccezione delle sottoreti e delle sottoreti escluse). VPCs
------
#### [ Console di gestione AWS ]
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Nel riquadro di navigazione a sinistra, scegli **Impostazioni**.
1. Scegli **Modifica impostazioni di accesso pubblico**.
1. Scegli **Attiva il blocco dell'accesso pubblico** e **Bidirezionale**, quindi scegli **Salva modifiche**.
1. Attendi che lo **stato** passi su **Abilitato**. Potrebbero essere necessari alcuni minuti prima che le impostazioni VPC BPA si attivino e lo stato venga aggiornato.
VPC BPA è ora attivo.
------
#### [ AWS CLI ]
1. Usa il comando modify-vpc-block-public -access-options per attivare VPC BPA:
```
aws ec2 --region us-east-2 modify-vpc-block-public-access-options --internet-gateway-block-mode block-bidirectional
```
Potrebbero essere necessari alcuni minuti prima che le impostazioni VPC BPA si attivino e lo stato venga aggiornato.
1. Visualizza lo stato di VPC BPA:
```
aws ec2 --region us-east-2 describe-vpc-block-public-access-options
```
------
### 2.2 Connessione alle istanze
Completa questa sezione per connetterti alle tue istanze.
------
#### [ Console di gestione AWS ]
1. Esegui il ping dell' IPv4 indirizzo pubblico dell'istanza A e dell'istanza B come hai fatto nello Scenario 1. Tieni presente che il traffico è bloccato.
1. Connettiti all'istanza A utilizzando l'opzione **EC2 Instance Connect** **Connessione tramite l'endpoint EC2 Instance Connect** come hai fatto nello Scenario 1. Assicurati di utilizzare l'opzione endpoint.
1. Scegli **Connetti**. Dopo aver eseguito la connessione all'istanza, esegui il ping su www.amazon.com. Nota che tutto il traffico in uscita è bloccato.
1. Usa lo stesso metodo che hai usato per connetterti all'istanza A per connetterti alle istanze B, C e D e verifica le richieste in uscita su Internet. Nota che tutto il traffico in uscita è bloccato.
------
#### [ AWS CLI ]
1. Esegui il ping dell'istanza A utilizzando l' IPv4 indirizzo pubblico per controllare il traffico in entrata:
```
ping 18.225.8.244
```
Output:
```
Pinging 18.225.8.244 with 32 bytes of data:
Request timed out.
```
Nota che il ping non riesce e il traffico è bloccato.
1. Usa l' IPv4 indirizzo privato per connetterti e controllare il traffico in uscita:
```
aws ec2-instance-connect ssh --instance-id i-058db34f9a0997895 --region us-east-2 --connection-type eice
```
Output:
```
The authenticity of host '10.0.1.85' can't be established.
ECDSA key fingerprint is SHA256:3zo/gSss+HAZ+7eTyWlOB/Ke04IM+hadjsoLJeRTWBk.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added '10.0.1.85' (ECDSA) to the list of known hosts.
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, #_ ~_ ####_ Amazon Linux 2023
~~ _#####\ ~~ ###|
~~ #/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~._. _/
/ /
/m/'
Last login: Fri Sep 27 14:16:53 2024 from 3.16.146.5
[ec2-user@ip-10-0-1-85 ~]$ ping www.amazon.com
PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
```
Nota che il ping non riesce e il traffico è bloccato.
1. Esegui il ping dell'istanza B utilizzando l' IPv4 indirizzo pubblico per controllare il traffico in entrata:
```
ping 3.18.106.198
```
Output:
```
Pinging 3.18.106.198 with 32 bytes of data:
Request timed out.
```
Nota che il ping non riesce e il traffico è bloccato.
1. Usa l' IPv4 indirizzo privato per connetterti e controllare il traffico in uscita:
```
aws ec2-instance-connect ssh --instance-id i-08552a0774b5c8f72 --region us-east-2 --connection-type eice
```
Output:
```
The authenticity of host '10.0.2.98' can't be established.
ECDSA key fingerprint is SHA256:0IjXKKyVlDthcCfI0IPIJMUiItAOLYKRNLGTYURnFXo.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added '10.0.2.98' (ECDSA) to the list of known hosts.
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, # ~_ #### Amazon Linux 2023
~~ _#####\ ~~ ###|
~~ #/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~.. _/
/ /
/m/'
Last login: Fri Sep 27 14:18:16 2024 from 3.16.146.5
[ec2-user@ip-10-0-2-98 ~]$ ping www.amazon.com
PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
```
Nota che il ping non riesce e il traffico è bloccato.
1. Connessione all'istanza C. Poiché non esiste un indirizzo IP pubblico a cui inviare il ping, usa EC2 Instance Connect in modo da connetterti e poi esegui il ping di un IP pubblico dall'istanza per controllare il traffico in uscita:
```
aws ec2-instance-connect ssh --instance-id i-04eca55f2a482b2c4 --region us-east-2 --connection-type eice
```
Output:
```
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, # ~_ #### Amazon Linux 2023
~~ _#####\ ~~ ###|
~~ #/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~.. _/
/ /
/m/'
Last login: Tue Sep 24 15:17:56 2024 from 10.0.2.86
[ec2-user@ip-10-0-3-180 ~]$ ping www.amazon.com
PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
```
Nota che il ping non riesce e il traffico è bloccato.
1. Connessione all'istanza D. Poiché non esiste un indirizzo IP pubblico a cui inviare il ping, usa EC2 Instance Connect per connetterti e poi esegui il ping di un IP pubblico dall'istanza per controllare il traffico in uscita:
```
aws ec2-instance-connect ssh --instance-id i-05f9e6a9cfac1dba0 --region us-east-2 --connection-type eice
```
Output:
```
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, # ~_ #### Amazon Linux 2023
~~ _#####\ ~~ ###|
~~ #/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~.. _/
_/ _/
_/m/'
Last login: Fri Sep 27 16:42:01 2024 from 3.16.146.5
[ec2-user@ip-10-0-3-59 ~]$ ping www.amazon.com
PING www.amazon.com(2600:9000:25f3:8200:7:49a5:5fd4:b121 (2600:9000:25f3:8200:7:49a5:5fd4:b121)) 56 data bytes
```
Nota che il ping non riesce e il traffico è bloccato.
