# Gerenciar responsabilidades pela segurança na Amazon Virtual Private Cloud
A segurança da nuvem na AWS é a nossa maior prioridade. Como cliente da AWS, você contará com um data center e uma arquitetura de rede criados para atender aos requisitos das organizações com as maiores exigências de segurança.
A segurança é uma responsabilidade compartilhada entre a AWS e você. O [Modelo de Responsabilidade Compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) descreve isso como segurança *da* nuvem e segurança *na* nuvem:
+ **Segurança da nuvem**: a AWS é responsável pela proteção da infraestrutura que executa serviços AWS na Nuvem AWS. A AWS também fornece serviços que podem ser usados com segurança. Auditores terceirizados testam e verificam regularmente a eficácia da nossa segurança como parte dos [Programas de conformidade da AWS](https://aws.amazon.com/compliance/programs/). Para saber mais sobre os programas de conformidade que se aplicam à Amazon Virtual Private Cloud, consulte [Serviços da AWS no escopo por programa de conformidade](https://aws.amazon.com/compliance/services-in-scope/).
+ **Segurança na nuvem**: sua responsabilidade é determinada pelo serviço da AWS que você usa. Você também é responsável por outros fatores, incluindo a confidencialidade de seus dados, os requisitos da empresa e as leis e regulamentos aplicáveis.
Esta documentação ajuda você a entender como aplicar o modelo de responsabilidade compartilhada ao usar a Amazon VPC. Os tópicos a seguir mostram como configurar a Amazon VPC para atender aos seus objetivos de segurança e de conformidade. Você também aprenderá a usar outros serviços da AWS que ajudam a monitorar e proteger os recursos da Amazon VPC.
**Topics**
+ [Garantir a proteção de dados na Amazon Virtual Private Cloud](data-protection.md)
+ [Aplicar a criptografia de VPC em trânsito](vpc-encryption-controls.md)
+ [Identity and Access Management para o Amazon VPC](security-iam.md)
+ [Segurança da infraestrutura no Amazon VPC](infrastructure-security.md)
+ [Controle o tráfego para seus recursos da AWS usando grupos de segurança](vpc-security-groups.md)
+ [Controlar o tráfego da sub-rede com listas de controle de acesso à rede](vpc-network-acls.md)
+ [Resiliência na Amazon Virtual Private Cloud](disaster-recovery-resiliency.md)
+ [Validação de conformidade da Amazon Virtual Private Cloud](VPC-compliance.md)
+ [Bloquear o acesso público a VPCs e sub-redes](security-vpc-bpa.md)
+ [Melhores práticas de segurança para a VPC](vpc-security-best-practices.md)
# Garantir a proteção de dados na Amazon Virtual Private Cloud
O [modelo de responsabilidade compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) da AWS se aplica à proteção de dados na Amazon Virtual Private Cloud. Conforme descrito nesse modelo, a AWS é responsável por proteger a infraestrutura global que executa toda a Nuvem AWS. Você é responsável por manter o controle sobre o conteúdo hospedado nessa infraestrutura. Você também é responsável pelas tarefas de configuração e gerenciamento de segurança dos Serviços da AWS que usa. Para saber mais sobre a privacidade de dados, consulte as [Data Privacy FAQ](https://aws.amazon.com/compliance/data-privacy-faq/). Para saber mais sobre a proteção de dados na Europa, consulte a postagem do blog [AWS Shared Responsibility Model and RGPD](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) no *Blog de segurança da AWS*.
Para fins de proteção de dados, recomendamos que você proteja as credenciais da Conta da AWS e configure as contas de usuário individuais com Centro de Identidade do AWS IAM ou AWS Identity and Access Management (IAM). Dessa maneira, cada usuário receberá apenas as permissões necessárias para cumprir suas obrigações de trabalho. Recomendamos também que você proteja seus dados das seguintes formas:
+ Use uma autenticação multifator (MFA) com cada conta.
+ Use SSL/TLS para se comunicar com os recursos da AWS. Exigimos TLS 1.2 e recomendamos TLS 1.3.
+ Configure os logs de API e atividade do usuário com AWS CloudTrail. Para saber mais sobre como usar as trilhas do CloudTrail para capturar atividades da AWS, consulte [Working with CloudTrail trails](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) no *Guia do usuário do AWS CloudTrail*.
+ Use as soluções de criptografia AWS, juntamente com todos os controles de segurança padrão em Serviços da AWS.
+ Use serviços gerenciados de segurança avançada, como o Amazon Macie, que ajuda a localizar e proteger dados sensíveis armazenados no Amazon S3.
+ Se você precisar de módulos criptográficos validados pelo FIPS 140-3 ao acessar a AWS por meio de uma interface de linha de comandos ou de uma API, use um endpoint do FIPS. Para saber mais sobre os endpoints FIPS disponíveis, consulte [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
É altamente recomendável que nunca sejam colocadas informações de identificação confidenciais, como endereços de e-mail dos seus clientes, em marcações ou campos de formato livre, como um campo **Nome**. Isso também vale para o uso do Amazon VPC ou de outros Serviços da AWS com o console, a API, a AWS CLI ou os AWS SDKs. Quaisquer dados inseridos em tags ou em campos de texto de formato livre usados para nomes podem ser usados para logs de faturamento ou de diagnóstico. Se você fornecer um URL para um servidor externo, é fortemente recomendável que não sejam incluídas informações de credenciais no URL para validar a solicitação nesse servidor.
# Garantir a privacidade do tráfego entre redes na Amazon VPC
A Amazon Virtual Private Cloud oferece recursos que podem ser usados para ampliar e monitorar a proteção da Virtual Private Cloud (VPC):
+ **Grupos de segurança**: os grupos de segurança permitem determinado tráfego de entrada e saída no nível do recurso (como uma instância do EC2). Quando você inicia uma instância, atribui a ela um ou mais grupos de segurança. Cada instância na VPC pode pertencer a um conjunto diferente de grupos de segurança. Se você não especificar um grupo de segurança ao iniciar uma instância, ela será associada automaticamente ao grupo de segurança padrão da VPC. Para obter mais informações, consulte [Grupos de segurança](vpc-security-groups.md).
+ **Listas de controle de acesso (ACL) à rede**: as ACLs da rede permitem ou negam determinado tráfego de entrada e de saída no nível da sub-rede. Para obter mais informações, consulte [Controlar o tráfego da sub-rede com listas de controle de acesso à rede](vpc-network-acls.md).
+ **Logs de fluxos**: os logs de fluxos capturam informações sobre o tráfego de IP de e para as interfaces de rede em sua VPC. É possível criar um log de fluxos para uma VPC, sub-rede ou interface de rede. Os dados de log de fluxo são publicados no CloudWatch Logs ou no Amazon S3 e podem ajudar a diagnosticar regras de ACL de rede e grupos de segurança excessivamente restritivos ou permissivos. Para obter mais informações, consulte [Como registrar tráfego IP em log com logs de fluxo da VPC](flow-logs.md).
+ **Espelhamento de tráfego**: é possível copiar o tráfego de rede de uma interface de rede elástica de uma instância do Amazon EC2. Depois, é possível enviar o tráfego para dispositivos de monitoramento e segurança fora de banda. Para obter mais informações, consulte o [Guia de espelhamento de tráfego](https://docs.aws.amazon.com/vpc/latest/mirroring/).
# Aplicar a criptografia de VPC em trânsito
Os controles de criptografia de VPC são um recurso de segurança e conformidade que oferece controle de autorização centralizado para monitorar o status de criptografia de seus fluxos de tráfego, ajuda a identificar recursos que permitem a comunicação em texto não criptografado e, por fim, fornece mecanismos para aplicar a criptografia em trânsito dentro e entre suas VPCs em uma região
Os controles de criptografia de VPC usam a criptografia na camada de aplicação e a capacidade integrada de criptografia em trânsito do hardware do AWS Nitro System para garantir a aplicação da criptografia. Esse recurso também estende a criptografia nativa da camada de hardware além das instâncias modernas do Nitro para outros serviços da AWS, incluindo Fargate, Application Load Balancer, Transit Gateways e muitos outros.
O recurso foi desenvolvido para qualquer pessoa que queira garantir a visibilidade e o controle do status de criptografia de todo o tráfego. É especialmente útil em setores nos quais a criptografia de dados é fundamental para atender aos padrões de conformidade, como HIPAA, FedRAMP e PCI DSS. Administradores de segurança e arquitetos de nuvem podem usá-lo para exercer centralmente a criptografia em políticas de trânsito em todo o ambiente da AWS
Esse recurso pode ser usado em dois modos: modo de monitoramento e modo de imposição.
## Modos dos controles de criptografia
**Modo monitorado**
No modo de monitoramento, os controles de criptografia fornecem visibilidade do status de criptografia dos fluxos de tráfego entre seus recursos da AWS dentro e entre as VPCs. Eles também ajudam a identificar recursos da VPC que não estão aplicando criptografia em trânsito. Você pode configurar seus logs de fluxo de VPC para emitir o campo aprimorado (`encryption-status`) que informa se seu tráfego está criptografado. Você também pode usar o console ou o comando `GetVpcResourcesBlockingEncryptionEnforcement` para identificar os recursos que não estão aplicando a criptografia em trânsito.
**nota**
As VPCs existentes só podem ser habilitadas primeiro no modo de monitoramento. Isso dá a você visibilidade dos recursos que são ou podem permitir o tráfego de texto não criptografado. Você só pode ativar o modo de imposição na sua VPC quando esses recursos começarem a aplicar a criptografia (ou você criar exclusões para eles).
**Modo de imposição**
No modo de imposição, os controles de criptografia de VPC impedem que você use quaisquer recursos ou serviços que permitam tráfego não criptografado dentro dos limites da VPC. Você não pode habilitar os controles de criptografia no modo de imposição diretamente nas suas VPCs existentes. Primeiro, você deve ativar os controles de criptografia no modo de monitoramento, identificar e modificar os recursos não compatíveis para impor a criptografia em trânsito e, em seguida, ativar o modo de imposição. No entanto, você pode ativar os controles de criptografia no modo de imposição para novas VPCs durante a criação.
Quando habilitado, o modo de imposição impede que você crie ou anexe recursos de VPC não criptografados, como instâncias EC2 antigas que não oferecem suporte à criptografia integrada nativa, ou gateways de internet etc. Se você quiser executar um recurso não compatível em uma VPC com criptografia imposta, deverá criar uma exclusão para esse recurso.
## Monitoramento do status de criptografia de fluxos de tráfego
Você pode auditar o status de criptografia dos fluxos de tráfego dentro da VPC usando o campo `encryption-status` nos seus logs de fluxo da VPC. Ele pode ter os seguintes valores:
+ `0` = não criptografado
+ `1` = criptografado por nitro (gerenciado pelos controles de criptografia de VPC)
+ `2` = criptografado por aplicação
+ fluxos na porta TCP 443 para o endpoint de interface para o serviço da AWS\$1
+ fluxos na porta TCP 443 para o endpoint do gateway \$1
+ fluxos para um cluster Redshift criptografado via endpoint da VPC \$1\$1
+ `3` = criptografado por Nitro E por aplicação
+ `(-)` = status de criptografia desconhecido ou os controles de criptografia de VPC estão desativados
**Observação:**
\$1 Para endpoints de interface e gateway, a AWS não examina os dados do pacote para determinar o status da criptografia; em vez disso, confiamos na porta usada para assumir o status da criptografia.
\$1\$1 Para endpoints especificados, gerenciados pela AWS, a AWS determina o status da criptografia com base no requisito de TLS na configuração do serviço.
**Limitações do log de fluxo da VPC**
+ Para habilitar os logs de fluxo para controles de criptografia de VPC, você precisa criar novos logs de fluxo com o campo de status de criptografia manualmente. O campo de status de criptografia não é adicionado automaticamente aos logs de fluxo existentes.
+ É recomendável adicionar os campos \$1\$1traffic-path\$1 e \$1\$1flow-direction\$1 aos logs de fluxo para obter informações mais detalhadas nos logs de fluxo.
Exemplo:
```
aws ec2 create-flow-logs \
--resource-type VPC \
--resource-ids vpc-12345678901234567 \
--traffic-type ALL \
--log-group-name my-flow-logs \
--deliver-logs-permission-arn arn:aws:iam::123456789101:role/publishFlowLogs
--log-format '${encryption-status} ${srcaddr} ${dstaddr} ${srcport} ${dstport} ${protocol} ${traffic-path} ${flow-direction} ${reject-reason}'
```
## Exclusões de controles de criptografia de VPC
O modo de imposição dos controles de criptografia de VPC exige que todos os seus recursos na VPC apliquem a criptografia. Isso garante a criptografia dentro da AWS em uma região. No entanto, você pode ter recursos como gateway da internet, gateway NAT ou gateway privado virtual que permitem conectividade fora das redes da AWS nas quais você é responsável por configurar e manter a criptografia de ponta a ponta. Para executar esses recursos em VPCs com criptografia aplicada, você pode criar exclusões de recursos. Uma exclusão cria uma exceção auditável para recursos em que o cliente é responsável por manter a criptografia (normalmente na camada da aplicação).
Há apenas 8 exclusões suportadas para controles de criptografia de VPC. Se você tiver esses recursos em sua VPC e quiser passar para o modo de imposição, deverá adicionar essas exclusões ao alternar do modo de monitoramento para o modo de imposição. Nenhum outro recurso é excluível. Você pode migrar sua VPC para o modo de imposição criando exclusões para esses recursos. Você é responsável pela criptografia dos fluxos de tráfego de e para esses recursos.
+ Gateway da Internet
+ NAT Gateway
+ Gateway da internet somente de saída
+ Conexões de emparelhamento de VPC para VPCs não impostas com criptografia (consulte a seção de suporte de emparelhamento de VPC para ver cenários detalhados)
+ Gateway privado virtual
+ Funções Lambda dentro da sua VPC
+ VPC Lattice
+ Elastic File System
## Fluxo de trabalho da implementação
1. **Habilitar monitoramento**: crie um controle de criptografia de VPC no modo de monitoramento
1. **Analisar tráfego**: revise os logs de fluxo para monitorar o status de criptografia do fluxo de tráfego
1. **Analisar recursos**: use o console ou o comando `GetVpcResourcesBlockingEncryptionEnforcement` para identificar os recursos que não estão aplicando a criptografia em trânsito
1. **Preparar [Opcional]**: planeje as migrações de recursos e as exclusões necessárias se quiser ativar o modo de imposição
1. **Impor [Opcional]**: alterne para o modo de imposição com as exclusões necessárias configuradas
1. **Auditar**: monitoramento contínuo da conformidade por meio de logs de fluxo
Para obter instruções detalhadas de configuração, consulte a postagem de blog [Apresentando os controles de criptografia da VPC: imponha a criptografia em trânsito dentro e entre as VPCs em uma região](https://aws.amazon.com/blogs/aws/introducing-vpc-encryption-controls-enforce-encryption-in-transit-within-and-across-vpcs-in-a-region).
## Estados de controles de criptografia de VPC
Os controles de criptografia de VPC podem ter um dos seguintes estados:
**criando**
Os controles de criptografia de VPC estão sendo criados na VPC.
**modify-in-progress**
Os controles de criptografia de VPC estão sendo modificados na VPC
**excluindo**
Os controles de criptografia de VPC estão sendo excluídos na VPC
**available**
Os controles de criptografia de VPC tiveram sucesso na implementação do modo de monitoramento ou do modo de imposição na VPC
## Suporte de serviço da AWS e compatibilidade
Para ser compatível com a criptografia, um recurso deve sempre aplicar a criptografia em trânsito, seja na camada de hardware ou na camada de aplicação. Para a maioria dos recursos, nenhuma ação será necessária da sua parte.
### Serviços com conformidade automática
A maioria dos serviços da AWS suportados pelo PrivateLink, incluindo os PrivateLinks entre regiões, aceitará tráfego criptografado na camada da aplicação. Você não precisa fazer nenhuma alteração nesses recursos. A AWS descarta automaticamente qualquer tráfego que não esteja criptografado na camada da aplicação. Algumas exceções incluem clusters do Redshift (provisionados e sem servidor, nos quais você precisa migrar manualmente os recursos subjacentes)
### Recursos que migram automaticamente
Os balanceadores de carga de rede, os balanceadores de carga de aplicação, os clusters Fargate e o ambiente de gerenciamento do EKS migrarão automaticamente para um hardware que ofereça suporte nativo à criptografia quando você ativar o modo de monitoramento. Você não precisa fazer nenhuma alteração nesses recursos. A AWS lida com a migração automaticamente.
