BPA の影響を評価し、BPA をモニタリングする - Amazon Virtual Private Cloud
ネットワークアクセスアナライザー で BPA の影響を評価するフローログを使用して BPA の影響をモニタリングするCloudTrail を使用して除外の削除を追跡するReachability Analyzer を使用して接続がブロックされていることを検証する

BPA の影響を評価し、BPA をモニタリングする

このセクションには、VPC BPA をオンにする前に VPC BPA の影響を評価する方法に関する情報と、VPC BPA をオンにした後にトラフィックがブロックされるかどうかをモニタリングする方法に関する情報が含まれています。

ネットワークアクセスアナライザー で BPA の影響を評価する

このセクションでは、VPC BPA を有効にしてアクセスをブロックする前に、ネットワークアクセスアナライザー を使用して、インターネットゲートウェイを使用するアカウントのリソースを表示します。この分析を使用して、アカウントで VPC BPA をオンにし、トラフィックをブロックした場合の影響を理解します。

注記

  • Network Access Analyzer は IPv6 をサポートしていないため、エグレスのみのインターネットゲートウェイのアウトバウンド IPv6 トラフィックに対する BPA の潜在的な影響を表示するために使用することはできません。

  • Network Access Analyzer で実行する分析には料金がかかります。詳細については、「ネットワークアクセスアナライザー ガイド」の「料金」を参照してください。

  • Network Access Analyzer が利用できるリージョンについては、「Network Access Analyzer ガイド」の「Limitations」を参照してください。

AWS Management Console

  1. https://console.aws.amazon.com/networkinsights/ で AWS Network Insights コンソールを開きます。

  2. [Network Access Analyzer] を選択します。

  3. [ネットワークアクセススコープを作成] を選択します。

  4. [Assess impact of VPC Block Public Access] を選択し、[次へ]を選択します。

  5. テンプレートは、アカウントのインターネットゲートウェイとの間のトラフィックを分析するように既に設定されています。これは、[ソース][宛先] で確認できます。

  6. [Next] を選択します。

  7. [ネットワークアクセススコープを作成] を選択します。

  8. 先ほど作成したスコープを選択し、[分析] を選択します。

  9. 分析が完了するまで待ちます。

  10. 分析の検出結果を表示します。[検出結果] の各行には、アカウントのインターネットゲートウェイとの間のネットワーク内でパケットが沿うことができるネットワークパスが表示されます。この場合、VPC BPA をオンにし、これらの検出結果に表示される VPC やサブネットのいずれも BPA の除外として設定されていない場合、それらの VPC やサブネットに対するトラフィックは制限されます。

  11. 各検出結果を分析して、VPC 内のリソースに対する BPA の影響を理解します。

影響分析が完了しました。

AWS CLI

  1. ネットワークアクセススコープを作成します:

    aws ec2 create-network-insights-access-scope --region us-east-2 --match-paths "Source={ResourceStatement={ResourceTypes=["AWS::EC2::InternetGateway"]}}" "Destination={ResourceStatement={ResourceTypes=["AWS::EC2::InternetGateway"]}}"

  2. スコープ分析を開始します:

    aws ec2 start-network-insights-access-scope-analysis  --region us-east-2 --network-insights-access-scope-id nis-id

  3. 分析の結果を取得します:

    aws ec2 get-network-insights-access-scope-analysis-findings  --region us-east-2 --network-insights-access-scope-analysis-id nisa-0aa383a1938f94cd1 --max-items 1

    その結果、アカウント内のすべての VPC のインターネットゲートウェイとの間のトラフィックが表示されます。結果は「検出結果」として整理されます。"FindingId": "AnalysisFinding-1" は、これが分析の最初の結果であることを示します。複数の検出結果があり、それぞれが VPC BPA をオンにすることで影響を受けるトラフィックフローを示しています。最初の検出結果は、トラフィックがインターネットゲートウェイ ("SequenceNumber": 1) で開始され、NACL ("SequenceNumber": 2)、セキュリティグループ ("SequenceNumber": 3) の順に渡され、インスタンス ("SequenceNumber": 4) で終了したことを示しています。