------
### 2.3 Opzionale: Verifica del blocco della connettività con Reachability Analyzer
[VPC Reachability Analyzer](https://docs.aws.amazon.com/vpc/latest/reachability/what-is-reachability-analyzer.html) può essere utilizzato per comprendere se determinati percorsi di rete possono essere raggiunti o meno in base alla configurazione di rete, incluse le impostazioni VPC BPA. In questo esempio analizzerai lo stesso percorso di rete che è stato tentato in precedenza per confermare che VPC BPA è il motivo del fallimento della connettività.
------
#### [ Console di gestione AWS ]
1. Vai alla console Network Insights all'indirizzo [https://console.aws.amazon.com/networkinsights/home#ReachabilityAnalyzer](https://console.aws.amazon.com/networkinsights/home#ReachabilityAnalyzer).
1. Fai clic su **Crea e analizza il percorso**.
1. In **Tipo di origine**, seleziona **Gateway Internet** e seleziona il gateway Internet con il tag **Gateway Internet VPC BPA** dal menu a discesa **Origine**.
1. In **Tipo di destinazione**, seleziona **Istanze** e seleziona l’istanza con il tag **Istanza VPC BPA A** dal menu a discesa **Destinazione**.
1. Fai clic su **Crea e analizza il percorso**.
1. Attendi il completamento del processo. Il processo può richiedere alcuni minuti.
1. Una volta completato, dovresti vedere che lo **stato di raggiungibilità** è **non raggiungibile** e che i **dettagli del percorso** indicano che `VPC_BLOCK_PUBLIC_ACCESS_ENABLED` è la causa.
------
#### [ AWS CLI ]
1. Crea un percorso di rete utilizzando l'ID del gateway Internet denominato Gateway Internet VPC BPA e l'ID dell'istanza etichettata Istanza VPC BPA A:
```
aws ec2 --region us-east-2 create-network-insights-path --source igw-id --destination instance-id --protocol TCP
```
1. Avvia un'analisi sul percorso di rete:
```
aws ec2 --region us-east-2 start-network-insights-analysis --network-insights-path-id nip-id
```
1. Richiama i risultati dell'analisi:
```
aws ec2 --region us-east-2 describe-network-insights-analyses --network-insights-analysis-ids nia-id
```
1. Verifica che `VPC_BLOCK_PUBLIC_ACCESS_ENABLED` sia il `ExplanationCode` della mancanza di raggiungibilità.
------
Potrai selezionare anche [Monitoraggio dell’impatto di VPC BPA con log di flusso](security-vpc-bpa-assess-impact-main.md#security-vpc-bpa-fl).
## Scenario 3: modifica della modalità VPC BPA in Ingress-only
In questa sezione cambierai la direzione del traffico VPC BPA e consentirai solo il traffico che utilizza un gateway NAT o un gateway Internet egress-only. Le istanze EC2 A e B nelle sottoreti pubbliche non saranno raggiungibili da Internet perché BPA blocca il traffico in entrata attraverso il gateway Internet. Le istanze C e D nella sottorete privata saranno ancora in grado di avviare il traffico in uscita attraverso il gateway NAT e il gateway Internet egress-only, e quindi potranno ancora accedere a Internet.
Diagramma della modalità VPC BPA Ingress-only attivata:
![\[Diagramma che mostra VPC con la modalità VPC BPA ingress-only abilitata.\]](http://docs.aws.amazon.com/it_it/vpc/latest/userguide/images/vpc-bpa-3.png)
### 3.1 Modifica della modalità in ingress-only
Completa questa sezione per cambiare la modalità.
------
#### [ Console di gestione AWS ]
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Nel riquadro di navigazione a sinistra, scegli **Impostazioni**.
1. Nella scheda **Blocca accesso pubblico**, seleziona **Modifica impostazioni di accesso pubblico**.
1. Modifica le impostazioni di accesso pubblico nella console VPC e cambia la direzione in **Ingress-only**.
1. Salva le modifiche e attendi che lo stato venga aggiornato. Potrebbero essere necessari alcuni minuti prima che le impostazioni VPC BPA si attivino e lo stato venga aggiornato.
------
#### [ AWS CLI ]
1. Modifica la modalità VPC BPA:
```
aws ec2 --region us-east-2 modify-vpc-block-public-access-options --internet-gateway-block-mode block-ingress
```
Potrebbero essere necessari alcuni minuti prima che le impostazioni VPC BPA si attivino e lo stato venga aggiornato.
1. Visualizza lo stato di VPC BPA:
```
aws ec2 --region us-east-2 describe-vpc-block-public-access-options
```
------
### 3.2 Connessione alle istanze
Completa questa sezione per connetterti alle istanze.
------
#### [ Console di gestione AWS ]
1. Esegui il ping dell' IPv4 indirizzo pubblico dell'istanza A e dell'istanza B come hai fatto nello Scenario 1. Tieni presente che il traffico è bloccato.
1. Connettiti alle istanze A e B utilizzando l'istanza EC2, connettiti come hai fatto nello Scenario 1 e invia il ping a www.amazon.com da queste istanze. Tieni presente che non puoi inviare il ping a un sito pubblico su Internet dall'istanza A o B e che il traffico è bloccato.
1. Connettiti alle istanze C e D utilizzando l'istanza EC2, connettiti come hai fatto nello Scenario 1 e invia il ping a www.amazon.com. Tieni presente che puoi inviare il ping a un sito pubblico su Internet dall'istanza C o D e che il traffico è consentito.