### Recursos que exigem migração manual
Alguns recursos e serviços de VPC exigem que você selecione os tipos de instância subjacentes. Todas as instâncias do EC2 modernas são compatíveis com a criptografia em trânsito. Você não precisa fazer nenhuma alteração se seus serviços já usam instâncias do EC2 modernas. Você pode usar o console ou o comando GetVpcResourcesBlockingEncryptionEnforcement para identificar se algum desses serviços está usando instâncias mais antigas. Se você identificar esses recursos, deverá atualizá-los para qualquer uma das instâncias modernas do EC2 que ofereça suporte à criptografia nativa do hardware do Nitro System. Esses serviços incluem instâncias do EC2, grupos de Auto Scaling, RDS (todos os bancos de dados e bancos de dados de documentos), ElastiCache provisionado, clusters provisionados do Amazon Redshift, EKS, ECS-EC2, OpenSearch provisionado e EMR.
**Recursos compatíveis:**
Os recursos a seguir são compatíveis com os controles de criptografia de VPC:
+ [Instâncias do EC2 baseadas em Nitro](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit)
+ Balanceadores de carga de rede (com limitações)
+ Application Load Balancers
+ Clusters do AWS Fargate
+ Amazon Elastic Kubernetes Service (EKS)
+ Grupos de Auto Scaling do Amazon EC2
+ Amazon Relational Database Service (RDS - Todos os bancos de dados)
+ Clusters baseados em nós do Amazon ElastiCache
+ Clusters sem servidor e provisionados do Amazon Redshift
+ Amazon Elastic Container Service (ECS): instâncias de contêiner do EC2
+ Amazon OpenSearch Service
+ Amazon Elastic MapReduce (EMR)
+ Amazon Managed Streaming for Apache Kafka (Amazon MSK)
+ Os controles de criptografia de VPC impõem a criptografia na camada da aplicação para todos os serviços da AWS acessados via PrivateLink. Qualquer tráfego que não seja criptografado na camada da aplicação é descartado pelos endpoints do PrivateLink hospedados dentro da VPC com controles de criptografia no modo de imposição
### Limites específicos do serviço
**Limitações do Network Load Balancer**
Configuração de TLS: não é possível usar um receptor de TLS para descarregar o trabalho de criptografia e descriptografia no seu balanceador de carga ao impor os controles de criptografia na VPC em questão. No entanto, você pode configurar seus destinos para realizar criptografia e descriptografia TLS.
**Provisionamento por Redshift e sem servidor**
Os clientes não podem passar para o modo de imposição em uma VPC que tenha um cluster/endpoint existente. Para usar os controles de criptografia de VPC com o Redshift, você deve restaurar seu cluster ou namespace a partir de um snapshot. Para clusters provisionados, crie um snapshot do seu cluster existente do Redshift e, em seguida, restaure a partir do snapshot usando a operação de restauração do snapshot do cluster. Para tecnologia sem servidor, crie um snapshot do seu namespace existente e, em seguida, restaure a partir do snapshot usando a operação de restauração do snapshot em seu grupo de trabalho sem servidor. Observe que os controles de criptografia de VPC não podem ser habilitados em clusters ou namespaces existentes sem realizar o processo de snapshot e restauração. Consulte a [documentação do Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/welcome.html) para criar snapshots.
**Amazon MSK (Managed Streaming for Apache Kafka)**
Essa funcionalidade é compatível com novos clusters do 4.1 em sua própria VPC. As etapas a seguir ajudarão você a usar a criptografia de VPC com o MSK.
+ O cliente habilita a criptografia de VPC em uma VPC sem outros clusters MSK
+ O cliente cria um cluster com o Kafka versão 4.1 e o tipo de instância como M7g
### Limitações de região e zona
+ **Sub-redes de zona local**: não suportadas no modo de imposição; devem ser excluídas da VPC
### Suporte a emparelhamento de VPC
Para garantir a criptografia em trânsito com o emparelhamento de VPC entre duas VPCs, as duas VPCs devem residir na mesma região e ter os controles de criptografia ativados no modo de imposição sem nenhuma exclusão. Você deve criar uma exclusão de emparelhamento se quiser emparelhar uma VPC com criptografia imposta a outra VPC que resida em uma região diferente ou que não tenha controles de criptografia habilitados no modo de imposição (sem exclusões).
Se duas VPCs estiverem no modo de imposição e emparelhadas uma com a outra, você não poderá alterar o modo de imposição para monitoramento. Você precisaria primeiro criar uma exclusão de emparelhamento, antes de modificar o modo dos controles de criptografia de VPC para monitoramento.
### Suporte à criptografia do Transit Gateway
Você deve habilitar explicitamente o suporte à criptografia em um Transit Gateway para criptografar o tráfego entre suas VPCs que têm controles de criptografia ativados. Habilitar a criptografia no Transit Gateway existente não interrompe os fluxos de tráfego existentes, e a migração de anexos de VPC para faixas criptografadas ocorrerá de forma perfeita e automática. O tráfego entre duas VPCs no modo de imposição (sem exclusões) por meio do Transit Gateway atravessa faixas 100% criptografadas. A criptografia no Transit Gateway também permite que você conecte duas VPCs que estão em modos diferentes de controles de criptografia. Você deve usá-lo quando quiser impor controles de criptografia em uma VPC conectada a uma VPC sem imposição de criptografia. Nesse cenário, todo o tráfego dentro da sua VPC com criptografia imposta, incluindo o tráfego entre VPC, é criptografado. O tráfego entre VPCs é criptografado entre os recursos na VPC com criptografia imposta e no Transit Gateway. Além disso, a criptografia depende dos recursos para onde o tráfego está indo na VPC não imposta e não tem garantias de ser criptografada (já que a VPC não está no modo de imposição). Todas as VPCs devem estar na mesma região (veja os detalhes [aqui](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-encryption-support.html)).
![\[Fluxo de tráfego entre VPCs com diferentes status de controle de criptografia\]](http://docs.aws.amazon.com/pt_br/vpc/latest/userguide/images/vpc-enc-control-arch.png)
+ Neste diagrama, a VPC 1, a VPC 2 e a VPC3 têm controles de criptografia no modo de imposição e estão conectadas à VPC 4, que tem controles de criptografia em execução no modo de monitoramento.
+ Todo o tráfego entre as VPC 1, VPC 2 e VPC 3 será criptografado.
+ Para explicar melhor, qualquer tráfego entre um recurso na VPC 1 e um recurso na VPC 4 será criptografado até o Transit Gateway usando a criptografia oferecida pelo hardware do Nitro System. Além disso, o status da criptografia depende do recurso na VPC 4 e não é garantido que seja criptografado.
Para obter mais detalhes sobre o suporte à criptografia do Transit Gateway, consulte [a documentação do Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-encryption-support.html).
## Preços
Para ter informações sobre preço, consulte [Preços da Amazon VPC](https://aws.amazon.com/vpc/pricing/).
## AWS CLIReferência de comandos do
### Definição e configuração
+ [aws ec2 create-vpc-encryption-control](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpc-encryption-control.html)
+ [aws ec2 modify-vpc-encryption-control](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-encryption-control.html)
+ [aws ec2 tgw modify-transit-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-transit-gateway.html)
### Monitoramento e solução de problemas
+ [aws ec2 describe-vpc-encryption-controls](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpc-encryption-controls.html)
+ [aws ec2 get-vpc-resources-blocking-encryption-enforcement](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-vpc-resources-blocking-encryption-enforcement.html)
+ [aws ec2 create-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-flow-logs.html)
+ [aws ec2 describe-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-flow-logs.html)
+ [aws logs query](https://docs.aws.amazon.com/cli/latest/reference/logs/query.html)
### Limpeza
+ [aws ec2 delete-vpc-encryption-control](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpc-encryption-control.html)
## Recursos adicionais
Para obter instruções detalhadas de configuração, consulte a postagem de blog [Apresentando os controles de criptografia da VPC: imponha a criptografia em trânsito dentro e entre as VPCs em uma região](https://aws.amazon.com/blogs/aws/introducing-vpc-encryption-controls-enforce-encryption-in-transit-within-and-across-vpcs-in-a-region).
Para obter informações detalhadas sobre API, consulte o [Guia de referência de API do EC2](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/Welcome.html).
# Identity and Access Management para o Amazon VPC
O AWS Identity and Access Management (IAM) é um serviço da AWS service (Serviço da AWS) que ajuda um administrador a controlar com segurança o acesso aos recursos da AWS. Os administradores do IAM controlam quem pode ser *autenticado* (conectado) e *autorizado* (ter permissões) para usar os recursos da Amazon VPC. O IAM é um AWS service (Serviço da AWS) que pode ser usado sem custo adicional.
**Topics**
+ [Público](#security_iam_audience)
+ [Autenticar com identidades](#security_iam_authentication)
+ [Gerenciar o acesso usando políticas](#security_iam_access-manage)
+ [Como a Amazon VPC funciona com o IAM](security_iam_service-with-iam.md)
+ [Exemplos de políticas da Amazon VPC](vpc-policy-examples.md)
+ [Solução de problemas de identidade e acesso da Amazon VPC](security_iam_troubleshoot.md)
+ [AWSPolíticas gerenciadas da para Amazon Virtual Private Cloud](security-iam-awsmanpol.md)
+ [Usar perfis vinculados ao serviço para VPC](using-service-linked-roles.md)
## Público
A forma de usar o AWS Identity and Access Management (IAM) varia em função do trabalho realizado na Amazon VPC.
**Usuário do serviço**: se você usar o serviço do Amazon VPC para fazer seu trabalho, o administrador fornecerá as credenciais e as permissões necessárias. À medida que mais recursos do Amazon VPC forem usados para realizar o trabalho, talvez sejam necessárias permissões adicionais. Entender como o acesso é gerenciado pode ajudar você a solicitar as permissões corretas ao seu administrador. Se você não puder acessar um recurso na Amazon VPC, consulte [Solução de problemas de identidade e acesso da Amazon VPC](security_iam_troubleshoot.md).
**Administrador do serviço**: se você for o responsável pelos recursos da Amazon VPC em sua empresa, você provavelmente terá acesso total à Amazon VPC. É seu trabalho determinar quais recursos da Amazon VPC os funcionários devem acessar. Envie solicitações ao administrador do IAM para alterar as permissões dos usuários do serviço. Revise as informações nesta página para entender os conceitos básicos do IAM. Para saber mais sobre como a empresa pode usar o IAM com a Amazon VPC, consulte [Como a Amazon VPC funciona com o IAM](security_iam_service-with-iam.md).
**Administrador do IAM**: se você é um administrador do IAM, talvez queira saber detalhes sobre como pode escrever políticas para gerenciar o acesso à Amazon VPC. Para ver exemplos de políticas, consulte [Exemplos de políticas da Amazon VPC](vpc-policy-examples.md).
## Autenticar com identidades
A autenticação é a forma como fazer login na AWS usando suas credenciais de identidade. Você precisa se autenticar como o Usuário raiz da conta da AWS, como um usuário do IAM ou assumindo um perfil do IAM.
Você pode fazer login como uma identidade federada usando credenciais de uma fonte de identidade, como o Centro de Identidade do AWS IAM (Centro de Identidade do IAM), autenticação única ou credenciais do Google/Facebook. Para ter mais informações sobre como fazer login, consulte [Como fazer login em sua Conta da AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) no *Guia do usuário do Início de Sessão da AWS*.
Para acesso programático, a AWS oferece um SDK e uma CLI para assinar solicitações criptograficamente. Para ter mais informações, consulte [AWS Signature Version 4 para solicitações de API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) no *Guia do usuário do IAM*.
### Usuário-raiz Conta da AWS
Ao criar uma Conta da AWS, você começa com uma identidade de login única chamada *usuário-raiz* da Conta da AWS, que tem acesso total a todos os recursos e Serviços da AWS. É altamente recomendável não usar o usuário-raiz em tarefas diárias. Consulte as tarefas que exigem credenciais de usuário-raiz em [Tarefas que exigem credenciais de usuário-raiz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) no *Guia do usuário do IAM*.
### Usuários e grupos do IAM
Um *[usuário do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* é uma identidade com permissões específicas para uma única pessoa ou aplicação. É recomendável usar credenciais temporárias, em vez de usuários do IAM com credenciais de longo prazo. Para saber mais, consulte [Exigir que os usuários humanos usem a federação com um provedor de identidade para acessar a AWS usando credenciais temporárias](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) no *Guia do usuário do IAM*.
Um [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica um conjunto de usuários do IAM e facilita o gerenciamento de permissões para grandes conjuntos de usuários. Para ter mais informações, consulte [Casos de uso de usuários do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) no *Guia do usuário do IAM*.
### Perfis do IAM
Uma *[perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* é uma identidade com permissões específicas que oferece credenciais temporárias. É possível assumir um perfil [alternando de um usuário para um perfil do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) ou chamando uma operação de API AWS CLI ou AWS. Para saber mais, consulte [Métodos para assumir um perfil](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) no *Manual do usuário do IAM*.
Os perfis do IAM são úteis para acesso de usuário federado, permissões de usuário do IAM temporárias, acesso entre contas, acesso entre serviços e aplicações em execução no Amazon EC2. Consulte mais informações em [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
## Gerenciar o acesso usando políticas
Você controla o acesso na AWS criando políticas e anexando-as a identidades ou recursos da AWS. Uma política define permissões quando associada a uma identidade ou a um recurso. A AWS avalia essas políticas quando a entidade principal faz uma solicitação. A maioria das políticas é armazenada na AWS como documentos JSON. Para ter mais informações sobre documentos de política JSON, consulte [Visão geral das políticas JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) no *Guia do usuário do IAM*.
Por meio de políticas, os administradores especificam quem tem acesso a que, definindo qual **entidade principal** pode realizar **ações** em quais **recursos** e sob quais **condições**.
Por padrão, usuários e perfis não têm permissões. Um administrador do IAM cria políticas do IAM e as adiciona aos perfis, os quais os usuários podem então assumir. As políticas do IAM definem permissões, independentemente do método usado para realizar a operação.
### Políticas baseadas em identidade
As políticas baseadas em identidade são documentos de políticas de permissão JSON que você anexa a uma identidade (usuário, grupo ou perfil). Essas políticas controlam quais ações as identidades podem realizar, em quais recursos e sob quais condições. Para saber como criar uma política baseada em identidade, consulte [Definir permissões personalizadas do IAM com políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) no *Guia do usuário do IAM*.
As políticas baseadas em identidade podem ser políticas *em linha* (incorporadas diretamente em uma única identidade) ou *políticas gerenciadas* (políticas autônomas anexadas a várias identidades). Para saber como escolher entre uma política gerenciada e políticas em linha, consulte [Escolher entre políticas gerenciadas e políticas em linha](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) no *Guia do usuário do IAM*.
### Políticas baseadas em recursos
Políticas baseadas em recursos são documentos de políticas JSON que você anexa a um recurso. Entre os exemplos estão *políticas de confiança de perfil* do IAM e *políticas de bucket* do Amazon S3. Em serviços compatíveis com políticas baseadas em recursos, os administradores de serviço podem usá-las para controlar o acesso a um recurso específico. É necessário [especificar uma entidade principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) em uma política baseada em recursos.
Políticas baseadas em recursos são políticas em linha localizadas nesse serviço. Não é possível usar as políticas gerenciadas pela AWS do IAM em uma política baseada em atributos.
### Listas de controle de acesso (ACLs)
As listas de controle de acesso (ACLs) controlam quais entidades principais (membros, usuários ou perfis da conta) têm permissões para acessar um recurso. As ACLs são semelhantes às políticas baseadas em recursos, embora não usem o formato de documento de política JSON.
Amazon S3, AWS WAF e Amazon VPC são exemplos de serviços que oferecem compatibilidade com ACLs. Para saber mais sobre ACLs, consulte [Visão geral da lista de controle de acesso (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) no *Guia do Desenvolvedor do Amazon Simple Storage Service*.
### Outros tipos de política
A AWS permite outros tipos de política capazes de definir o máximo de permissões concedidas por tipos de política mais comuns:
+ **Limites de permissões**: definem o número máximo de permissões que uma política baseada em identidade pode conceder a uma entidade do IAM. Para saber mais sobre limites de permissões, consulte [Limites de permissões para identidades do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) no *Guia do usuário do IAM*.