  4. 検出結果を分析して、VPC 内のリソースに対する BPA の影響を理解します。

影響分析が完了しました。

フローログを使用して BPA の影響をモニタリングする

VPC フローログは、VPC の Elastic Network Interface との間で行き来する IP トラフィックに関する情報をキャプチャできるようにする機能です。この機能を使用して、インスタンスのネットワークインターフェイスに到達しないように VPC BPA によってブロックされたトラフィックをモニタリングできます。

フローログの使用 のステップを使用して、VPC のフローログを作成します。

フローログを作成する際には、フィールド reject-reason を含むカスタム形式を使用してください。

フローログを表示する際に、BPA が原因で ENI に対するトラフィックが拒否された場合、フローログエントリに BPAreject-reason が表示されます。

VPC フローログについての標準の制限に加えて、VPC BPA に固有の次の制限に留意してください。

  • VPC BPA のフローログには、スキップされたレコードは含まれません。

  • VPC BPA のフローログには、フローログに bytes フィールドを含めた場合であっても、bytes は含まれません。

CloudTrail を使用して除外の削除を追跡する

このセクションでは、AWS CloudTrail を使用して VPC BPA の除外の削除をモニタリングおよび追跡する方法について説明します。

AWS Management Console

https://console.aws.amazon.com/cloudtrailv2/ の AWS CloudTrail コンソールの [リソースタイプ] > AWS::EC2::VPCBlockPublicAccessExclusion にアクセスして、[CloudTrail イベント履歴] で、削除された除外を確認できます。

AWS CLI

除外の削除に関連するイベントを表示するには、lookup-events コマンドを使用します:

aws cloudtrail lookup-events --lookup-attributes AttributeKey=ResourceType,AttributeValue=AWS::EC2::VPCBlockPublicAccessExclusion

Reachability Analyzer を使用して接続がブロックされていることを検証する

VPC Reachability Analyzer を使用して、VPC BPA の設定を含むネットワーク設定を踏まえて、特定のネットワークパスに到達できるかどうかを評価できます。

Reachability Analyzer を利用できるリージョンについては、「Reachability Analyzer ガイド」の「Considerations」を参照してください。

AWS Management Console

  1. https://console.aws.amazon.com/networkinsights/home#ReachabilityAnalyzer で AWS Network Insights コンソールを開きます。

  2. [パスを作成および分析] をクリックします。

  3. [ソースタイプ] で、[インターネットゲートウェイ] を選択し、[ソースドロップダウン] からトラフィックをブロックするインターネットゲートウェイを選択します。

  4. [宛先タイプ] で、[インスタンス] を選択し、[宛先] ドロップダウンからトラフィックをブロックするインスタンスを選択します。

  5. [パスを作成および分析] をクリックします。

  6. 分析が完了するまで待ちます。数分かかる場合があります。

  7. 完了すると、[到達可能性ステータス][到達不可] となり、[パスの詳細]VPC_BLOCK_PUBLIC_ACCESS_ENABLED がこの到達可能性に関する問題の原因であることが示されます。

AWS CLI

  1. トラフィックをブロックするインターネットゲートウェイの ID (ソース) と、トラフィックをブロックするインスタンスの ID (宛先) を使用してネットワークパスを作成します。

    aws ec2 --region us-east-2 create-network-insights-path --source igw-id --destination instance-id --protocol TCP

  2. ネットワークパスで分析を開始します:

    aws ec2 --region us-east-2 start-network-insights-analysis --network-insights-path-id nip-id

  3. 分析の結果を取得します:

    aws ec2 --region us-east-2 describe-network-insights-analyses --network-insights-analysis-ids nia-id

  4. 到達可能性の欠如について、VPC_BLOCK_PUBLIC_ACCESS_ENABLEDExplanationCode であることを確認します。