------
#### [ AWS CLI ]
1. Esegui il ping dell'istanza A utilizzando l' IPv4 indirizzo pubblico per controllare il traffico in entrata:
```
ping 18.225.8.244
```
Output:
```
Pinging 18.225.8.244 with 32 bytes of data:
Request timed out.
```
Nota che il ping non riesce e il traffico è bloccato.
1. Usa l' IPv4 indirizzo privato per connetterti e controllare il traffico in uscita:
```
aws ec2-instance-connect ssh --instance-id i-058db34f9a0997895 --region us-east-2 --connection-type eice
```
Output:
```
The authenticity of host '10.0.1.85' can't be established.
ECDSA key fingerprint is SHA256:3zo/gSss+HAZ+7eTyWlOB/Ke04IM+hadjsoLJeRTWBk.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added '10.0.1.85' (ECDSA) to the list of known hosts.
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, #_ ~_ ####_ Amazon Linux 2023
~~ _#####\ ~~ ###|
~~ #/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~._. _/
/ /
/m/'
Last login: Fri Sep 27 14:16:53 2024 from 3.16.146.5
[ec2-user@ip-10-0-1-85 ~]$ ping www.amazon.com
PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
```
Nota che il ping non riesce e il traffico è bloccato.
1. Esegui il ping dell'istanza B utilizzando l' IPv4 indirizzo pubblico per controllare il traffico in entrata:
```
ping 3.18.106.198
```
Output:
```
Pinging 3.18.106.198 with 32 bytes of data:
Request timed out.
```
Nota che il ping non riesce e il traffico è bloccato.
1. Usa l' IPv4 indirizzo privato per connetterti e controllare il traffico in uscita:
```
aws ec2-instance-connect ssh --instance-id i-08552a0774b5c8f72 --region us-east-2 --connection-type eice
```
Output:
```
The authenticity of host '10.0.2.98 ' can't be established.
ECDSA key fingerprint is SHA256:0IjXKKyVlDthcCfI0IPIJMUiItAOLYKRNLGTYURnFXo.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added '10.0.2.98' (ECDSA) to the list of known hosts.
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, # ~_ #### Amazon Linux 2023
~~ _#####\ ~~ ###|
~~ #/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~.. _/
_/ /
/m/'
Last login: Fri Sep 27 14:18:16 2024 from 3.16.146.5
[ec2-user@ip-10-0-2-98 ~]$ ping www.amazon.com
PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
```
Nota che il ping non riesce e il traffico è bloccato.
1. Connessione all'istanza C. Poiché non esiste un indirizzo IP pubblico a cui inviare il ping, usa EC2 Instance Connect in modo da connetterti e poi esegui il ping di un IP pubblico dall'istanza per controllare il traffico in uscita:
```
aws ec2-instance-connect ssh --instance-id i-04eca55f2a482b2c4 --region us-east-2 --connection-type eice
```
Output:
```
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, #_ ~\_ ####_ Amazon Linux 2023
~~ \_#####\ ~~ \###|
~~ \#/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~._. _/
_/ _/
_/m/'
Last login: Tue Sep 24 15:28:09 2024 from 10.0.2.86
[ec2-user@ip-10-0-3-180 ~]$ ping www.amazon.com
PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
64 bytes from server-3-160-24-126.cmh68.r.cloudfront.net (18.65.233.187): icmp_seq=1 ttl=248 time=1.84 ms
64 bytes from server-3-160-24-126.cmh68.r.cloudfront.net (18.65.233.187): icmp_seq=2 ttl=248 time=1.40 ms
```
Nota che il ping riesce correttamente e il traffico non è bloccato.
1. Connessione all'istanza D. Poiché non esiste un indirizzo IP pubblico a cui inviare il ping, usa EC2 Instance Connect per connetterti e poi esegui il ping di un IP pubblico dall'istanza per controllare il traffico in uscita:
```
aws ec2-instance-connect ssh --instance-id i-05f9e6a9cfac1dba0 --region us-east-2 --connection-type eice
```
Output:
```
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, #_ ~\_ ####_ Amazon Linux 2023
~~ \_#####\ ~~ \###|
~~ \#/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~._. _/
_/ _/
_/m/'
Last login: Fri Sep 27 16:48:38 2024 from 3.16.146.5
[ec2-user@ip-10-0-3-59 ~]$ ping www.amazon.com
PING www.amazon.com(2600:9000:25f3:5800:7:49a5:5fd4:b121 (2600:9000:25f3:5800:7:49a5:5fd4:b121)) 56 data bytes
64 bytes from 2600:9000:25f3:5800:7:49a5:5fd4:b121 (2600:9000:25f3:5800:7:49a5:5fd4:b121): icmp_seq=14 ttl=58 time=1.47 ms
64 bytes from 2600:9000:25f3:5800:7:49a5:5fd4:b121 (2600:9000:25f3:5800:7:49a5:5fd4:b121): icmp_seq=16 ttl=58 time=1.59 ms
```
Nota che il ping riesce correttamente e il traffico non è bloccato.
------
## Scenario 4: Creazione di un'esclusione
In questa sezione potrai creare un’esclusione. VPC BPA bloccherà quindi solo il traffico nelle sottoreti *senza* alcuna esclusione. Un’esclusione VPC BPA è una modalità che può essere applicata a un singolo VPC o a una singola sottorete che lo esenta dalla modalità VPC BPA dell’account e consente l’accesso bidirezionale o egress-only. Puoi creare esclusioni VPC BPA per VPCs e sottoreti anche quando VPC BPA non è abilitato sull'account per garantire che non vi siano interruzioni del traffico delle esclusioni quando VPC BPA è attivato.
In questo esempio, creeremo un'esclusione per la sottorete A per mostrare come il traffico verso le esclusioni viene influenzato da VPC BPA.