+ **Políticas de Controle de Serviços (SCPs)**: as SCPs especificam o número máximo de permissões para uma organização ou uma unidade organizacional no AWS Organizations. Para saber mais, consulte [Políticas de controle de serviço](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) no *Guia do usuário do AWS Organizations*.
+ **Políticas de controle de recursos (RCPs)**: definem o número máximo de permissões disponíveis para recursos em suas contas. Consulte mais informações em [Resource control policies (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) no *Guia do usuário do AWS Organizations*.
+ **Políticas de sessão**: políticas avançadas transmitidas como um parâmetro durante a criação de uma sessão temporária para um perfil ou um usuário federado. Para saber mais, consulte [Políticas de sessão](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) no *Guia do usuário do IAM*.
### Vários tipos de política
Quando vários tipos de política são aplicáveis a uma solicitação, é mais complicado compreender as permissões resultantes. Para saber como a AWS determina se deve permitir uma solicitação quando há vários tipos de política envolvidos, consulte [Lógica da avaliação de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) no *Manual do usuário do IAM*.
# Como a Amazon VPC funciona com o IAM
Antes de usar o IAM para gerenciar o acesso à Amazon VPC, você deve entender quais recursos do IAM estão disponíveis para uso com a Amazon VPC. Para obter uma visualização de alto nível de como a Amazon VPC e outros serviços da AWS funcionam com o IAM, consulte [Serviços da AWS compatíveis com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) no *Guia do usuário do IAM*.
**Topics**
+ [Ações](#security_iam_service-with-iam-id-based-policies-actions)
+ [Recursos](#security_iam_service-with-iam-id-based-policies-resources)
+ [Chaves de condição](#security_iam_service-with-iam-id-based-policies-conditionkeys)
+ [Políticas baseadas em recursos da Amazon VPC](#security_iam_service-with-iam-resource-based-policies)
+ [Autorização baseada em tags](#security_iam_service-with-iam-tags)
+ [Perfis do IAM](#security_iam_service-with-iam-roles)
Com políticas do IAM baseadas em identidade, é possível especificar ações permitidas ou negadas. Para algumas ações, você pode especificar os recursos e condições sob os quais as ações são permitidas ou negadas. A Amazon VPC oferece suporte a ações, chaves de condição e recursos específicos. Para saber mais sobre todos os elementos usados em uma política JSON, consulte [Referência de elementos de política JSON do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) no *Guia do usuário do IAM*.
## Ações
Os administradores podem usar as políticas JSON da AWS para especificar quem tem acesso a quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento `Action` de uma política JSON descreve as ações que podem ser usadas para permitir ou negar acesso em uma política. Incluem ações em uma política para conceder permissões para executar a operação associada.
A Amazon VPC compartilha o próprio namespace de API com o Amazon EC2. As ações de política na Amazon VPC usam o seguinte prefixo antes da ação: `ec2:`. Por exemplo, para conceder permissão a um usuário para criar uma VPC usando a operação de API `CreateVpc`, conceda acesso à ação `ec2:CreateVpc`. As instruções de política devem incluir um elemento `Action` ou `NotAction`.
Para especificar várias ações em uma única declaração, separe-as com vírgulas, conforme exibido no exemplo a seguir.
```
"Action": [
"ec2:action1",
"ec2:action2"
]
```
Você também pode especificar várias ações usando caracteres curinga (\$1). Por exemplo, para especificar todas as ações que começam com a palavra `Describe`, inclua a ação a seguir:
```
"Action": "ec2:Describe*"
```
Para ver uma lista de ações de VPC da Amazon, consulte [Ações definidas pelo Amazon EC2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html#amazonec2-actions-as-permissions) na *Referência de autorização do serviço*.
## Recursos
Os administradores podem usar as políticas JSON da AWS para especificar quem tem acesso a quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento de política JSON `Resource` especifica o objeto ou os objetos aos quais a ação se aplica. Como prática recomendada, especifique um recurso usando seu [nome do recurso da Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Para ações que não oferecem compatibilidade com permissões em nível de recurso, use um curinga (\$1) para indicar que a instrução se aplica a todos os recursos.
```
"Resource": "*"
```
O recurso da VPC tem o ARN exibido no exemplo a seguir.
```
arn:${Partition}:ec2:${Region}:${Account}:vpc/${VpcId}
```
Por exemplo, para especificar a VPC `vpc-1234567890abcdef0` na instrução, use o ARN exibido no exemplo a seguir.
```
"Resource": "arn:aws:ec2:us-east-1:123456789012:vpc/vpc-1234567890abcdef0"
```
Para especificar todas as VPCs em uma Região específica que pertencem a uma conta específica, use o caractere curinga (\$1).
```
"Resource": "arn:aws:ec2:us-east-1:123456789012:vpc/*"
```
Algumas ações da Amazon VPC, como as de criação de recursos, não podem ser executadas em um recurso específico. Nesses casos, você deve usar o caractere curinga (\$1).
```
"Resource": "*"
```
Muitas ações da API do Amazon EC2 envolvem vários recursos. Para especificar vários recursos em uma única declaração, separe os ARNs com vírgulas.
```
"Resource": [
"resource1",
"resource2"
]
```
Para ver uma lista de tipos de recursos de VPC da Amazon e seus ARNs, consulte [Recursos definidos pelo Amazon EC2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html#amazonec2-resources-for-iam-policies) na *Referência de autorização do serviço*.
## Chaves de condição
Os administradores podem usar as políticas JSON AWS para especificar quem tem acesso a quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento `Condition` especifica quando as instruções são executadas com base em critérios definidos. É possível criar expressões condicionais que usem [agentes de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), como “igual a” ou “menor que”, para fazer a condição da política corresponder aos valores na solicitação. Para ver todas as chaves de condição globais da AWS, consulte [Chaves de contexto de condição globais da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) no *Guia do usuário do IAM*.
Todas as ações do Amazon EC2 oferecem suporte às chaves de condição `aws:RequestedRegion` e `ec2:Region`. Para obter mais informações, consulte [Exemplo: restringir acesso a uma região específica](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ExamplePolicies_EC2.html#iam-example-region).
A Amazon VPC define seu próprio conjunto de chaves de condição e também oferece suporte ao uso de algumas chaves de condição globais. Para ver uma lista de chaves de condição de VPC da Amazon, consulte [Chaves de condição do Amazon EC2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html#amazonec2-policy-keys) na *Referência de autorização do serviço*. Para saber com quais ações e recursos é possível usar a chave de condição, consulte [Ações definidas pelo Amazon EC2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html#amazonec2-actions-as-permissions).
## Políticas baseadas em recursos da Amazon VPC
As políticas baseadas em recursos são documentos de políticas JSON que especificam quais ações uma entidade principal pode executar no recurso da Amazon VPC e sob quais condições.
Para permitir o acesso entre contas, você pode especificar uma conta inteira ou as entidades do IAM em outra conta como a [entidade principal em uma política baseada em recurso](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). Adicionar uma entidade principal entre contas à política baseada em recurso é apenas metade da tarefa de estabelecimento da relação de confiança. Quando o principal e o recurso estão em diferentes contas da AWS, você também deve conceder à entidade principal permissão para acessar o recurso. Conceda permissão anexando uma política baseada em identidade para a entidade. No entanto, se uma política baseada em recurso conceder acesso a uma entidade principal na mesma conta, nenhuma política baseada em identidade adicional será necessária. Consulte mais informações em [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
## Autorização baseada em tags
É possível anexar tags a recursos da Amazon VPC ou passar tags em uma solicitação. Para controlar o acesso com base em tags, forneça informações sobre as tags no [elemento de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de uma política usando chaves de condição. Para obter mais informações, consulte [Conceder permissão para marcar recursos durante a criação](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/supported-iam-actions-tagging.html) no *Manual do usuário do Amazon EC2 para instâncias do Linux*.
Para visualizar um exemplo de política baseada em identidade que visa limitar o acesso a um recurso baseado nas tags desse recurso, consulte [Executar instâncias em uma VPC específica](vpc-policy-examples.md#subnet-ami-example-iam).
## Perfis do IAM
Um [perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) é uma entidade dentro da sua Conta da AWS que tem permissões específicas.
### Usar credenciais temporárias
É possível usar credenciais temporárias para fazer login com federação, assumir uma função do IAM ou assumir uma função entre contas. As credenciais de segurança temporárias são obtidas chamando operações da API do AWS STS, como [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) ou [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html).
A Amazon VPC oferece suporte ao uso de credenciais temporárias.
### Funções vinculadas ao serviço
[Perfis vinculados ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) permitem que os serviços da AWS acessem recursos em outros serviços para concluir uma ação em seu nome. Os perfis vinculados a serviço aparecem em sua conta do IAM e são de propriedade do serviço. Um administrador do IAM pode visualizar, mas não pode editar as permissões para funções vinculadas ao serviço.
Os [Gateways de trânsito](https://docs.aws.amazon.com/vpc/latest/tgw/service-linked-roles.html) oferecem suporte às funções vinculadas ao serviço.
### Funções de serviço
Esse atributo permite que um serviço assuma um [perfil de serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) em seu nome. O perfil permite que o serviço acesse recursos em outros serviços para concluir uma ação em seu nome. Os perfis de serviço aparecem em sua conta do IAM e são de propriedade da conta. Isso significa que um administrador do IAM pode alterar as permissões para esse perfil. Porém, fazer isso pode alterar a funcionalidade do serviço.
A Amazon VPC oferece suporte a funções de serviço para logs de fluxo. Ao criar um log de fluxo, você deve selecionar uma função que permita que o serviço de log de fluxo acesse o CloudWatch Logs. Para obter mais informações, consulte [Perfil do IAM para publicar logs de fluxo no CloudWatch Logs](flow-logs-iam-role.md).
# Exemplos de políticas da Amazon VPC
Por padrão, os perfis do IAM não têm permissão para criar ou modificar recursos da VPC. Eles também não podem executar tarefas usando o Console de gerenciamento da AWS, a AWS CLI ou uma API da AWS. Um administrador do IAM deve criar políticas do IAM que concedam aos perfis permissão para executarem operações de API específicas nos recursos especificados de que precisam. O administrador deve anexar as políticas aos perfis do IAM que exijam essas permissões.
Para saber como criar uma política baseada em identidade do IAM usando esses exemplos de documentos de política JSON, consulte [Criar políticas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) no *Guia do usuário do IAM*.
**Topics**
+ [Práticas recomendadas de política](#security_iam_service-with-iam-policy-best-practices)
+ [Use o console da Amazon VPC.](#security_iam_id-based-policy-examples-console)
+ [Criar uma VPC com uma sub-rede pública](#vpc-public-subnet-iam)
+ [Modificar e excluir recursos da VPC](#modify-vpc-resources-iam)
+ [Gerenciar grupos de segurança](#vpc-security-groups-iam)
+ [Gerenciar regras de grupos de segurança](#vpc-security-group-rules-iam)
+ [Executar instâncias em uma sub-rede específica](#subnet-sg-example-iam)
+ [Executar instâncias em uma VPC específica](#subnet-ami-example-iam)
+ [Bloquear o acesso público a VPCs e sub-redes](#vpc-bpa-example-iam)
+ [Exemplos adicionais de políticas da Amazon VPC](#security-iam-additional-examples)
## Práticas recomendadas de política
As políticas baseadas em identidade determinam se alguém pode criar, acessar ou excluir recursos da Amazon VPC em sua conta. Essas ações podem incorrer em custos para sua Conta da AWS. Ao criar ou editar políticas baseadas em identidade, siga estas diretrizes e recomendações:
+ **Comece com as políticas gerenciadas pela AWS e avance para as permissões de privilégio mínimo**: para começar a conceder permissões a seus usuários e workloads, use as *políticas gerenciadas pela AWS*, que concedem permissões para muitos casos de uso comuns. Elas estão disponíveis em seus Conta da AWS. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo cliente da AWS que são específicas para seus casos de uso. Para saber mais, consulte [Políticas gerenciadas pela AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [Políticas gerenciadas pela AWS para funções de trabalho](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) no *Guia do usuário do IAM*.
+ **Aplique permissões de privilégio mínimo**: ao definir permissões com as políticas do IAM, conceda apenas as permissões necessárias para executar uma tarefa. Você faz isso definindo as ações que podem ser executadas em recursos específicos sob condições específicas, também conhecidas como *permissões de privilégio mínimo*. Para saber mais sobre como usar o IAM para aplicar permissões, consulte [Políticas e permissões no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) no *Guia do usuário do IAM*.
+ **Use condições nas políticas do IAM para restringir ainda mais o acesso**: é possível adicionar uma condição às políticas para limitar o acesso a ações e recursos. Por exemplo, é possível escrever uma condição de política para especificar que todas as solicitações devem ser enviadas usando SSL. Também pode usar condições para conceder acesso a ações de serviço, se elas forem usadas por meio de um AWS service (Serviço da AWS) específico, como o CloudFormation. Para saber mais, consulte [Elementos da política JSON do IAM: condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) no *Guia do usuário do IAM*.
+ **Use o IAM Access Analyzer para validar suas políticas do IAM a fim de garantir permissões seguras e funcionais**: o IAM Access Analyzer valida as políticas novas e existentes para que elas sigam a linguagem de política do IAM (JSON) e as práticas recomendadas do IAM. O IAM Access Analyzer oferece mais de cem verificações de política e recomendações práticas para ajudar a criar políticas seguras e funcionais. Para saber mais, consulte [Validação de políticas do IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) no *Guia do Usuário do IAM*.
+ **Exigir autenticação multifator (MFA)**: se houver um cenário que exija usuários do IAM ou um usuário raiz em sua Conta da AWS, ative a MFA para obter segurança adicional. Para exigir MFA quando as operações de API forem chamadas, adicione condições de MFA às suas políticas. Para saber mais, consulte [Configuração de acesso à API protegido por MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) no *Guia do Usuário do IAM*.
Para saber mais sobre as práticas recomendadas do IAM, consulte [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no *Guia do usuário do IAM*.
## Use o console da Amazon VPC.
Para acessar o console da Amazon VPC, você deve ter um conjunto mínimo de permissões. Essas permissões devem permitir listar e visualizar detalhes sobre os recursos da Amazon VPC em sua conta da AWS. Se você criar uma política baseada em identidade que seja mais restritiva que as permissões mínimas necessárias, o console não funcionará como pretendido para entidades (perfis do IAM) com essa política.
A política a seguir concede permissão a um perfil para listar recursos no console da VPC, mas não para criá-los, atualizá-los ou excluí-los.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeAccountAttributes",
"ec2:DescribeAddresses",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeClassicLinkInstances",
"ec2:DescribeClientVpnEndpoints",
"ec2:DescribeCustomerGateways",
"ec2:DescribeDhcpOptions",
"ec2:DescribeEgressOnlyInternetGateways",
"ec2:DescribeFlowLogs",
"ec2:DescribeInternetGateways",
"ec2:DescribeManagedPrefixLists",
"ec2:DescribeMovingAddresses",
"ec2:DescribeNatGateways",
"ec2:DescribeNetworkAcls",
"ec2:DescribeNetworkInterfaceAttribute",
"ec2:DescribeNetworkInterfacePermissions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribePrefixLists",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroupReferences",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSecurityGroupRules",
"ec2:DescribeStaleSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeTags",
"ec2:DescribeTrafficMirrorFilters",
"ec2:DescribeTrafficMirrorSessions",
"ec2:DescribeTrafficMirrorTargets",
"ec2:DescribeTransitGateways",
"ec2:DescribeTransitGatewayVpcAttachments",
"ec2:DescribeTransitGatewayRouteTables",
"ec2:DescribeVpcAttribute",
"ec2:DescribeVpcClassicLink",
"ec2:DescribeVpcClassicLinkDnsSupport",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcEndpointConnectionNotifications",
"ec2:DescribeVpcEndpointConnections",
"ec2:DescribeVpcEndpointServiceConfigurations",
"ec2:DescribeVpcEndpointServicePermissions",
"ec2:DescribeVpcEndpointServices",
"ec2:DescribeVpcPeeringConnections",
"ec2:DescribeVpcs",
"ec2:DescribeVpnConnections",
"ec2:DescribeVpnGateways",
"ec2:GetManagedPrefixListAssociations",
"ec2:GetManagedPrefixListEntries"
],
"Resource": "*"
}
]
}
```
------
Não é necessário conceder permissões mínimas do console para perfis que fazem chamadas somente à AWS CLI ou à API da AWS. Em vez disso, permita o acesso somente às ações que correspondem à operação da API que o perfil precisa executar.
## Criar uma VPC com uma sub-rede pública
O exemplo a seguir permite que os perfis criem VPCs, sub-redes, tabelas de rota e gateways da Internet. Os perfis também podem anexar um gateway da Internet a uma VPC e criar rotas em tabelas de rotas. A ação `ec2:ModifyVpcAttribute` permite que os perfis habilitem nomes de host DNS para a VPC, para que cada instância executada nessa VPC receba um nome de host DNS.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"ec2:CreateVpc",
"ec2:CreateSubnet",
"ec2:DescribeAvailabilityZones",
"ec2:CreateRouteTable",
"ec2:CreateRoute",
"ec2:CreateInternetGateway",
"ec2:AttachInternetGateway",
"ec2:AssociateRouteTable",
"ec2:ModifyVpcAttribute"
],
"Resource": "*"
}
]
}
```
------
A política anterior também permite que os perfis criem uma VPC no console da Amazon VPC.
## Modificar e excluir recursos da VPC
É possível controlar os recursos da VPC que os perfis podem modificar ou excluir. Por exemplo, a política a seguir permite que os perfis trabalhem com e excluam tabelas de rotas com a etiqueta `Purpose=Test`. A política também especifica que os perfis podem excluir somente os gateways da Internet que tenham a etiqueta `Purpose=Test`. Os perfis não podem trabalhar com tabelas de rota ou gateways da Internet que não tenham essa etiqueta.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:DeleteInternetGateway",
"Resource": "arn:aws:ec2:*:*:internet-gateway/*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/Purpose": "Test"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DeleteRouteTable",
"ec2:CreateRoute",
"ec2:ReplaceRoute",
"ec2:DeleteRoute"
],
"Resource": "arn:aws:ec2:*:*:route-table/*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/Purpose": "Test"
}
}
}
]
}
```
------
## Gerenciar grupos de segurança
A política a seguir permite que os perfis gerenciem grupos de segurança. A primeira instrução permite que os perfis excluam qualquer grupo de segurança com a etiqueta `Stack=test` e gerenciem as regras de entrada e saída para qualquer grupo de segurança com a etiqueta `Stack=test`. A segunda instrução requer que os perfis marquem qualquer grupo de segurança criado com a etiqueta `Stack=Test`. A terceira instrução permite que os perfis criem etiquetas ao criar um grupo de segurança. A quarta instrução permite que os perfis visualizem qualquer grupo de segurança e regra de grupo de segurança. A quinta instrução permite aos perfis criar um grupo de segurança em uma VPC.
**nota**
Essa política não pode ser usada pelo serviço do AWS CloudFormation para criar um grupo de segurança com as tags necessárias. Se você remover a condição da ação `ec2:CreateSecurityGroup` que exige a tag, a política funcionará.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:RevokeSecurityGroupIngress",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:UpdateSecurityGroupRuleDescriptionsEgress",
"ec2:RevokeSecurityGroupEgress",
"ec2:DeleteSecurityGroup",
"ec2:ModifySecurityGroupRules",
"ec2:UpdateSecurityGroupRuleDescriptionsIngress"
],
"Resource": "arn:aws:ec2:*:*:security-group/*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/Stack": "test"
}
}
},
{
"Effect": "Allow",
"Action": "ec2:CreateSecurityGroup",
"Resource": "arn:aws:ec2:*:*:security-group/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Stack": "test"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": "Stack"
}
}
},
{
"Effect": "Allow",
"Action": "ec2:CreateTags",
"Resource": "arn:aws:ec2:*:*:security-group/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateSecurityGroup"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeSecurityGroupRules",
"ec2:DescribeVpcs",
"ec2:DescribeSecurityGroups"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "ec2:CreateSecurityGroup",
"Resource": "arn:aws:ec2:*:*:vpc/*"
}
]
}
```
------
Para permitir que os perfis alterem o grupo de segurança associado a uma instância, adicione a ação `ec2:ModifyInstanceAttribute` à sua política.
Para permitir que os perfis alterem grupos de segurança de uma interface de rede, adicione a ação `ec2:ModifyNetworkInterfaceAttribute` à sua política.
## Gerenciar regras de grupos de segurança
A política a seguir concede aos perfis permissão para visualizar todos os grupos de segurança e regras de grupo de segurança, adicionar e remover regras de entrada e de saída para os grupos de segurança de uma VPC específica e modificar descrições de regras para a VPC especificada. A primeira declaração usa a chave de condição `ec2:Vpc` para permissões de escopo para uma VPC específica.
A segunda instrução concede permissão aos perfis para descrever todos os grupos de segurança, regras do grupo de segurança e etiquetas. Isso permite que os perfis visualizem as regras de grupo de segurança a fim de modificá-las.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:AuthorizeSecurityGroupIngress",
"ec2:RevokeSecurityGroupIngress",
"ec2:UpdateSecurityGroupRuleDescriptionsIngress",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:RevokeSecurityGroupEgress",
"ec2:UpdateSecurityGroupRuleDescriptionsEgress",
"ec2:ModifySecurityGroupRules"
],
"Resource": "arn:aws:ec2:us-east-1:123456789012:security-group/*",
"Condition": {
"ArnEquals": {
"ec2:Vpc": "arn:aws:ec2:us-east-1:123456789012:vpc/vpc-1234567890abcdef0"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeSecurityGroups",
"ec2:DescribeSecurityGroupRules",
"ec2:DescribeTags"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:ModifySecurityGroupRules"
],
"Resource": "arn:aws:ec2:us-east-1:123456789012:security-group-rule/*"
}
]
}
```
------
## Executar instâncias em uma sub-rede específica
A política a seguir concede permissões aos perfis para executar instâncias em uma sub-rede específica e usar um grupo de segurança específico na solicitação. A política faz isso especificando o ARN para a sub-rede e o ARN para o grupo de segurança. Se perfis tentarem executar uma instância em uma sub-rede diferente ou usar um grupo de segurança diferente, haverá falha na solicitação (a menos que outra política ou instrução conceda aos perfis permissão para fazer isso).
A política também concede permissão para usar o recurso de interface de rede. Quando executada em uma sub-rede, a solicitação `RunInstances` cria uma interface de rede primária por padrão, para que o perfil precise de permissão para criar esse recurso ao executar a instância.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:RunInstances",
"Resource": [
"arn:aws:ec2:us-east-1::image/ami-*",
"arn:aws:ec2:us-east-1:123456789012:instance/*",
"arn:aws:ec2:us-east-1:123456789012:subnet/subnet-1234567890abcdef0",
"arn:aws:ec2:us-east-1:123456789012:network-interface/*",
"arn:aws:ec2:us-east-1:123456789012:volume/*",
"arn:aws:ec2:us-east-1:123456789012:key-pair/*",
"arn:aws:ec2:us-east-1:123456789012:security-group/sg-0abcdef1234567890"
]
}
]
}
```
------
## Executar instâncias em uma VPC específica
A política a seguir concede permissões aos perfis para executar instâncias em qualquer sub-rede de uma VPC específica. A política faz isso, aplicando uma chave de condição (`ec2:Vpc`) ao recurso de sub-rede.
A política também concede permissão aos perfis para executar instâncias usando somente AMIs que possuam a etiqueta "`department=dev`".
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:RunInstances",
"Resource": "arn:aws:ec2:us-east-1:123456789012:subnet/*",
"Condition": {
"ArnEquals": {
"ec2:Vpc": "arn:aws:ec2:us-east-1:123456789012:vpc/vpc-1234567890abcdef0"
}
}
},
{
"Effect": "Allow",
"Action": "ec2:RunInstances",
"Resource": "arn:aws:ec2:us-east-1::image/ami-*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/department": "dev"
}
}
},
{
"Effect": "Allow",
"Action": "ec2:RunInstances",
"Resource": [
"arn:aws:ec2:us-east-1:123456789012:instance/*",
"arn:aws:ec2:us-east-1:123456789012:volume/*",
"arn:aws:ec2:us-east-1:123456789012:network-interface/*",
"arn:aws:ec2:us-east-1:123456789012:key-pair/*",
"arn:aws:ec2:us-east-1:123456789012:security-group/*"
]
}
]
}
```
------
## Bloquear o acesso público a VPCs e sub-redes
Os exemplos de política a seguir concedem aos perfis permissão para trabalhar com o [atributo Bloquear o Acesso Público (BPA) da VPC](security-vpc-bpa.md) para bloquear o acesso público a recursos em VPCs e sub-redes.
Exemplo 1: permitir o acesso somente para leitura às configurações do BPA da VPC e exclusões do BPA da VPC no âmbito total da conta.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VPCBPAReadOnlyAccess",
"Action": [
"ec2:DescribeVpcBlockPublicAccessOptions",
"ec2:DescribeVpcBlockPublicAccessExclusions"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
Exemplo 2: permitir total acesso para leitura e gravação às configurações do BPA da VPC e exclusões do BPA da VPC no âmbito total da conta.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VPCBPAFullAccess",
"Action": [
"ec2:DescribeVpcBlockPublicAccessOptions",
"ec2:DescribeVpcBlockPublicAccessExclusions",
"ec2:ModifyVpcBlockPublicAccessOptions",
"ec2:CreateVpcBlockPublicAccessExclusion",
"ec2:ModifyVpcBlockPublicAccessExclusion",
"ec2:DeleteVpcBlockPublicAccessExclusion"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
Exemplo 3: permitir acesso a todas as APIs do EC2, exceto para modificar as configurações do BPA da VPC e criar exclusões.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EC2FullAccess",
"Action": [
"ec2:*"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Sid": "VPCBPAPartialAccess",
"Action": [
"ec2:ModifyVpcBlockPublicAccessOptions",
"ec2:CreateVpcBlockPublicAccessExclusion"
],
"Effect": "Deny",
"Resource": "*"
}
]
}
```
------
## Exemplos adicionais de políticas da Amazon VPC
É possível encontrar políticas do IAM de exemplo adicionais relacionadas à Amazon VPC na documentação a seguir:
+ [Listas de prefixos gerenciados](managed-prefix-lists.md#managed-prefix-lists-iam)
+ [Espelhamento de tráfego](https://docs.aws.amazon.com/vpc/latest/mirroring/traffic-mirroring-security.html)
+ [Gateways de trânsito](https://docs.aws.amazon.com/vpc/latest/tgw/transit-gateway-authentication-access-control.html#tgw-example-iam-policies)
+ [Endpoints da VPC e serviços de endpoint da VPC (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/privatelink/security_iam_id-based-policy-examples.html)
+ [Emparelhamento de VPC da](https://docs.aws.amazon.com/vpc/latest/peering/security-iam.html)
# Solução de problemas de identidade e acesso da Amazon VPC
Use as informações a seguir para ajudar a diagnosticar e corrigir problemas comuns que você possa encontrar ao trabalhar com a Amazon VPC e o IAM.
**Topics**
+ [Não tenho autorização para executar uma ação na Amazon VPC](#security_iam_troubleshoot-no-permissions)
+ [Não estou autorizado a executar iam:PassRole](#security_iam_troubleshoot-passrole)
+ [Quero permitir que pessoas fora da minha conta da AWS acessem meus recursos da Amazon VPC](#security_iam_troubleshoot-cross-account-access)
## Não tenho autorização para executar uma ação na Amazon VPC
Se o Console de gerenciamento da AWS informar que você não está autorizado a executar uma ação, será necessário entrar em contato com o administrador para obter assistência. Seu administrador é a pessoa que forneceu a você suas credenciais de início de sessão.
O exemplo de erro a seguir ocorre quando o usuário do IAM `mateojackson` tenta usar o console para visualizar detalhes sobre uma sub-rede, mas pertence a um perfil do IAM que não tem as permissões `ec2:DescribeSubnets`.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: ec2:DescribeSubnets on resource: subnet-id
```
Nesse caso, Mateo pede ao administrador para atualizar a política para permitir que ele acesse a sub-rede.
## Não estou autorizado a executar iam:PassRole
Caso receba uma mensagem de erro informando que você não tem autorização para executar a ação `iam:PassRole`, suas políticas deverão ser atualizadas para permitir a transmissão de uma função à Amazon VPC.
Alguns Serviços da AWS permitem que você passe um perfil existente para o serviço, em vez de criar um perfil de serviço ou perfil vinculado ao serviço. Para fazer isso, é preciso ter permissões para passar o perfil para o serviço.
O erro exemplificado a seguir ocorre quando uma usuária do IAM chamada `marymajor` tenta usar o console para executar uma ação na Amazon VPC. No entanto, a ação exige que o serviço tenha permissões concedidas por um perfil de serviço. Mary não tem permissões para passar o perfil para o serviço.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Nesse caso, as políticas de Mary devem ser atualizadas para permitir que ela realize a ação `iam:PassRole`.
Se você precisar de ajuda, entre em contato com seu administrador AWS. Seu administrador é a pessoa que forneceu suas credenciais de login.
## Quero permitir que pessoas fora da minha conta da AWS acessem meus recursos da Amazon VPC
Você pode criar uma função que os usuários de outras contas ou pessoas fora da sua organização podem usar para acessar seus recursos. É possível especificar quem é confiável para assumir o perfil. Para serviços que oferecem compatibilidade com políticas baseadas em recursos ou listas de controle de acesso (ACLs), é possível usar essas políticas para conceder às pessoas acesso aos seus recursos.
Para saber mais, consulte o seguinte:
+ Para saber se a Amazon VPC oferece suporte a esses recursos, consulte [Como a Amazon VPC funciona com o IAM](security_iam_service-with-iam.md).
+ Para saber como conceder acesso a seus recursos em todas as Contas da AWS pertencentes a você, consulte [Fornecimento de acesso a um usuário do IAM em outra Conta da AWS pertencente a você](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) no *Guia de usuário do IAM*.
+ Para saber como conceder acesso a seus recursos para Contas da AWS de terceiros, consulte [Fornecimento de acesso a Contas da AWS pertencentes a terceiros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) no *Guia do usuário do IAM*.
+ Para saber como conceder acesso por meio da federação de identidades, consulte [Conceder acesso a usuários autenticados externamente (federação de identidades)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) no *Guia do usuário do IAM*.
+ Para saber a diferença entre perfis e políticas baseadas em recurso para acesso entre contas, consulte [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
# AWSPolíticas gerenciadas da para Amazon Virtual Private Cloud
Uma política gerenciada pela AWS é uma política autônoma criada e administrada pela AWS. As políticas gerenciadas pela AWS são criadas para fornecer permissões a vários casos de uso comuns e permitir a atribuição de permissões a usuários, grupos e perfis.
Lembre-se de que as políticas gerenciadas pela AWS podem não conceder permissões de privilégio mínimo para casos de uso específicos, por estarem disponíveis para uso por todos os clientes da AWS. Recomendamos que você reduza ainda mais as permissões definindo as [ políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) que são específicas para seus casos de uso.
Não é possível alterar as permissões definidas em políticas gerenciadas pela AWS. Se a AWS atualiza as permissões definidas em um política gerenciada por AWS, a atualização afeta todas as identidades de entidades principais (usuários, grupos e perfis) às quais a política estiver vinculada. É provável que a AWS atualize uma política gerenciada por AWS quando um novo AWS service (Serviço da AWS) for lançado, ou novas operações de API forem disponibilizadas para os serviços existentes.
Para obter mais informações, consulte [Políticas gerenciadas pela AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Manual do usuário do IAM*.
## AWSPolítica gerenciada pela : AmazonVPCFullAccess
Você pode anexar a política `AmazonVPCFullAccess` a suas identidades do IAM. Essa política concede permissões que possibilitam acesso total à Amazon VPC.
Para visualizar as permissões para esta política, consulte [AmazonVPCFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonVPCFullAccess.html) na *Referência de políticas gerenciadas da AWS*.
## Política gerenciada pela AWS: AmazonVPCReadOnlyAccess
Você pode anexar a política `AmazonVPCReadOnlyAccess` a suas identidades do IAM. Esta política concede permissões que oferecem acesso somente leitura à Amazon VPC.
Para visualizar as permissões para esta política, consulte [AmazonVPCReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonVPCReadOnlyAccess.html) na *Referência de políticas gerenciadas da AWS*.