Diagramma della modalità VPC BPA Ingress-only attivata e dell'esclusione Sottorete A con modalità bidirezionale attivata:
![\[Diagramma che mostra VPC con VPC BPA in modalità ingress-only con un’esclusione.\]](http://docs.aws.amazon.com/it_it/vpc/latest/userguide/images/vpc-bpa-4.png)
### 4.1 Creazione di un'esclusione per la sottorete A
Completa questa sezione per creare un'esclusione. Un’esclusione VPC BPA è una modalità che può essere applicata a un singolo VPC o a una singola sottorete che lo esenta dalla modalità VPC BPA dell’account e consente l’accesso bidirezionale o egress-only. Puoi creare esclusioni VPC BPA per VPCs e sottoreti anche quando VPC BPA non è abilitato sull'account per garantire che non vi siano interruzioni del traffico delle esclusioni quando VPC BPA è attivato.
------
#### [ Console di gestione AWS ]
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Nel riquadro di navigazione a sinistra, scegli **Impostazioni**.
1. **Nella scheda **Blocca accesso pubblico**, in **Esclusioni**, scegli Crea esclusioni**.
1. **Scegli **VPC BPA Public Subnet A**, assicurati che sia selezionata l'opzione Consenti direzione **Bidirezionale** e scegli Crea esclusioni.**
1. Attendi che lo **Stato dell'esclusione** passi su **Attivo**. Potrebbe essere necessario aggiornare la tabella di esclusione per visualizzare la modifica.
L'esclusione è stata creata.
------
#### [ AWS CLI ]
1. Modifica la direzione di autorizzazione dell'esclusione:
```
aws ec2 --region us-east-2 create-vpc-block-public-access-exclusion --subnet-id subnet-id --internet-gateway-exclusion-mode allow-bidirectional
```
1. L'aggiornamento dello stato dell'esclusione può richiedere del tempo. Per visualizzare lo stato dell'esclusione:
```
aws ec2 --region us-east-2 describe-vpc-block-public-access-exclusions --exclusion-ids exclusion-id
```
------
### 4.2 Connessione alle istanze
Completa questa sezione per connetterti alle istanze.
------
#### [ Console di gestione AWS ]
1. Esegui il ping dell'indirizzo pubblico dell'istanza A. Tieni presente che il traffico è consentito. IPv4
1. Esegui il ping dell' IPv4 indirizzo pubblico dell'istanza B. Tieni presente che il traffico è bloccato.
1. Connettiti all'istanza A utilizzando l'istanza EC2, connettiti come hai fatto nello Scenario 1 e invia il ping a www.amazon.com. Tieni presente che puoi inviare il ping a un sito pubblico su Internet dall'istanza A e che il traffico è consentito.
1. Connettiti all'istanze B utilizzando l'istanza EC2, connettiti come hai fatto nello Scenario 1 e invia il ping a www.amazon.com. Tieni presente che non puoi inviare il ping a un sito pubblico su Internet dall'istanza B e che il traffico è bloccato.
1. Connettiti alle istanze C e D utilizzando l'istanza EC2, connettiti come hai fatto nello Scenario 1 e invia il ping a www.amazon.com. Tieni presente che puoi inviare il ping a un sito pubblico su Internet dall'istanza C o D. Il traffico è consentito.
------
#### [ AWS CLI ]
1. Esegui il ping dell'istanza A utilizzando l' IPv4 indirizzo pubblico per controllare il traffico in entrata:
```
ping 18.225.8.244
```
Output:
```
Pinging 18.225.8.244 with 32 bytes of data:
Reply from 18.225.8.244: bytes=32 time=51ms TTL=110
Reply from 18.225.8.244: bytes=32 time=61ms TTL=110
```
Nota che il ping riesce correttamente e il traffico non è bloccato.
1. Usa l' IPv4 indirizzo privato per connetterti e controllare il traffico in uscita:
```
aws ec2-instance-connect ssh --instance-id i-058db34f9a0997895 --region us-east-2 --connection-type eice
```
Output:
```
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, #_ ~_ ####_ Amazon Linux 2023
~~ _#####\ ~~ ###|
~~ #/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~._. _/
/ /
/m/'
Last login: Fri Sep 27 17:58:12 2024 from 3.16.146.5
[ec2-user@ip-10-0-1-85 ~]$ ping www.amazon.com
PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
64 bytes from server-3-160-24-126.cmh68.r.cloudfront.net (18.65.233.187): icmp_seq=1 ttl=249 time=1.03 ms
64 bytes from server-3-160-24-126.cmh68.r.cloudfront.net (18.65.233.187): icmp_seq=2 ttl=249 time=1.72 ms
```
Nota che il ping riesce correttamente e il traffico non è bloccato.
1. Esegui il ping dell'istanza B utilizzando l' IPv4 indirizzo pubblico per controllare il traffico in entrata:
```
ping 3.18.106.198
```
Output:
```
Pinging 3.18.106.198 with 32 bytes of data:
Request timed out.
```
Nota che il ping non riesce e il traffico è bloccato.
1. Usa l' IPv4 indirizzo privato per connetterti e controllare il traffico in uscita:
```
aws ec2-instance-connect ssh --instance-id i-08552a0774b5c8f72 --region us-east-2 --connection-type eice
```
Output:
```
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, # ~_ #### Amazon Linux 2023
~~ _#####\ ~~ ###|
~~ #/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~.. _/
_/ /
/m/'
Last login: Fri Sep 27 18:12:03 2024 from 3.16.146.5
[ec2-user@ip-10-0-2-98 ~]$ ping www.amazon.com
PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
```
Nota che il ping non riesce e il traffico è bloccato.