## Política gerenciada pela AWS: AmazonVPCCrossAccountNetworkInterfaceOperations
É possível anexar a política `AmazonVPCCrossAccountNetworkInterfaceOperations` às suas identidades do IAM. Essa política concede permissões com as quais a identidade pode criar interfaces de rede e as anexar a recursos entre contas.
Para visualizar as permissões para esta política, consulte [AmazonVPCCrossAccountNetworkInterfaceOperations](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonVPCCrossAccountNetworkInterfaceOperations.html) na *Referência de políticas gerenciadas da AWS*.
## Política gerenciada da AWS: AWSServiceRoleForNATGateway
É possível anexar a política `AWSServiceRoleForNATGateway` às suas identidades do IAM. Essa política concede permissões que possibilitam que a identidade execute tarefas em seu nome para escalar automaticamente gateways NAT regionais.
Para visualizar as permissões dessa política, consulte [AWSServiceRoleForNATGateway](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRoleForNATGateway.html) na *Referência de políticas gerenciadas pela AWS*.
## Atualizações da Amazon VPC para políticas gerenciadas pela AWS
Visualize detalhes sobre atualizações em políticas gerenciadas pela AWS para a Amazon VPC desde que este serviço começou a rastrear essas alterações em março de 2021.
| Alteração | Descrição | Data |
| --- | --- | --- |
| [AWSPolítica gerenciada pela : AmazonVPCFullAccess](#security-iam-awsmanpol-AmazonVPCFullAccess): atualizar para uma política existente | Ações adicionadas à política gerenciada AWSIPAMServiceRolePolicy (ec2:ModifyManagedPrefixList, ec2:DescribeManagedPrefixLists e ec2:GetManagedPrefixListEntries) para permitir que o IPAM modifique e leia listas de prefixos gerenciados. | 31 de outubro de 2025 |
| [Política gerenciada da AWS: AWSServiceRoleForNATGateway](#security-iam-awsmanpol-AWSServiceRoleForNATGateway) – Nova política | A nova política AWSServiceRoleForNATGateway permite que a identidade escale automaticamente os gateways NAT regionais. | 19 de novembro de 2025 |
| [AWSPolítica gerenciada pela : AmazonVPCFullAccess](#security-iam-awsmanpol-AmazonVPCFullAccess) – atualização para uma política existente | As ações AssociateSecurityGroupVpc, DescribeSecurityGroupVpcAssociations e DisassociateSecurityGroupVpc foram adicionadas, permitindo associar, desassociar e visualizar associações de grupos de segurança com VPCs. | 9 de dezembro de 2024 |
| [Política gerenciada pela AWS: AmazonVPCReadOnlyAccess](#security-iam-awsmanpol-AmazonVPCReadOnlyAccess) – atualização para uma política existente | A ação DescribeSecurityGroupVpcAssociations foi adicionada, permitindo visualizar as associações de grupos de segurança com VPCs. | 9 de dezembro de 2024 |
| [AWSPolítica gerenciada pela : AmazonVPCFullAccess](#security-iam-awsmanpol-AmazonVPCFullAccess) – atualização para uma política existente | Foi adicionada a ação GetSecurityGroupsForVpc, que permite obter grupos de segurança que podem ser usados em sua VPC. | 8 de fevereiro de 2024 |
| [Política gerenciada pela AWS: AmazonVPCReadOnlyAccess](#security-iam-awsmanpol-AmazonVPCReadOnlyAccess) – atualização para uma política existente | Foi adicionada a ação GetSecurityGroupsForVpc, que permite obter grupos de segurança que podem ser usados em sua VPC. | 8 de fevereiro de 2024 |
| [Política gerenciada pela AWS: AmazonVPCCrossAccountNetworkInterfaceOperations](#security-iam-awsmanpol-AmazonVPCCrossAccountNetworkInterfaceOperations) – atualização para uma política existente | Foram adicionadas as ações AssignIpv6Addresses e UnassignIpv6Addresses, que permitem gerenciar os endereços IPv6 associados às interfaces de rede. | 25 de setembro de 2023 |
| [Política gerenciada pela AWS: AmazonVPCReadOnlyAccess](#security-iam-awsmanpol-AmazonVPCReadOnlyAccess) – atualização para uma política existente | Adicionada a ação DescribeSecurityGroupRules, que permite a visualização das [regras do grupo de segurança](security-group-rules.md). | 2 de agosto de 2021 |
| [AWSPolítica gerenciada pela : AmazonVPCFullAccess](#security-iam-awsmanpol-AmazonVPCFullAccess) – atualização para uma política existente | Adicionadas as ações DescribeSecurityGroupRules e ModifySecurityGroupRules, que permitem a visualização e a modificação das [regras do grupo de segurança](security-group-rules.md). | 2 de agosto de 2021 |
| [AWSPolítica gerenciada pela : AmazonVPCFullAccess](#security-iam-awsmanpol-AmazonVPCFullAccess) – atualização para uma política existente | Ações adicionadas para gateways de operadoras, grupos de IPv6, gateways locais e tabelas de rota de gateways locais. | 23 de junho de 2021 |
| [Política gerenciada pela AWS: AmazonVPCReadOnlyAccess](#security-iam-awsmanpol-AmazonVPCReadOnlyAccess) – atualização para uma política existente | Ações adicionadas para gateways de operadoras, grupos de IPv6, gateways locais e tabelas de rota de gateways locais. | 23 de junho de 2021 |
# Usar perfis vinculados ao serviço para VPC
A Amazon VPC usa [perfis vinculados ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) do AWS Identity and Access Management (IAM). O perfil vinculado ao serviço é um tipo exclusivo de perfil do IAM vinculado diretamente à VPC. Os perfis vinculados ao serviço são predefinidos pela VPC e incluem todas as permissões que o serviço requer para chamar outros serviços da AWS em seu nome.
Um perfil vinculado ao serviço facilita a configuração da VPC, já que não é preciso adicionar as permissões necessárias manualmente. A VPC define as permissões de seus perfis vinculados ao serviço e, exceto se definido de outra forma, somente a VPC pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.
Um perfil vinculado ao serviço poderá ser excluído somente após excluir seus atributos relacionados. Isso protege seus recursos da VPC, pois você não pode remover por engano as permissões para acessar os recursos.
Para obter informações sobre outros serviços que são compatíveis com perfis vinculados ao serviço, consulte [Serviços da AWS que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e procure por serviços que indiquem **Sim** na coluna **Perfis vinculados ao serviço**. Escolha um **Sim** com um link para visualizar a documentação do perfil vinculado a esse serviço.
## Permissões de perfil vinculado ao serviço para a VPC
A VPC usa o perfil vinculado ao serviço chamado **AWSServiceRoleForNATGateway**. Esse perfil vinculado ao serviço permite que a Amazon VPC aloque endereços IP elásticos em seu nome para escalar automaticamente os gateways NAT regionais, associar e desassociar seus IPs elásticos existentes aos gateways NAT regionais conforme sua solicitação e descrever interfaces de rede para identificar sua infraestrutura existente a fim de se expandir automaticamente para novas zonas de disponibilidade.
O perfil vinculado ao serviço AWSServiceRoleForNATGateway confia nos seguintes serviços para assumir a função:
+ `ec2-nat-gateway.amazonaws.com`
A política de permissões de perfil chamada AWSNATGatewayServiceRolePolicy permite que a VPC conclua as seguintes ações nos recursos especificados:
+ Ação: `AllocateAddress` em EIPs gerenciados pelo serviço para alocar EIPs em seu nome. Os EIPs gerenciados pelo serviço tratam automaticamente da marcação subsequente com as tags gerenciadas pelo serviço e o ReleaseAddress.
+ Ação: `AssociateAddress` em seus endereços IP elásticos preexistentes para associá-los manualmente ao seu gateway NAT regional, conforme sua solicitação.
+ Ação: `DisassociateAddress` em seus endereços IP elásticos preexistentes para removê-los do Gateway NAT regional, conforme sua solicitação.
+ Ação: `DescribeAddresses` para obter informações de endereço IP público de EIPs fornecidos pelo cliente no associado.
+ Ação: `DescribeNetworkInterface` em suas interfaces de rede existentes para identificar automaticamente as zonas de disponibilidade em que sua infraestrutura reside para escalar automaticamente para novas zonas.
Você deve configurar permissões para permitir que seus usuários, grupos ou perfis criem, editem ou excluam um perfil vinculado ao serviço. Para obter mais informações, consulte [Permissões do perfil vinculado a serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) no *Guia do usuário do IAM*.
## Criar um perfil vinculado ao serviço para a VPC
Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você cria um Gateway NAT com um modo de disponibilidade “regional” no Console de gerenciamento da AWS, na AWS CLI ou na AWS, a VPC cria o perfil vinculado ao serviço para você.
**Importante**
Esse perfil vinculado ao serviço pode aparecer em sua conta se você concluiu uma ação em outro serviço que usa os atributos compatíveis com esse perfil. Além disso, se você estava usando o serviço da VPC antes de 1º de janeiro de 2017, quando ele começou a oferecer suporte a perfis vinculados ao serviço, a VPC criou o perfil AWSServiceRoleForNATGateway na sua conta. Para saber mais, consulte [Um novo perfil apareceu na minha Conta da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Se excluir esse perfil vinculado ao serviço e precisar criá-lo novamente, será possível usar esse mesmo processo para recriar o perfil em sua conta. Quando você cria um Gateway NAT com um modo de disponibilidade “regional”, a VPC cria o perfil vinculado ao serviço para você de novo.
Também é possível usar o console do IAM para criar um perfil vinculado ao serviço com o caso de uso **AWSServiceRoleForNATGateway**. Na AWS CLI ou na API do AWS, crie um perfil vinculado a serviço com o nome de serviço `ec2-nat-gateway.amazonaws.com`. Para obter mais informações, consulte [Criar uma função vinculada ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) no *Manual do usuário do IAM*. Se você excluir essa função vinculada ao serviço, será possível usar esse mesmo processo para criar a função novamente.
## Editar um perfil vinculado ao serviço para a VPC
A VPC não permite que você edite o perfil vinculado ao serviço AWSServiceRoleForNATGateway. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para saber mais, consulte [Editar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.
## Excluir um perfil vinculado ao serviço para a VPC
Se você não precisar mais usar um atributo ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-lo. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar os recursos de sua função vinculada ao serviço antes de exclui-la manualmente.
**nota**
Se o serviço da VPC estiver usando o perfil quando você tenta excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.
**Para excluir os recursos da VPC utilizados por AWSServiceRoleForNATGateway**
+ Exclua todos os gateways NAT regionais em todas as regiões nas quais eles foram implantados.
**Como excluir manualmente o perfil vinculado ao serviço usando o IAM**
Use o console do IAM, a AWS CLI ou a API da AWS para excluir o perfil vinculado ao serviço AWSServiceRoleForNATGateway. Para saber mais, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.
## Regiões suportadas para perfis vinculados ao serviço da VPC
A VPC oferece suporte ao uso de perfis vinculados ao serviço em todas as regiões em que o serviço está disponível. Para obter mais informações, consulte [Regiões e endpoints da AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html).
A VPC não oferece suporte ao uso de perfis vinculados ao serviço em todas as regiões em que o serviço está disponível. É possível usar o perfil AWSServiceRoleForNATGateway nas regiões a seguir.
| Nome da região | Identidade da região | Suporte na VPC |
| --- | --- | --- |
| Leste dos EUA (Norte da Virgínia) | us-east-1 | Sim |
| Leste dos EUA (Ohio) | us-east-2 | Sim |
| Oeste dos EUA (N. da Califórnia) | us-west-1 | Sim |
| Oeste dos EUA (Oregon) | us-west-2 | Sim |
| África (Cidade do Cabo) | af-south-1 | Sim |
| Ásia-Pacífico (Hong Kong) | ap-east-1 | Sim |
| Ásia-Pacífico (Taipei) | ap-east-2 | Sim |
| Ásia-Pacífico (Jacarta) | ap-southeast-3 | Sim |
| Ásia-Pacífico (Mumbai) | ap-south-1 | Sim |
| Ásia-Pacífico (Hyderabad) | ap-south-2 | Sim |
| Ásia Pacifico (Osaka) | ap-northeast-3 | Sim |
| Ásia-Pacífico (Seul) | ap-northeast-2 | Sim |
| Ásia-Pacífico (Singapura) | ap-southeast-1 | Sim |
| Ásia-Pacífico (Sydney) | ap-southeast-2 | Sim |
| Ásia-Pacífico (Tóquio) | ap-northeast-1 | Sim |
| Ásia-Pacífico (Melbourne) | ap-southeast-4 | Sim |
| Ásia-Pacífico (Malásia) | ap-southeast-5 | Sim |
| Ásia-Pacífico (Nova Zelândia) | ap-southeast-6 | Sim |
| Ásia-Pacífico (Tailândia) | ap-southeast-7 | Sim |
| Canadá (Central) | ca-central-1 | Sim |
| Oeste do Canadá (Calgary) | ca-west-1 | Sim |
| Europa (Frankfurt) | eu-central-1 | Sim |
| Europa (Zurique) | eu-central-2 | Sim |
| Europa (Irlanda) | eu-west-1 | Sim |
| Europa (Londres) | eu-west-2 | Sim |
| Europa (Milão) | eu-south-1 | Sim |
| Europa (Espanha) | eu-south-2 | Sim |
| Europa (Paris) | eu-west-3 | Sim |
| Europa (Estocolmo) | eu-north-1 | Sim |
| Israel (Tel Aviv) | il-central-1 | Sim |
| Oriente Médio (Barém) | me-south-1 | Sim |
| Oriente Médio (Emirados Árabes Unidos) | me-central-1 | Sim |
| Oriente Médio (Arábia Saudita) | me-west-1 | Sim |
| México (Central) | mx-central-1 | Sim |
| América do Sul (São Paulo) | sa-east-1 | Sim |
| AWS GovCloud (Leste dos EUA) | us-gov-east-1 | Não |
| AWS GovCloud (Oeste dos EUA) | us-gov-west-1 | Não |
# Segurança da infraestrutura no Amazon VPC
Como um serviço gerenciado, o Amazon Private Virtual Cloud é protegido pela segurança da rede global da AWS. Para obter informações sobre serviços de segurança da AWS e como a AWS protege a infraestrutura, consulte [Segurança na Nuvem AWS](https://aws.amazon.com/security/). Para projetar seu ambiente da AWS usando as práticas recomendadas de segurança da infraestrutura, consulte [Proteção de Infraestrutura](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) em *Pilar de Segurança: AWS Estrutura bem arquitetada*.
Você usa as chamadas de API publicadas da AWS para acessar a Amazon VPC por meio da rede. Os clientes devem oferecer compatibilidade com:
+ Transport Layer Security (TLS). Exigimos TLS 1.2 e recomendamos TLS 1.3.
+ Conjuntos de criptografia com perfect forward secrecy (PFS) como DHE (Ephemeral Diffie-Hellman) ou ECDHE (Ephemeral Elliptic Curve Diffie-Hellman). A maioria dos sistemas modernos, como Java 7 e versões posteriores, comporta esses modos.
## Isolamento de rede
Uma nuvem virtual privada (VPC) é uma rede virtual na área isolada logicamente na Nuvem AWS. Use VPCs separadas para isolar a infraestrutura por workload ou entidade organizacional.
Uma sub-rede é um intervalo de endereços IP em uma VPC. Quando executa uma instância, você a executa em uma sub-rede em sua VPC. Use sub-redes para isolar as camadas de sua aplicação (por exemplo, Web, aplicação e banco de dados) em uma única VPC. Use sub-redes privadas para as instâncias que não devem ser acessadas diretamente pela Internet.
É possível usar [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/) para habilitar recursos em sua VPC para se conectar aos Serviços da AWS usando endereços IP privados, como se esses serviços estivessem hospedados diretamente em sua VPC. Portanto, você não precisa usar um gateway da Internet ou um dispositivo NAT para acessar os Serviços da AWS.
## Controlar o tráfego de rede
Considere as seguintes opções para controlar o tráfego de rede para os recursos em sua VPC, por exemplo, instâncias do EC2:
+ Use [grupos de segurança](vpc-security-groups.md) como mecanismo primário para controlar o acesso à rede a suas VPCs. Quando necessário, use [ACLs de rede](vpc-network-acls.md) para fornecer controle de rede sem estado e de alta granularidade. Os grupos de segurança são mais versáteis que as ACLs de rede devido à capacidade de realizar a filtragem de pacotes com estado e criar regras que fazem referência a outros grupos de segurança. As ACLs de rede podem ser eficientes como controle secundário (por exemplo, para negar um subconjunto de tráfego específico) ou como grades de proteção de sub-rede de alto nível. Além disso, como as ACLs de rede se aplicam a toda uma sub-rede, elas poderão ser usadas como defesa mais profunda caso uma instância seja iniciada sem um grupo de segurança correto.
+ Use sub-redes privadas para as instâncias que não devem ser acessadas diretamente pela Internet. Use um bastion host ou gateway NAT para acessar a Internet em uma instância em sub-redes privadas.
+ Configure [tabelas de rotas](VPC_Route_Tables.md) de sub-rede com as rotas de rede mínimas para suportar seus requisitos de conectividade.
+ Considere usar grupos de segurança adicionais ou interfaces de rede para controlar e auditar o tráfego de gerenciamento de instâncias do Amazon EC2 separadamente do tráfego de aplicação regular. Assim, é possível implementar políticas do IAM especiais para controle de alterações, facilitando a auditoria de alterações às regras de grupo de segurança ou scripts automáticos de verificação de regras. Várias interfaces de rede também fornecem opções adicionais para controlar o tráfego de rede, incluindo a capacidade de criar políticas de roteamento baseado em host ou usar diferentes regras de roteamento de sub-rede da VPC com base na interface de rede atribuída a uma sub-rede.
+ Use o AWS Virtual Private Network ou o Direct Connect para estabelecer conexões privadas de suas redes remotas com suas VPCs. Para obter mais informações, consulte [Network-to-Amazon VPC connectivity options](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/network-to-amazon-vpc-connectivity-options.html) (Opções de conectividade entre a rede e a Amazon VPC).
+ Use [Logs de fluxo da VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) para monitorar o tráfego recebido nas instâncias.
+ Use o [AWS Security Hub CSPM](https://aws.amazon.com/security-hub/) para verificar acessibilidade de rede acidental nas instâncias.
+ Use [AWS Network Firewall](network-firewall.md) para proteger as sub-redes na sua VPC contra ameaças comuns de rede.
## Comparar grupos de segurança e ACLs de rede
A tabela a seguir resume as diferenças básicas entre grupos de segurança e ACLs de rede.
| Característica | Grupo de segurança | Conexão ACL |
| --- | --- | --- |
| Nível de operação | Nível da instância | Nível de sub-rede |
| Escopo | Aplica-se a todas as instâncias associadas ao grupo de segurança | Aplica-se a todas as instâncias nas sub-redes associadas |
| Tipo de regra | Apenas regras de permissão | Regras de permissão e de negação |
| Avaliação da regra | Avalia todas as regras antes de decidir se deve permitir o tráfego | Avalia as regras em ordem crescente até que uma correspondência para o tráfego seja encontrada |
| Tráfego de retorno | Permitido automaticamente (com estado) | Deve ser explicitamente permitido (sem estado) |
O diagrama a seguir mostra as camadas de segurança fornecidas por grupos de segurança e ACLs de rede. Por exemplo, o tráfego para e proveniente de um gateway da Internet é roteado para a sub-rede apropriada usando as rotas apresentadas na tabela de rotas. As regras da ACL de rede associadas à sub-rede controlam qual tráfego é permitido à sub-rede. As regras do grupo de segurança associadas à instância controlam qual tráfego é permitido à instância.
![\[O tráfego é controlado por meio de grupos de segurança e ACLs de rede\]](http://docs.aws.amazon.com/pt_br/vpc/latest/userguide/images/security-comparison.png)
É possível proteger as instâncias usando somente grupos de segurança. No entanto, é possível adicionar ACLs de rede como uma camada adicional de defesa. Para obter mais informações, consulte [Exemplo: controlar o acesso a instâncias em uma sub-rede](nacl-examples.md).
# Controle o tráfego para seus recursos da AWS usando grupos de segurança
Um *grupo de segurança* controla o tráfego que tem permissão para acessar e sair dos recursos aos quais está associado. Por exemplo, depois de associar um grupo de segurança a uma instância do EC2, ele controla o tráfego de entrada e saída da instância.
Quando você cria uma VPC, ela vem com um grupo de segurança padrão. É possível criar grupos de segurança adicionais para uma VPC, cada um com suas próprias regras de entrada e saída. Você pode especificar a origem, o intervalo de portas e o protocolo de cada regra de entrada. Você pode especificar o destino, o intervalo de portas e o protocolo de cada regra de saída.
O diagrama a seguir mostra uma VPC com uma sub-rede, um gateway da Internet e um grupo de segurança. A sub-rede contém uma instância do EC2. O grupo de segurança é atribuído à instância. O grupo de segurança atua como um firewall virtual. O único tráfego que chega à instância é aquele permitido pelas regras do grupo de segurança. Por exemplo, se o grupo de segurança contiver uma regra que permita o tráfego ICMP proveniente da sua rede para a instância, você poderá efetuar ping na instância a partir do computador. Se o grupo de segurança não contiver uma regra que permita tráfego SSH, não será possível conectar-se à instância via SSH.
![\[VPC com duas sub-redes, dois grupos de segurança, servidores em sub-redes associadas a diferentes grupos de segurança\]](http://docs.aws.amazon.com/pt_br/vpc/latest/userguide/images/security-group-overview.png)
**Topics**
+ [Noções básicas do grupo de segurança](#security-group-basics)
+ [Exemplo de grupo de segurança](#security-group-example-details)
+ [Regras de grupos de segurança](security-group-rules.md)
+ [Grupos de segurança padrão](default-security-group.md)
+ [Criar um grupo de segurança](creating-security-groups.md)
+ [Configurar regras de grupo de segurança](working-with-security-group-rules.md)
+ [Exclua um grupo de segurança](deleting-security-groups.md)
+ [Associar grupos de segurança a várias VPCs](security-group-assoc.md)
+ [Compartilhar grupos de segurança com o AWS Organizations](security-group-sharing.md)
**Preços**
Não há cobrança adicional pelo uso de grupos de segurança.
## Noções básicas do grupo de segurança
+ Você poderá atribuir um grupo de segurança a recursos criados na mesma VPC do grupo de segurança ou a recursos em outras VPCs se utilizar o recurso [Associação de VPC do grupo de segurança](security-group-assoc.md) para associar o grupo de segurança a outras VPCs na mesma região. Você também pode atribuir vários grupos de segurança a um único recurso.
+ Ao criar um grupo de segurança, você deve fornecer um nome e uma descrição. As seguintes regras se aplicam:
+ O nome do grupo de segurança deve ser exclusivo dentro da VPC.
+ Os nomes do grupo de segurança não diferenciam letras maiúsculas de minúsculas.
+ Os nomes e as descrições podem ter até 255 caracteres de comprimento.
+ Os nomes e as descrições são limitados aos seguintes caracteres: a-z, A-Z, 0-9, espaços e .\$1-:/()\$1,@[]\$1=&;\$1\$1\$1\$1\$1.
+ Quando o nome termina com espaços, cortamos os espaços existentes no final do nome. Por exemplo, se você inserir “Testar grupo de segurança " para o nome, nós o armazenaremos como “Testar grupo de segurança”.
+ Um nome de grupo de segurança não pode começar com `sg-`.
+ Os grupos de segurança são com estado. Por exemplo, se você enviar uma solicitação de uma instância, o tráfego de resposta dessa solicitação terá permissão para alcançar a instância, independentemente das regras do grupo de segurança de entrada. As respostas ao tráfego de entrada permitido têm permissão para deixar a instância, independentemente das regras de saída.
+ Os grupos de segurança não filtram tráfego de entrada ou de saída de:
+ Serviços de nomes de domínio (DNS) da Amazon
+ Dynamic Host Configuration Protocol (DHCP – Protocolo de configuração de host dinâmico) da Amazon
+ Metadados da instância do Amazon EC2
+ Endpoints de metadados de tarefas do Amazon ECS
+ Ativação de licença para instâncias do Windows
+ Serviço de Sincronização Temporal da Amazon
+ Endereços IP reservados usados pelo roteador padrão da VPC
+ Existem cotas no número de grupos de segurança que podem ser criados por VPC, o número de regras que podem ser adicionadas a cada grupo de segurança e o número de grupos de segurança que podem ser associadas a uma interface de rede. Para obter mais informações, consulte [Cotas da Amazon VPC](amazon-vpc-limits.md).
**Práticas recomendadas**
+ Autorize somente entidades principais específicas do IAM para criar e modificar grupos de segurança.
+ Crie o número mínimo de grupos de segurança necessários para diminuir o risco de erro. Use cada grupo de segurança para gerenciar o acesso a recursos que tenham funções e requisitos de segurança semelhantes.
+ Quando você adicionar regras de entrada para as portas 22 (SSH) ou 3389 (RDP) para poder acessar as instâncias do EC2, autorize somente intervalos específicos de endereços IP. Se você especificar 0.0.0.0/0 (IPv4) e ::/ (IPv6), qualquer pessoa poderá acessar suas instâncias de qualquer endereço IP usando o protocolo especificado.
+ Não abra grandes intervalos de portas. Certifique-se de que o acesso por meio de cada porta seja restrito às fontes ou destinos que o exigem.
+ Você pode configurar ACLs da rede com regras semelhantes às dos grupos de segurança para adicionar uma camada de segurança à sua VPC. Para obter mais informações sobre as diferenças entre grupos de segurança e ACLs de rede, consulte [Comparar grupos de segurança e ACLs de rede](infrastructure-security.md#VPC_Security_Comparison).
## Exemplo de grupo de segurança
O diagrama a seguir mostra uma VPC com dois grupos de segurança e duas sub-redes. As instâncias na sub-rede A têm os mesmos requisitos de conectividade e, portanto, estão associadas ao grupo de segurança 1. As instâncias na sub-rede B têm os mesmos requisitos de conectividade e, portanto, estão associadas ao grupo de segurança 2. As regras do grupo de segurança permitem tráfego da seguinte maneira:
+ A primeira regra de entrada no grupo de segurança 1 permite tráfego SSH para as instâncias na sub-rede A a partir do intervalo de endereços especificado (por exemplo, um intervalo na sua própria rede).
+ A segunda regra de entrada no grupo de segurança 1 permite que as instâncias na sub-rede A se comuniquem entre si usando qualquer protocolo e porta.
+ A primeira regra de entrada no grupo de segurança 2 permite que as instâncias na sub-rede B se comuniquem entre si usando qualquer protocolo e porta.
+ A segunda regra de entrada no grupo de segurança 2 permite que as instâncias na sub-rede A se comuniquem com as instâncias na sub-rede B via SSH.
+ Ambos os grupos de segurança usam a regra de saída padrão, que permite todo o tráfego.
![\[Uma VPC com dois grupos de segurança e servidores em duas sub-redes. Os servidores na sub-rede A estão associados ao grupo de segurança 1. Os servidores na sub-rede B estão associados ao grupo de segurança 2.\]](http://docs.aws.amazon.com/pt_br/vpc/latest/userguide/images/security-group-details.png)
# Regras de grupos de segurança
As regras de um grupo de segurança controlam o tráfego de entrada que tem permissão para alcançar as instâncias associadas ao grupo de segurança. As regras também controlam o tráfego de saída que pode deixá-los.
Você pode adicionar ou remover regras de um grupo de segurança (também conhecido como *autorização* ou *revogação* do acesso de entrada ou de saída). Uma regra aplica-se ao tráfego de entrada (ingresso) ou ao tráfego de saída (egresso). Você pode conceder acesso a uma origem ou destino específico.
**Topics**
+ [Noções básicas sobre grupos de segurança](#security-group-rule-characteristics)
+ [Componentes de uma regra de grupo de segurança](#security-group-rule-components)
+ [Referenciamento de grupo de segurança](#security-group-referencing)
+ [Tamanho do grupo de segurança](#security-group-size)
+ [Regras de grupo de segurança obsoletas](#vpc-stale-security-group-rules)
## Noções básicas sobre grupos de segurança
As seguintes são as características das regras de grupos de segurança:
+ Você pode especificar regras de permissão, mas não regras de negação.
+ Quando você cria um grupo de segurança, ele não possui regras de entrada. Portanto, nenhum tráfego de entrada tem permissão até que você adicione regras de entrada ao grupo de segurança.
+ Quando você cria um grupo de segurança pela primeira vez, ele possui uma regra de saída que permite todo o tráfego de saída do recurso. Você pode remover a regra e adicionar regras de saída que permitem somente tráfego de saída específico. Se o grupo de segurança não tiver nenhuma regra de saída, nenhum tráfego de saída será permitido.
+ Quando você associa vários grupos de segurança a um recurso, as regras de cada grupo de segurança são agregadas para formar um único conjunto de regras, que é utilizado para determinar se o acesso deve ser permitido.
+ Quando você adiciona, atualiza ou remove regras, elas são aplicadas automaticamente a todos os recursos associados ao grupo de segurança. Para instruções, consulte [Configurar regras de grupo de segurança](working-with-security-group-rules.md).
+ O efeito de algumas alterações nas regras pode depender de como o tráfego é acompanhado. Para obter mais informações, consulte [Rastreamento de conexão](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-connection-tracking.html) no *Guia do usuário do Amazon EC2*.
+ Quando você cria uma regra para o grupo de segurança, a AWS atribui um ID exclusivo à regra. É possível usar o ID de uma regra ao usar a API ou a CLI para modificar ou excluir a regra.
**Limitação**
Os grupos de segurança não podem bloquear solicitações entre o DNS e o Route 53 Resolver, às vezes, chamado de "endereço IP VPC\$12" (consulte [Amazon Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html) no *Guia do desenvolvedor do Amazon Route 53*) ou como [AmazonProvidedDNS](DHCPOptionSet.md). Para filtrar solicitações de DNS usando o Route 53 Resolver, use o [Route 53 Resolver DNS Firewall](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall.html).
## Componentes de uma regra de grupo de segurança
Estes são os componentes das regras de grupo de segurança de entrada e saída:
+ **Protocolo**: o protocolo a permitir. Os protocolos mais comuns são 6 (TCP), 17 (UDP) e 1 (ICMP).
+ **Intervalo de portas**: para TCP, UDP ou um protocolo personalizado, o intervalo de portas a ser permitido. É possível especificar um único número de porta (por exemplo, `22`) ou um intervalo de números de portas (por exemplo, `7000-8000`).
+ **Tipo e código do ICMP**: para o ICMP, o tipo e o código do ICMP. Por exemplo, use o tipo 8 para solicitação de eco ICMP ou digite 128 para solicitação de eco ICMPv6. Para obter mais informações, consulte [Regras de ping/ICMP](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html#sg-rules-ping) no *Guia do usuário do Amazon EC2*.
+ **Origem ou destino**: a origem (regras de entrada) ou o destino (regras de saída) para permitir o tráfego. Especifique um dos seguintes:
+ Um endereço IPv4 único. Use o comprimento de prefixo `/32`. Por exemplo, `203.0.113.1/32`.
+ Um endereço IPv6 único. Use o comprimento de prefixo `/128`. Por exemplo, `2001:db8:1234:1a00::123/128`.
+ Um intervalo de endereços IPv4, em notação de bloco CIDR. Por exemplo, `203.0.113.0/24`.
+ Um intervalo de endereços IPv6, em notação de bloco CIDR. Por exemplo, `2001:db8:1234:1a00::/64`.
+ O ID de uma lista de prefixos. Por exemplo, `pl-1234abc1234abc123`. Para obter mais informações, consulte [Listas de prefixos gerenciados](managed-prefix-lists.md).
+ O ID de um grupo de segurança. Por exemplo, `sg-1234567890abcdef0`. Para obter mais informações, consulte [Referenciamento de grupo de segurança](#security-group-referencing).
+ **(Opcional) Descrição**: é possível adicionar uma descrição à regra, que pode ajudá-lo a identificá-la posteriormente. Uma descrição pode ser até 255 caracteres de comprimento. Os caracteres permitidos são a-z, A-Z, 0-9, espaços e .\$1-:/()\$1,@[]\$1=;\$1\$1\$1\$1\$1.
Para ver exemplos, consulte [Regras de grupos de segurança para diferentes casos de uso](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html) no *Guia do usuário do Amazon EC2*.