1. Connessione all'istanza C. Poiché non esiste un indirizzo IP pubblico a cui inviare il ping, usa EC2 Instance Connect in modo da connetterti e poi esegui il ping di un IP pubblico dall'istanza per controllare il traffico in uscita:
```
aws ec2-instance-connect ssh --instance-id i-04eca55f2a482b2c4 --region us-east-2 --connection-type eice
```
Output
```
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, # ~_ #### Amazon Linux 2023
~~ _#####\ ~~ ###|
~~ #/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~.. _/
_/ /
/m/'
Last login: Tue Sep 24 15:28:09 2024 from 10.0.2.86
[ec2-user@ip-10-0-3-180 ~]$ ping www.amazon.com
PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
64 bytes from server-3-160-24-126.cmh68.r.cloudfront.net (18.65.233.187): icmp_seq=1 ttl=248 time=1.84 ms
64 bytes from server-3-160-24-126.cmh68.r.cloudfront.net (18.65.233.187): icmp_seq=2 ttl=248 time=1.40 ms
```
Nota che il ping riesce correttamente e il traffico non è bloccato.
1. Connessione all'istanza D. Poiché non esiste un indirizzo IP pubblico a cui inviare il ping, usa EC2 Instance Connect per connetterti e poi esegui il ping di un IP pubblico dall'istanza per controllare il traffico in uscita:
```
aws ec2-instance-connect ssh --instance-id i-05f9e6a9cfac1dba0 --region us-east-2 --connection-type eice
```
Output
```
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, #_ ~\_ ####_ Amazon Linux 2023
~~ \_#####\ ~~ \###|
~~ \#/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~._. _/
_/ _/
_/m/'
Last login: Fri Sep 27 18:00:52 2024 from 3.16.146.5
[ec2-user@ip-10-0-3-59 ~]$ ping www.amazon.com
PING www.amazon.com(g2600-141f-4000-059a-0000-0000-0000-3bd4.deploy.static.akamaitechnologies.com (2600:141f:4000:59a::3bd4)) 56 data bytes
64 bytes from g2600-141f-4000-059a-0000-0000-0000-3bd4.deploy.static.akamaitechnologies.com (2600:141f:4000:59a::3bd4): icmp_seq=1 ttl=48 time=15.9 ms
64 bytes from g2600-141f-4000-059a-0000-0000-0000-3bd4.deploy.static.akamaitechnologies.com (2600:141f:4000:59a::3bd4): icmp_seq=2 ttl=48 time=15.8 ms
```
Nota che il ping riesce correttamente e il traffico non è bloccato.
------
### 4.3 Opzionale: verifica della connettività con Reachability Analyzer
Utilizzando lo stesso percorso di rete creato in Reachability Analyzer nello Scenario 2, è possibile eseguire una nuova analisi e confermare che il percorso è raggiungibile ora che è stata creata un'esclusione per la sottorete pubblica A.
*Per informazioni sulla disponibilità regionale di Reachability Analyzer, consulta [Considerazioni](https://docs.aws.amazon.com/vpc/latest/reachability/how-reachability-analyzer-works.html#considerations) nella Guida di Reachability Analyzer*.
------
#### [ Console di gestione AWS ]
1. Dal percorso di rete creato in precedenza nella console di Network Insights, fai clic su **Esegui nuovamente l'analisi**.
1. Attendi il completamento del processo. L'operazione potrebbe richiedere alcuni minuti.
1. Verifica che il percorso sia ora **raggiungibile**.
------
#### [ AWS CLI ]
1. Utilizzando l'ID del percorso di rete creato in precedenza, avvia una nuova analisi:
```
aws ec2 --region us-east-2 start-network-insights-analysis --network-insights-path-id nip-id
```
1. Richiama i risultati dell'analisi:
```
aws ec2 --region us-east-2 describe-network-insights-analyses --network-insights-analysis-ids nia-id
```
1. Verifica che il codice esplicativo `VPC_BLOCK_PUBLIC_ACCESS_ENABLED` non sia più presente.
------
## Scenario 5: modifica della modalità di esclusione
In questa sezione modificherai la direzione del traffico consentita sull'esclusione per vedere in che modo influisce su VPC BPA.
**Nota**
In questo scenario, potrai modificare la modalità di esclusione impostandola su Egress-only. Attenzione: quando esegui questa operazione, l’esclusione Egress-only nella sottorete A non consente il traffico in uscita, mentre apparentemente dovrebbe farlo. Tuttavia, poiché la funzionalità BPA a livello dell’account è Ingress-only, le esclusioni Egress-only vengono ignorate e il routing della sottorete A verso un gateway Internet è limitato da VPC BPA, che blocca il traffico in uscita. Per abilitare il traffico in uscita nella sottorete A, devi passare alla modalità bidirezionale VPC BPA.
Diagramma della modalità VPC BPA Ingress-only attivata e dell'esclusione della sottorete A con modalità egress-only attivata:
![\[Diagramma che mostra VPC con VPC BPA in modalità ingress-only, che consente il traffico in uscita attraverso il gateway NAT.\]](http://docs.aws.amazon.com/it_it/vpc/latest/userguide/images/vpc-bpa-5.png)
### 5.1 Modifica della direzione di esclusione consentita in egress-only
Completa questa sezione per modificare la direzione di esclusione consentita.
------
#### [ Console di gestione AWS ]
1. Modifica l'esclusione creata nello Scenario 4 e modifica la direzione consentita in **Egress-only**.
1. Scegli **Save changes** (Salva modifiche).
1. Attendi che lo **Stato dell'esclusione** passi su **Attivo**. Potrebbero essere necessari alcuni minuti prima che le impostazioni VPC BPA si attivino e lo stato venga aggiornato. Potrebbe essere necessario aggiornare la tabella di esclusione per visualizzare la modifica.
------
#### [ AWS CLI ]
1. Modifica la direzione di autorizzazione dell'esclusione:
```
aws ec2 --region us-east-2 modify-vpc-block-public-access-exclusion --exclusion-id exclusion-id --internet-gateway-exclusion-mode allow-egress
```
Potrebbero essere necessari alcuni minuti prima che le impostazioni VPC BPA si attivino e lo stato venga aggiornato.