## Referenciamento de grupo de segurança
Quando você especifica um grupo de segurança como a origem ou o destino de uma regra, a regra afeta todas as instâncias associadas aos grupos de segurança. As instâncias podem se comunicar na direção especificada, usando os endereços IP privados das instâncias, pelo protocolo e pela porta especificados.
O exemplo a seguir representa uma regra de entrada de um grupo de segurança que faz referência ao grupo de segurança sg-0abcdef1234567890. Essa regra permite tráfego SSH de entrada das instâncias associadas a sg-0abcdef1234567890.
| Origem | Protocolo | Intervalo de portas |
| --- | --- | --- |
| sg-0abcdef1234567890 | TCP | 22 |
Ao fazer referência a um grupo de segurança em uma regra de grupo de segurança, observe o seguinte:
+ Você pode referenciar um grupo de segurança na regra de entrada de outro grupo de segurança se alguma das seguintes condições for verdadeira:
+ Os grupos de segurança são associados à mesma VPC.
+ Existe uma conexão de emparelhamento entre as VPCs às quais os grupos de segurança são associados.
+ Existe um gateway entre as VPCs às quais os grupos de segurança são associados.
+ Você pode referenciar um grupo de segurança na regra de saída de outro grupo de segurança se alguma das seguintes condições for verdadeira:
+ Os grupos de segurança são associados à mesma VPC.
+ Existe uma conexão de emparelhamento entre as VPCs às quais os grupos de segurança são associados.
+ Nenhuma regra do grupo de segurança referenciado é adicionada ao grupo de segurança que faz referência a ele.
+ Para regras de entrada, as instâncias do EC2 associadas a um grupo de segurança podem receber tráfego de entrada dos endereços IP privados das interfaces de rede das instâncias do EC2 associadas ao grupo de segurança referenciado.
+ Para regras de saída, as instâncias do EC2 associadas a um grupo de segurança podem enviar tráfego de saída para os endereços IP privados a partir das interfaces de rede das instâncias do EC2 associadas ao grupo de segurança referenciado.
+ Não autorizamos grupos de segurança referenciados nas seguintes ações: `AuthorizeSecurityGroupIngress`, `AuthorizeSecurityGroupEgress`, `RevokeSecurityGroupIngress` e `RevokeSecurityGroupEgress`. Somente verificamos se o grupo de segurança existe. Isso resulta no seguinte:
+ Especificar o grupo de segurança referenciado nas políticas do IAM para essas ações não tem efeito.
+ Quando um grupo de segurança referenciado pertence a outra conta, a conta do proprietário não recebe eventos do CloudTrail para essas ações.
**Limitação**
Se você configurar rotas para encaminhar o tráfego entre duas instâncias em sub-redes diferentes por meio de um dispositivo middlebox, deverá garantir que os grupos de segurança de ambas as instâncias permitam o fluxo de tráfego entre as instâncias. O grupo de segurança para cada instância deve fazer referência ao endereço IP privado da outra instância ou ao intervalo CIDR da sub-rede que contém a outra instância, como a origem. Se você fizer referência ao grupo de segurança da outra instância como a origem, isso não permitirá que o tráfego flua entre as instâncias.
**Exemplo**
O diagrama a seguir mostra uma VPC com sub-redes em duas zonas de disponibilidade, um gateway da Internet e um Application Load Balancer. Cada zona de disponibilidade tem uma sub-rede pública para servidores da Web e uma sub-rede privada para servidores de banco de dados. Há grupos de segurança separados para o balanceador de carga, os servidores da Web e os servidores de banco de dados. Crie as seguintes regras de grupos de segurança para permitir o tráfego.
+ Adicione regras ao grupo de segurança do balanceador de carga para permitir o tráfego HTTP e HTTPS da Internet. A origem é 0,0.0.0/0.
+ Adicione regras ao grupo de segurança dos servidores Web para permitir tráfego HTTP e HTTPS somente do balanceador de carga. A origem é o grupo de segurança do balanceador de carga.
+ Adicione regras ao grupo de segurança dos servidores de banco de dados para permitir solicitações de banco de dados dos servidores Web. A origem é o grupo de segurança dos servidores Web.
![\[Arquitetura com servidores Web e de banco de dados, grupos de segurança, gateway da Internet e balanceador de carga\]](http://docs.aws.amazon.com/pt_br/vpc/latest/userguide/images/security-group-referencing.png)
## Tamanho do grupo de segurança
O tipo de origem ou destino determina como cada regra conta para o número máximo de regras que você pode ter por grupo de segurança.
+ Uma regra que faz referência a um bloco CIDR é contabilizada como uma regra.
+ Uma regra que faz referência a outro grupo de segurança é contabilizada como uma regra, independentemente do tamanho do grupo de segurança referenciado.
+ Uma regra que faz referência a uma lista de prefixos gerenciada pelo cliente é contabilizada como o tamanho máximo da lista de prefixos. Por exemplo, se o tamanho máximo da sua lista de prefixos for 20, uma regra que faça referência a essa lista de prefixos será contabilizada como 20 regras.
+ Uma regra que utiliza uma lista de prefixos gerenciada por AWS é ponderada pelo peso atribuído a essa lista de prefixos. Por exemplo, se o peso da lista de prefixos for 10, uma regra que faz referência a essa lista será considerada como 10 regras. Para obter mais informações, consulte [Listas de prefixos gerenciados pela AWS disponíveis](working-with-aws-managed-prefix-lists.md#available-aws-managed-prefix-lists).
## Regras de grupo de segurança obsoletas
Se a VPC tiver uma conexão de emparelhamento da VPC com outra VPC, ou se utilizar uma VPC compartilhada por outra conta, uma regra do grupo de segurança em sua VPC pode fazer referência a um grupo de segurança no par da VPC ou na VPC compartihada. Isso permite que as instâncias associadas ao grupo de segurança referenciado e aquelas associadas ao grupo de segurança de referência se comuniquem entre si. Para obter mais informações, consulte [Atualizar seus grupos de segurança para fazer referência a grupos de segurança de mesmo nível](https://docs.aws.amazon.com/vpc/latest/peering/vpc-peering-security-groups.html) no *Guia de emparelhamento da Amazon VPC*.
Se você tiver uma regra de grupo de segurança que referencie um grupo de segurança em uma VPC emparelhada, e o grupo de segurança, ou a conexão de emparelhamento da VPC forem excluídos, a regra de grupo de segurança será marcada como obsoleta. Você pode excluir regras de grupo de segurança obsoletas, como faria com qualquer outra regra do grupo de segurança.
# Grupo de segurança padrão para VPCs
Suas VPCs padrão e todas as VPCs criadas por você vêm com um grupo de segurança padrão. O nome do grupo de segurança padrão é “default”.
Recomendamos que você crie grupos de segurança para recursos ou grupos de recursos específicos em vez de usar o grupo de segurança padrão. No entanto, se você não associar um grupo de segurança a alguns recursos no momento da criação, nós os associaremos ao grupo de segurança padrão. Por exemplo, se você não especificar um grupo de segurança ao executar uma instância do EC2, associaremos a instância ao grupo de segurança padrão para a VPC.
## Noções básicas do grupo de segurança padrão
+ Você pode alterar as regras do grupo de segurança padrão.
+ Você não pode excluir um grupo de segurança padrão. Se você tentar excluir um grupo de segurança padrão, retornaremos o seguinte código de erro: `Client.CannotDelete`.
## Regras padrão
A tabela a seguir descreve as regras de entrada padrão para um grupo de segurança padrão.
| Origem | Protocolo | Intervalo de portas | Descrição |
| --- | --- | --- | --- |
| sg-1234567890abcdef0 | Todos | Todos | Permite tráfego de entrada de todos os recursos atribuídos a este grupo de segurança. A origem é o ID deste grupo de segurança. |
A tabela a seguir descreve as regras de saída padrão para um grupo de segurança padrão.
| Destino | Protocolo | Intervalo de portas | Descrição |
| --- | --- | --- | --- |
| 0.0.0.0/0 | Tudo | Tudo | Permite todo o tráfego IPv4 de saída. |
| ::/0 | Tudo | Tudo | Permite todo o tráfego IPv6 de saída. Essa regra será adicionada somente se sua VPC tiver um bloco CIDR IPv6 associado. |
## Exemplo
O diagrama a seguir mostra uma VPC com um grupo de segurança padrão, um gateway da Internet e um gateway NAT. A segurança padrão contém somente suas regras padrão, e está associada a duas instâncias do EC2 em execução na VPC. Nesse cenário, cada instância pode receber tráfego de entrada da outra instância em todas as portas e protocolos. As regras padrão não permitem que as instâncias recebam tráfego do gateway da Internet ou do gateway NAT. Se as suas instâncias precisarem receber tráfego adicional, recomendamos criar um grupo de segurança com as regras necessárias e associar esse novo grupo de segurança às instâncias em vez de ao grupo de segurança padrão.
![\[VPC com duas sub-redes, grupo de segurança padrão, duas instâncias do EC2, gateway da Internet e gateway NAT\]](http://docs.aws.amazon.com/pt_br/vpc/latest/userguide/images/default-security-group.png)
# Crie um grupo de segurança para a VPC
Sua nuvem privada virtual (VPC) vem com um grupo de segurança padrão. Você pode criar grupos de segurança adicionais. Os grupos de segurança só podem ser usados com os recursos da VPC para a qual foram criados.
Por padrão, novos grupos de segurança começam com apenas uma regra de saída que permite que todo o tráfego deixe as instâncias. Adicione regras para permitir qualquer tráfego de entrada ou para restringir o tráfego de saída. Você pode adicionar regras quando cria um grupo de segurança ou posteriormente. Para obter mais informações, consulte [Regras de grupos de segurança](security-group-rules.md).
**Permissões obrigatórias**
Antes de começar, verifique se você tem as permissões necessárias. Para saber mais, consulte:
+ [Gerenciar grupos de segurança](vpc-policy-examples.md#vpc-security-groups-iam)
+ [Gerenciar regras de grupos de segurança](vpc-policy-examples.md#vpc-security-group-rules-iam)
**Para criar um grupo de segurança usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Security groups** (Grupos de segurança).
1. Escolha **Create security group (Criar grupo de segurança)**.
1. Insira um nome e uma descrição para o grupo de segurança. Você não pode alterar o nome e a descrição de um grupo de segurança depois que ele foi criado.
1. Para **VPC**, escolha a VPC na qual você vai criar os recursos aos quais vai associar o grupo de segurança.
1. (Opcional) Para adicionar regras de entrada, escolha **Regras de entrada**. Para cada regra, escolha **Adicionar regra** e especifique o protocolo, a porta e a origem. Para obter mais informações, consulte [Configurar regras de grupo de segurança](working-with-security-group-rules.md).
1. (Opcional) Para adicionar regras de saída, escolha **Regras de saída**. Em cada regra, escolha **Adicionar regra** e especifique o protocolo, a porta e o destino.
1. (Opcional) Para adicionar uma tag, escolha **Add new tag** (Adicionar nova tag) e insira a chave e o valor da tag.
1. Escolha **Criar grupo de segurança**.
**Para criar um grupo de segurança usando o AWS CLI**
Use o comando [create-security-group](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-security-group.html).
Ou então, você pode criar um novo grupo de segurança copiando um existente. Quando você copia um grupo de segurança, adicionamos automaticamente as mesmas regras de entrada e saída do grupo de segurança original, e usamos a mesma VPC do grupo de segurança original. Você pode inserir um nome e uma descrição para o novo grupo de segurança. Opcionalmente, você pode escolher uma VPC diferente e modificar as regras de entrada e saída conforme necessário. Mas não pode copiar um grupo de segurança de uma região para outra região.
**Para criar um grupo de segurança com base em um já existente**
1. Abra o console da Amazon VPC, em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Security groups** (Grupos de segurança).
1. Selecione um security group.
1. Escolha **Ações**, **Copiar para o novo grupo de segurança**.
1. Insira um nome e uma descrição para o grupo de segurança.
1. (Opcional) Escolha outra VPC se necessário.
1. (Opcional) Adicione, remova ou edite as regras de grupo de segurança conforme necessário.
1. Escolha **Criar grupo de segurança**.
# Configurar regras de grupo de segurança
Depois de criar um grupo de segurança, você pode adicionar, atualizar e excluir as regras de grupo de segurança do grupo. Quando você adiciona, atualiza ou exclui uma regra, a alteração é aplicada automaticamente aos recursos associados ao grupo de segurança.
**Permissões obrigatórias**
Antes de começar, verifique se você tem as permissões necessárias. Para obter mais informações, consulte [Gerenciar regras de grupos de segurança](vpc-policy-examples.md#vpc-security-group-rules-iam).
**Protocolos e portas**
+ Com o console, quando você seleciona um tipo predefinido, **Protocolo** e **Intervalo de portas** são especificados para você. Para inserir um intervalo de portas, você deve selecionar um dos seguintes tipos personalizados: **TCP personalizado** ou **UDP personalizado** .
+ Com a AWS CLI, você pode adicionar uma única regra com uma única porta usando as opções `--protocol` e `--port`. Para adicionar várias regras ou uma regra com um intervalo de portas, use a opção `--ip-permissions`.
**Origens e destinos**
+ Com o console, você pode especificar o seguinte como origens para as regras de entrada ou destinos para as regras de saída.
+ **Personalizado**: um bloco CIDR IPv4 e um bloco CIDR IPv6, um grupo de segurança ou uma lista de prefixos.
+ **Anywhere-IPv4**: o bloco CIDR IPv4 0.0.0.0/0.
+ **Anywhere-IPv6**: o bloco CIDR IPv6 ::/0.
+ **Meu IP**: o endereço IPv4 público do computador local.
+ Com a AWS CLI, você pode especificar um bloco CIDR IPv4 usando a opção `--cidr` ou um grupo de segurança usando a opção `--source-group`. Para especificar uma lista de prefixos ou um bloco CIDR IPv6, use a opção `--ip-permissions`.
**Atenção**
Se você escolher **Anywhere-IPv4**, o tráfego de todos os endereços IPv4 será permitido. Se você escolher **Anywhere-IPv6**, o tráfego de todos os endereços IPv6 será permitido. É uma prática recomendada autorizar apenas os intervalos de endereços IP específicos que precisam ter acesso a seus recursos.
**Para configurar regras de grupo de segurança usando o console**
1. Abra o console da Amazon VPC, em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Grupos de segurança**.
1. Selecione o grupo de segurança.
1. Para editar as regras de entrada, escolha **Editar regras de entrada** em **Ações** ou na guia **Regras de entrada**.
1. Para adicionar uma regra, escolha **Adicionar regra** e insira o tipo, o protocolo, a porta e a origem da regra.
Se o tipo for TCP ou UDP, será necessário inserir o intervalo de portas a ser permitido. Para ICMP personalizado, você deverá escolher o nome do tipo ICMP em **Protocol** (Protocolo) e, se aplicável, o nome do código em **Port range** (Intervalo de portas). Para qualquer outro tipo, o protocolo e o intervalo de portas serão configurados para você.
1. Para atualizar uma regra, altere o protocolo, a descrição e a origem da regra, conforme necessário. Porém, você não pode alterar o tipo de origem. Por exemplo, se a origem for um bloco CIDR IPv4, você não poderá especificar um bloco CIDR IPv6, uma lista de prefixos ou um grupo de segurança.
1. Para excluir uma regra, escolha seu botão **Excluir**.
1. Para editar as regras de saída, escolha **Editar regras de saída** em **Ações** ou na guia **Regras de saída**.
1. Para adicionar uma regra, escolha **Adicionar regra** e insira o tipo, o protocolo, a porta e o destino da regra. Você também pode inserir uma descrição opcional.
Se o tipo for TCP ou UDP, será necessário inserir o intervalo de portas a ser permitido. Para ICMP personalizado, você deverá escolher o nome do tipo ICMP em **Protocol** (Protocolo) e, se aplicável, o nome do código em **Port range** (Intervalo de portas). Para qualquer outro tipo, o protocolo e o intervalo de portas serão configurados para você.
1. Para atualizar uma regra, altere o protocolo, a descrição e a origem da regra, conforme necessário. Porém, você não pode alterar o tipo de origem. Por exemplo, se a origem for um bloco CIDR IPv4, você não poderá especificar um bloco CIDR IPv6, uma lista de prefixos ou um grupo de segurança.
1. Para excluir uma regra, escolha seu botão **Excluir**.
1. Selecione **Salvar regras**.
**Para configurar regras de grupo de segurança usando a AWS CLI**
+ **Adicionar**: use os comandos [authorize-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-ingress.html) e [authorize-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-egress.html).