1. L'aggiornamento dello stato dell'esclusione può richiedere del tempo. Per visualizzare lo stato dell'esclusione:
```
aws ec2 --region us-east-2 describe-vpc-block-public-access-exclusion
```
------
### 5.2 Connessione alle istanze
Completa questa sezione per connetterti alle istanze.
------
#### [ Console di gestione AWS ]
1. Esegui il ping dell' IPv4 indirizzo pubblico delle istanze A e B. Tieni presente che il traffico è bloccato.
1. Connettiti alle istanze A e B utilizzando l'istanza EC2, connettiti come hai fatto nello Scenario 1 e invia il ping a www.amazon.com. Tieni presente che non puoi inviare il ping a un sito pubblico su Internet dall'istanza A o B. Il traffico è bloccato.
1. Connettiti alle istanze C e D utilizzando l'istanza EC2, connettiti come hai fatto nello Scenario 1 e invia il ping a www.amazon.com. Tieni presente che puoi inviare il ping a un sito pubblico su Internet dall'istanza C o D. Il traffico è consentito.
------
#### [ AWS CLI ]
1. Esegui il ping dell'istanza A utilizzando l' IPv4 indirizzo pubblico per controllare il traffico in entrata:
```
ping 18.225.8.244
```
Output:
```
Pinging 18.225.8.244 with 32 bytes of data:
Request timed out.
```
Nota che il ping non riesce e il traffico è bloccato.
1. Usa l' IPv4 indirizzo privato per connetterti e controllare il traffico in uscita:
```
aws ec2-instance-connect ssh --instance-id i-058db34f9a0997895 --region us-east-2 --connection-type eice
```
Output:
```
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, #_ ~\_ ####_ Amazon Linux 2023
~~ \_#####\ ~~ \###|
~~ \#/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~._. _/
_/ _/
_/m/'
Last login: Fri Sep 27 18:09:55 2024 from 3.16.146.5
[ec2-user@ip-10-0-1-85 ~]$ ping www.amazon.com
PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
```
Nota che il ping non riesce e il traffico è bloccato.
1. Esegui il ping dell'istanza B utilizzando l' IPv4 indirizzo pubblico per controllare il traffico in entrata:
```
ping 3.18.106.198
```
Output:
```
Pinging 3.18.106.198 with 32 bytes of data:
Request timed out.
```
Nota che il ping non riesce e il traffico è bloccato.
1. Usa l' IPv4 indirizzo privato per connetterti e controllare il traffico in uscita:
```
aws ec2-instance-connect ssh --instance-id i-058db34f9a0997895 --region us-east-2 --connection-type eice
```
Output:
```
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, #_ ~\_ ####_ Amazon Linux 2023
~~ \_#####\ ~~ \###|
~~ \#/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~._. _/
_/ _/
_/m/'
Last login: Fri Sep 27 18:09:55 2024 from 3.16.146.5
[ec2-user@ip-10-0-1-85 ~]$ ping www.amazon.com
PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
```
Nota che il ping non riesce e il traffico è bloccato.
1. Connessione all'istanza C. Poiché non esiste un indirizzo IP pubblico a cui inviare il ping, usa EC2 Instance Connect in modo da connetterti e poi esegui il ping di un IP pubblico dall'istanza per controllare il traffico in uscita:
```
aws ec2-instance-connect ssh --instance-id i-04eca55f2a482b2c4 --region us-east-2 --connection-type eice
```
Output:
```
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, #_ ~\_ ####_ Amazon Linux 2023
~~ \_#####\ ~~ \###|
~~ \#/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~._. _/
_/ _/
_/m/'
Last login: Fri Sep 27 18:00:31 2024 from 3.16.146.5
[ec2-user@ip-10-0-3-180 ~]$ ping www.amazon.com
PING www.amazon.com(2600:9000:25f3:a600:7:49a5:5fd4:b121 (2600:9000:25f3:a600:7:49a5:5fd4:b121)) 56 data bytes
64 bytes from 2600:9000:25f3:a600:7:49a5:5fd4:b121 (2600:9000:25f3:a600:7:49a5:5fd4:b121): icmp_seq=1 ttl=58 time=1.51 ms
64 bytes from 2600:9000:25f3:a600:7:49a5:5fd4:b121 (2600:9000:25f3:a600:7:49a5:5fd4:b121): icmp_seq=2 ttl=58 time=1.49 ms
```
Nota che il ping riesce correttamente e il traffico non è bloccato.
1. Connessione all'istanza D. Poiché non esiste un indirizzo IP pubblico a cui inviare il ping, usa EC2 Instance Connect per connetterti e poi esegui il ping di un IP pubblico dall'istanza per controllare il traffico in uscita:
```
aws ec2-instance-connect ssh --instance-id i-05f9e6a9cfac1dba0 --region us-east-2 --connection-type eice
```
Output:
```
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, #_ ~\_ ####_ Amazon Linux 2023
~~ \_#####\ ~~ \###|
~~ \#/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~._. _/
_/ _/
_/m/'
Last login: Fri Sep 27 18:13:55 2024 from 3.16.146.5
[ec2-user@ip-10-0-3-59 ~]$ ping www.amazon.com
PING www.amazon.com(2606:2cc0::374 (2606:2cc0::374)) 56 data bytes
64 bytes from 2606:2cc0::374 (2606:2cc0::374): icmp_seq=1 ttl=58 time=1.21 ms
64 bytes from 2606:2cc0::374 (2606:2cc0::374): icmp_seq=2 ttl=58 time=1.51 ms
```
Nota che il ping riesce correttamente e il traffico non è bloccato.
------
## Scenario 6: modifica della modalità VPC BPA
In questa sezione modificherai la direzione del blocco VPC BPA per vedere in che modo influisce sul traffico. In questo scenario, VPC BPA abilitato in modalità bidirezionale blocca tutto il traffico proprio come nello Scenario 1. A meno che un'esclusione non abbia accesso a un gateway NAT o gateway Internet egress-only, il traffico viene bloccato.
Diagramma della modalità bidirezionale VPC BPA attivata e dell'esclusione della sottorete A con modalità egress-only attivata:
![\[Diagramma che mostra VPC con VPC BPA in modalità ingress-only, che consente il traffico in uscita attraverso il gateway NAT\]](http://docs.aws.amazon.com/it_it/vpc/latest/userguide/images/vpc-bpa-6.png)
### 6.1 Modifica di VPC BPA in modalità bidirezionale
Completa questa sezione per modificare la modalità VPC BPA.
------
#### [ Console di gestione AWS ]
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Nel riquadro di navigazione a sinistra, scegli **Impostazioni**.
1. Scegli **Modifica impostazioni di accesso pubblico**.
1. Modifica la direzione del blocco in **Bidirezionale**, quindi scegli **Salva modifiche**.
1. Attendi che lo **stato** passi su **Abilitato**. Potrebbero essere necessari alcuni minuti prima che le impostazioni VPC BPA si attivino e lo stato venga aggiornato.
------
#### [ AWS CLI ]
1. Modifica la direzione del blocco VPC BPA:
```
aws ec2 --region us-east-2 modify-vpc-block-public-access-options --internet-gateway-block-mode block-bidirectional
```
Potrebbero essere necessari alcuni minuti prima che le impostazioni VPC BPA si attivino e lo stato venga aggiornato.
1. Visualizza lo stato di VPC BPA:
```
aws ec2 --region us-east-2 describe-vpc-block-public-access-options
```
------
### 6.2 Connessione alle istanze
Completa questa sezione per connetterti alle istanze.
------
#### [ Console di gestione AWS ]
1. Esegui il ping dell' IPv4 indirizzo pubblico delle istanze A e B. Tieni presente che il traffico è bloccato.
1. Connettiti alle istanze A e B utilizzando l'istanza EC2, connettiti come hai fatto nello Scenario 1 e invia il ping a www.amazon.com. Tieni presente che non puoi inviare il ping a un sito pubblico su Internet dall'istanza A o B. Il traffico è bloccato.
1. Connettiti alle istanze C e D utilizzando l'istanza EC2, connettiti come hai fatto nello Scenario 1 e invia il ping a www.amazon.com. Tieni presente che non puoi inviare il ping a un sito pubblico su Internet dall'istanza C o D e che il traffico è bloccato.
------
#### [ AWS CLI ]
1. Esegui il ping dell'istanza A utilizzando l' IPv4 indirizzo pubblico per controllare il traffico in entrata:
```
ping 18.225.8.244
```
Output:
```
Pinging 18.225.8.244 with 32 bytes of data:
Request timed out.
```
Nota che il ping non riesce e il traffico è bloccato.
1. Usa l' IPv4 indirizzo privato per connetterti e controllare il traffico in uscita:
```
aws ec2-instance-connect ssh --instance-id i-058db34f9a0997895 --region us-east-2 --connection-type eice
```
Output:
```
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, #_ ~\_ ####_ Amazon Linux 2023
~~ \_#####\ ~~ \###|
~~ \#/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~._. _/
_/ _/
_/m/'
Last login: Fri Sep 27 18:17:44 2024 from 3.16.146.5
[ec2-user@ip-10-0-1-85 ~]$ ping www.amazon.com
PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
```
Nota che il ping non riesce e il traffico è bloccato.
1. Esegui il ping dell'istanza A utilizzando l' IPv4 indirizzo pubblico per controllare il traffico in entrata:
```
ping 3.18.106.198
```
Output:
```
Pinging 3.18.106.198 with 32 bytes of data:
Request timed out.
```
Nota che il ping non riesce e il traffico è bloccato.
1. Usa l' IPv4 indirizzo privato per connetterti e controllare il traffico in uscita:
```
aws ec2-instance-connect ssh --instance-id i-058db34f9a0997895 --region us-east-2 --connection-type eice
```
Output:
```
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, #_ ~\_ ####_ Amazon Linux 2023
~~ \_#####\ ~~ \###|
~~ \#/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~._. _/
_/ _/
_/m/'
Last login: Fri Sep 27 18:09:55 2024 from 3.16.146.5
[ec2-user@ip-10-0-1-85 ~]$ ping www.amazon.com
PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
```
Nota che il ping non riesce e il traffico è bloccato.
1. Connessione all'istanza C. Poiché non esiste un indirizzo IP pubblico a cui inviare il ping, usa EC2 Instance Connect in modo da connetterti e poi esegui il ping di un IP pubblico dall'istanza per controllare il traffico in uscita:
```
aws ec2-instance-connect ssh --instance-id i-04eca55f2a482b2c4 --region us-east-2 --connection-type eice
```
Output:
```
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, #_ ~\_ ####_ Amazon Linux 2023
~~ \_#####\ ~~ \###|
~~ \#/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~._. _/
_/ _/
_/m/'
Last login: Fri Sep 27 18:19:45 2024 from 3.16.146.5
[ec2-user@ip-10-0-3-180 ~]$ ping www.amazon.com
PING www.amazon.com(2600:9000:25f3:6200:7:49a5:5fd4:b121 (2600:9000:25f3:6200:7:49a5:5fd4:b121)) 56 data bytes
```
Nota che il ping non riesce e il traffico è bloccato.
1. Connessione all'istanza D. Poiché non esiste un indirizzo IP pubblico a cui inviare il ping, usa EC2 Instance Connect per connetterti e poi esegui il ping di un IP pubblico dall'istanza per controllare il traffico in uscita:
```
aws ec2-instance-connect ssh --instance-id i-05f9e6a9cfac1dba0 --region us-east-2 --connection-type eice
```
Output:
```
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, #_ ~\_ ####_ Amazon Linux 2023
~~ \_#####\ ~~ \###|
~~ \#/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~._. _/
_/ _/
_/m/'
Last login: Fri Sep 27 18:20:58 2024 from 3.16.146.5
[ec2-user@ip-10-0-3-59 ~]$ ping www.amazon.com
PING www.amazon.com(2600:9000:25f3:b400:7:49a5:5fd4:b121 (2600:9000:25f3:b400:7:49a5:5fd4:b121)) 56 data bytes
```
Nota che il ping non riesce e il traffico è bloccato.
------
## Pulizia
In questa sezione eliminerai tutte le risorse che hai creato per questo esempio avanzato. È importante ripulire le risorse per evitare costi aggiuntivi eccessivi per le risorse create nel tuo account.
### Elimina le risorse CloudFormation
Completa questa sezione per eliminare le risorse che hai creato con il CloudFormation modello.
------
#### [ Console di gestione AWS ]
1. Apri la CloudFormation console all'indirizzo[https://console.aws.amazon.com/cloudformation/](https://console.aws.amazon.com/cloudformation/).
1. Scegli lo stack VPC BPA.
1. Scegli **Elimina**.
1. Una volta che inizi a eliminare lo stack, visualizza la scheda **Eventi** per visualizzare lo stato di avanzamento e assicurarti che lo stack venga eliminato. Potrebbe essere necessario [forzare l'eliminazione dello stack](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-delete-stack.html) per eliminarlo completamente.
------
#### [ AWS CLI ]
1. Eliminare lo CloudFormation stack. Potrebbe essere necessario [forzare l'eliminazione dello stack](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-delete-stack.html) per eliminarlo completamente.
```
aws cloudformation delete-stack --stack-name VPC-BPA-stack --region us-east-2
```
1. Visualizza lo stato di avanzamento e assicurati che lo stack venga eliminato.
```
aws cloudformation describe-stack-events --stack-name VPC-BPA-stack --region us-east-2
```
------
### Tieni traccia dell'eliminazione delle esclusioni utilizzando CloudTrail
Completa questa sezione per tenere traccia dell'eliminazione delle esclusioni utilizzando. AWS CloudTrail CloudTrail le voci vengono visualizzate quando si elimina un'esclusione.
------
#### [ Console di gestione AWS ]
Puoi visualizzare eventuali esclusioni eliminate nella cronologia degli CloudTrail eventi cercando **Tipo di risorsa** > **AWS: :EC2:: VPCBlock PublicAccessExclusion** nella console all' AWS CloudTrail indirizzo. [https://console.aws.amazon.com/cloudtrailv2/](https://console.aws.amazon.com/cloudtrailv2/)
------
#### [ AWS CLI ]
Puoi utilizzare il comando lookup-events per visualizzare gli eventi relativi all'eliminazione di esclusioni:
```
aws cloudtrail lookup-events --lookup-attributes AttributeKey=ResourceType,AttributeValue=AWS::EC2::VPCBlockPublicAccessExclusion
```
------
L'esempio avanzato è completo.
# Security best practices for your VPC
Le seguenti best practice sono linee guida generali e non rappresentano una soluzione di sicurezza completa. Poiché queste best practice potrebbero non essere appropriate o sufficienti per l’ambiente, sono da considerare come considerazioni utili anziché prescrizioni.
+ Quando aggiungi sottoreti al tuo VPC per ospitare l'applicazione, creale in più zone di disponibilità. Una zona di disponibilità è uno o più data center discreti con alimentazione, rete e connettività ridondanti in una regione. AWS Le zone di disponibilità consentono di rendere le applicazioni di produzione altamente disponibili, tolleranti ai guasti e scalabili.
+ Utilizza i gruppi di sicurezza per controllare il traffico verso le istanze EC2 nelle sottoreti. Per ulteriori informazioni, consulta [Gruppi di sicurezza](vpc-security-groups.md).
+ Usa la rete ACLs per controllare il traffico in entrata e in uscita a livello di sottorete. Per ulteriori informazioni, consulta [Controllo del traffico della sottorete con le liste di controllo degli accessi alla rete](vpc-network-acls.md).
+ Gestisci l'accesso alle AWS risorse nel tuo VPC utilizzando la federazione delle identità AWS Identity and Access Management (IAM), gli utenti e i ruoli. Per ulteriori informazioni, consulta [Identity and Access Management per Amazon VPC](security-iam.md).
+ Utilizza i log di flusso VPC per monitorare il traffico IP verso e da un'interfaccia di VPC, sottorete o rete. Per ulteriori informazioni, consulta [Log di flusso VPC](flow-logs.md).
+ Utilizza Network Access Analyzer per identificare accessi involontari di rete alle risorse del nostro. VPCs Per ulteriori informazioni, consulta la [Guida di Strumento di analisi degli accessi alla rete](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/).
+ Utilizzalo AWS Network Firewall per monitorare e proteggere il tuo VPC filtrando il traffico in entrata e in uscita. Per ulteriori informazioni, consulta la [Guida per AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/).
+ Usa Amazon GuardDuty per rilevare potenziali minacce ai tuoi account, contenitori, carichi di lavoro e dati all'interno del tuo AWS ambiente. Il rilevamento delle minacce fondamentali comprende il monitoraggio dei log dei flussi VPC associati alle istanze Amazon EC2. Per ulteriori informazioni, consulta [VPC Flow Logs](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_data-sources.html#guardduty_vpc) nella *Amazon GuardDuty * User Guide.
[Per le risposte alle domande frequenti relative alla sicurezza dei VPC, consulta *Sicurezza e filtraggio* in Amazon VPC. FAQs](https://aws.amazon.com/vpc/faqs/)