+ **Remover**: use os comandos [revoke-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-ingress.html) e [revoke-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-egress.html).
+ **Modificar**: use os comandos [modify-security-group-rules](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-security-group-rules.html), [update-security-group-rule-descriptions-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/update-security-group-rule-descriptions-ingress.html) e [update-security-group-rule-descriptions-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/update-security-group-rule-descriptions-egress.html).
# Exclua um grupo de segurança
Quando não precisar mais de um grupo de segurança que você criou, poderá excluí-lo.
**Requisitos**
+ O grupo de segurança não pode estar associado a nenhum recurso.
+ O grupo de segurança não pode ser referenciado por nenhuma regra em outro grupo de segurança.
+ O grupo de segurança não pode ser o grupo de segurança padrão da VPC.
**Para excluir um grupo de segurança usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Security groups** (Grupos de segurança).
1. Selecione o grupo de segurança e escolha **Ações**, **Excluir grupos de segurança**.
1. Caso tenha selecionado mais de um grupo de segurança, será solicitada sua confirmação. Se alguns dos grupos de segurança não puderem ser excluídos, exibiremos o status de cada grupo de segurança, que indicará se ele será ou não excluído. Para confirmar a exclusão, insira **Excluir**.
1. Escolha **Excluir**.
**Para excluir um grupo de segurança usando a AWS CLI**
Use o comando [delete-security-group](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-security-group.html).
# Associar grupos de segurança a várias VPCs
Se você tiver workloads em execução em várias VPCs que compartilham requisitos de segurança de rede, poderá usar o atributo Associações de Grupos de Segurança a VPCs para associar um grupo de segurança a várias VPCs na mesma região. Isso permite que você gerencie e mantenha grupos de segurança para várias VPCs em um único local em sua conta.
![\[Um diagrama de um grupo de segurança associado a duas VPCs.\]](http://docs.aws.amazon.com/pt_br/vpc/latest/userguide/images/sec-group-vpc-assoc.png)
O diagrama acima mostra a conta A da AWS com duas VPCs. Cada uma das VPCs tem workloads em execução em uma sub-rede privada. Nesse caso, as workloads das sub-redes A e B da VPC compartilham os mesmos requisitos de tráfego de rede, assim, a conta A pode usar o atributo Associações de Grupos de Segurança a VPCs para associar o grupo de segurança da VPC A à VPC B. Todas as atualizações feitas no grupo de segurança associado são aplicadas automaticamente ao tráfego para as workloads na sub-rede da VPC B.
**Requisitos do atributo Associações de Grupos de Segurança a VPCs**
+ Para associar um grupo de segurança à VPC, você deve ser o proprietário da VPC ou uma das sub-redes da VPC deve ser compartilhada com você.
+ A VCP e o grupo de segurança devem estar na mesma região da AWS.
+ Não é possível associar um grupo de segurança padrão a outra VPC ou associar um grupo de segurança a uma VPC padrão.
+ Tanto o proprietário do grupo de segurança quanto o proprietário da VPC podem visualizar as associações do grupo de segurança à VCP.
**Serviços compatíveis com esse atributo**
+ Amazon API Gateway (APIs REST apenas)
+ AWS Auto Scaling
+ CloudFormation
+ Amazon EC2
+ Amazon EFS
+ Amazon EKS
+ Amazon FSx
+ AWS PrivateLink
+ Amazon Route 53
+ Elastic Load Balancing
+ Application Load Balancer
+ Network Load Balancer
## Associar um grupo de segurança a outra VPC
Esta seção explica como usar o Console de gerenciamento da AWS e a AWS CLI para associar um grupo de segurança a VPCs.
------
#### [ AWS Management Console ]
**Para associar um grupo de segurança a outra VPC**
1. Abra o console da Amazon VPC, em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação esquerdo, escolha **Grupos de segurança**.
1. Escolha um grupo de segurança para visualizar os detalhes.
1. Escolha a guia **Associações de VPC**.
1. Escolha **Associate VPC**.
1. Em **ID da VPC**, escolha uma VPC para associar ao grupo de segurança.
1. Escolha **Associate VPC**.
------
#### [ Command line ]
**Para associar um grupo de segurança a outra VPC**
1. Crie uma associação da VPC com [associate-security-group-vpc](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/associate-security-group-vpc.html).
1. Verifique o status de uma associação da VPC com [describe-security-group-vpc-associations](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/describe-security-group-vpc-associations.html) e aguarde até que o status seja `associated`.
------
A VPC agora está associada ao grupo de segurança.
Depois de associar a VPC ao grupo de segurança, você pode, por exemplo, [iniciar uma instância na VPC e escolher esse novo grupo de segurança](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/LaunchingAndUsingInstances.html) ou [referenciar esse grupo de segurança em uma regra de grupo de segurança existente](security-group-rules.md#security-group-referencing).
## Desassociar um grupo de segurança de outra VPC
Esta seção explica como usar o Console de gerenciamento da AWS e a AWS CLI para desassociar um grupo de segurança de VPCs. Você poderá querer fazer isso se seu objetivo for excluir o grupo de segurança. Grupos de segurança não poderão ser excluídos se estiverem associados. Você só poderá desassociar um grupo de segurança se não houver nenhuma interface de rede na VPC associada que use esse grupo de segurança.
------
#### [ AWS Management Console ]
**Para desassociar um grupo de segurança de uma VPC**
1. Abra o console da Amazon VPC, em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação esquerdo, escolha **Grupos de segurança**.
1. Escolha um grupo de segurança para visualizar os detalhes.
1. Escolha a guia **Associações de VPC**.
1. Escolha **Desassociar VPC**.
1. Em **ID da VPC**, escolha uma VPC para desassociar do grupo de segurança.
1. Escolha **Desassociar VPC**.
1. Visualize o **Status** da dissociação na guia Associações da VPC e aguarde até que o status seja `disassociated`.
------
#### [ Command line ]
**Para desassociar um grupo de segurança de uma VPC**
1. [Desassocie uma associação da VPC com disassociate-security-group-vpc](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/disassociate-security-group-vpc.html).
1. Verifique o status de uma desassociação da VPC com [describe-security-group-vpc-associations](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/describe-security-group-vpc-associations.html) e aguarde até que o status seja `disassociated`.
------
A VPC agora está desassociada do grupo de segurança.
# Compartilhar grupos de segurança com o AWS Organizations
O recurso grupo de segurança compartilhado possibilita compartilhar um grupo de segurança com outras contas do AWS Organizations na mesma região da AWS, tornando o grupo de segurança disponível para ser usado por essas contas.
O diagrama a seguir demonstra como você pode usar o atributo Grupo de Segurança Compartilhado para simplificar o gerenciamento de grupos de segurança entre as contas do AWS Organizations:
![\[Um diagrama do compartilhamento de grupo de segurança com outras contas em uma sub-rede da VPC compartilhada.\]](http://docs.aws.amazon.com/pt_br/vpc/latest/userguide/images/sec-group-sharing.png)
Este diagrama mostra três contas que fazem parte da mesma organização. A conta A compartilha uma sub-rede da VPC com as contas B e C. A conta A compartilha o grupo de segurança com as contas B e C usando o atributo Grupo de Segurança Compartilhado. As contas B e C então usam esse grupo de segurança quando iniciam instâncias na sub-rede compartilhada. Isso permite que a conta A gerencie o grupo de segurança, e todas as atualizações do grupo de segurança se aplicam aos recursos que as contas B e C têm em execução na sub-rede da VPC compartilhada.
**Requisitos do atributo Grupo de Segurança Compartilhado**
+ Esse atributo só está disponível em contas na mesma organização do AWS Organizations. O [Compartilhamento de recurso](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html) deve estar habilitado no AWS Organizations.
+ A conta que compartilha o grupo de segurança deve ser a proprietária da VPC e do grupo de segurança.
+ Você não pode compartilhar os grupos de segurança padrão.
+ Você não pode compartilhar grupos de segurança que estejam em uma VPC padrão.
+ As contas participantes podem criar grupos de segurança em uma VPC compartilhada, mas não podem compartilhar esses grupos de segurança.
+ É necessário um conjunto mínimo de permissões para uma entidade principal do IAM compartilhar um grupo de segurança com o AWS RAM. Use as políticas gerenciadas do IAM `AmazonEC2FullAccess` e `AWSResourceAccessManagerFullAccess` para garantir que as entidades superiores do IAM tenham as permissões necessárias para compartilhar e usar os grupos de segurança compartilhados. Se você usar uma política personalizada do IAM, as ações `c2:PutResourcePolicy` e `ec2:DeleteResourcePolicy` serão são necessárias. Essas são ações do IAM realizadas somente com permissão. Se uma entidade principal do IAM não tiver essas permissões, ocorrerá um erro quando ela tentar compartilhar o grupo de segurança usando o AWS RAM.
**Serviços compatíveis com esse atributo**
+ Amazon API Gateway
+ Amazon EC2
+ Amazon ECS
+ Amazon EFS
+ Amazon EKS
+ Amazon EMR
+ Amazon FSx
+ Amazon ElastiCache
+ AWS Elastic Beanstalk
+ AWS Glue
+ Amazon MQ
+ Amazon SageMaker AI
+ Elastic Load Balancing
+ Application Load Balancer
+ Network Load Balancer
**Como esse atributo afeta as cotas existentes**
[Cotas de grupo de segurança](amazon-vpc-limits.md#vpc-limits-security-groups) se aplicam. No entanto, para a cota “Grupos de segurança por interface de rede”, se um participante usar tanto grupos próprios quanto grupos compartilhados em uma interface de rede elástica (ENI), a cota mínima entre o proprietário e o participante será aplicada.
Exemplo para demonstrar como a cota é afetada por esse atributo:
+ Cota da conta do proprietário: 4 grupos de segurança por interface
+ Cota da conta do participante: 5 grupos de segurança por interface.
+ O proprietário compartilha os grupos SG-O1, SG-O2, SG-O3, SG-O4, SG-O5 com o participante. O participante já tem seus próprios grupos na VPC: SG-P1, SG-P2, SG-P3, SG-P4, SG-P5.
+ Se o participante criar uma ENI e usar somente apenas seus próprios grupos, poderá associar todos os 5 grupos de segurança (SG-P1, SG-P2, SG-P3, SG-P4, SG-P5) porque essa é sua cota.
+ Se o participante criar uma ENI e usar nela algum grupo compartilhado, poderá associar até 4 grupos. Nesse caso, a cota para essa ENI será o mínimo das cotas do proprietário e do participante. As possíveis configurações válidas serão assim:
+ SG-O1, SG-P1, SG-P2, SG-P3
+ SG-O1, SG-O2, SG-O3, SG-O4
## Compartilhar um grupo de segurança
Esta seção explica como usar o Console de gerenciamento da AWS e a AWS CLI para compartilhar um grupo de segurança com outras contas da organização.
------
#### [ AWS Management Console ]
**Para compartilhar um grupo de segurança**
1. Abra o console da Amazon VPC, em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação esquerdo, escolha **Grupos de segurança**.
1. Escolha um grupo de segurança para visualizar os detalhes.
1. Escolha a guia **Sharing (Compartilhamento)**.
1. Escolha **Grupo de segurança compartilhado**.
1. Escolha **Criar compartilhamento de recursos**. Como resultado, o console do AWS RAM será aberto, e nele você criará o compartilhamento de recurso para o grupo de segurança.
1. Insira um **Nome** para o recurso compartilhado.
1. Em **Recursos: opcional**, escolha **Grupos de segurança**.
1. Escolha um grupo de segurança. O grupo de segurança não pode ser um grupo de segurança padrão e não pode estar associado à VPC padrão.
1. Escolha **Próximo**.
1. Revise as ações que as entidades principais terão permissão de realizar e escolha **Avançar**.
1. Em **Entidades principais: opcional**, escolha **Permitir compartilhamento apenas dentro da organização**.
1. Em **Entidades principais**, selecione um dos seguintes tipos de entidade principal e insira os números apropriados:
+ **Conta da AWS**: o número de uma conta da organização.
+ **Organização**: o ID do AWS Organizations.
+ **Unidade organizacional (UO)**: o ID de uma UO da organização.
+ **Perfil do IAM**: o ARN de um perfil do IAM. A conta que criou o perfil deve ser membro da mesma organização que a conta que está criando esse compartilhamento de recurso.
+ **Usuário do IAM**: o ARN de um usuário do IAM. A conta que criou o usuário deve ser membro da mesma organização que a conta que está criando esse compartilhamento de recurso.
+ **Entidade principal do serviço**: você não pode compartilhar um grupo de segurança com uma entidade principal do serviço.
1. Escolha **Adicionar**.
1. Escolha **Próximo**.
1. Escolha **Criar compartilhamento de recursos**.
1. Em **Recursos compartilhados**, aguarde para ver o **Status** de `Associated`. Se houver uma falha na associação do grupo de segurança, a causa talvez seja uma das limitações listadas acima. Visualize os detalhes do grupo de segurança e a guia **Compartilhamento** na página de detalhes para ver todas as mensagens relacionadas motivo pelo qual um grupo de segurança pode não ser compartilhável.
1. Volte à lista de grupos de segurança no console da VPC.
1. Escolha o grupo de segurança que você compartilhou.
1. Escolha a guia **Sharing (Compartilhamento)**. O recurso do AWS RAM deve estar visível ali. Se não estiver, talvez a criação do recurso compartilhado tenha falhado e seja necessário recriá-la.
------
#### [ Command line ]
**Para compartilhar um grupo de segurança**
1. Você primeiro deve criar um compartilhamento de recurso para o grupo de segurança que deseja compartilhar com o AWS RAM. Para ver as etapas de como criar um recurso compartilhado com o AWS RAM usando a AWS CLI, consulte [Creating a resource share in AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html) no *AWS RAM User Guide*
1. Para visualizar as associações de compartilhamento de recurso criadas, use [get-resource-share-associations](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/get-resource-share-associations.html).
------
O grupo de segurança agora está compartilhado. É possível selecionar o grupo de segurança ao [iniciar uma instância do EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/LaunchingAndUsingInstances.html) em uma sub-rede compartilhada na mesma VPC.
## Parar de compartilhar um grupo de segurança
Esta seção explica como usar o Console de gerenciamento da AWS e a AWS CLI para parar de compartilhar um grupo de segurança com outras contas da organização.
------
#### [ AWS Management Console ]
**Para parar de compartilhar um grupo de segurança**
1. Abra o console da Amazon VPC, em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação esquerdo, escolha **Grupos de segurança**.
1. Escolha um grupo de segurança para visualizar os detalhes.
1. Escolha a guia **Sharing (Compartilhamento)**.
1. Escolha um compartilhamento de recurso do grupo de segurança e depois **Parar de compartilhar**.
1. Escolha **Sim, parar de compartilhar**.
------
#### [ Command line ]
**Para parar de compartilhar um grupo de segurança**
Exclua o compartilhamento de recurso com [delete-resource-share](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/delete-resource-share.html).
------
O grupo de segurança não está mais sendo compartilhado. Quando o proprietário deixa de compartilhar um grupo de segurança, as seguintes regras se aplicam:
+ As Elastic Network Interfaces (ENIs) de participantes existentes continuam a receber todas as atualizações de regra de grupo de segurança feitas nos grupos de segurança não compartilhados. O cancelamento do compartilhamento só impede que o participante crie novas associações com o grupo não compartilhado.
+ Os participantes não podem mais associar o grupo de segurança não compartilhado a suas próprias ENIs.
+ Os participantes podem descrever e excluir as ENIs que ainda estão associadas aos grupos de segurança não compartilhados.
+ Se os participantes ainda tiverem ENIs associadas ao grupo de segurança não compartilhado, o proprietário não poderá excluir o grupo de segurança não compartilhado. O proprietário só poderá excluir o grupo de segurança depois que os participantes desassociarem (removerem) o grupo de segurança de todas as suas ENIs.
+ Os participantes não podem iniciar novas instâncias do EC2 usando uma ENI associada a um grupo de segurança não compartilhado.
# Controlar o tráfego da sub-rede com listas de controle de acesso à rede
Uma *lista de controle de acesso (ACL) de rede* permite ou não determinado tráfego de entrada ou de saída no nível da sub-rede. Você pode usar a ACL de rede padrão para a VPC ou pode criar uma ACL de rede personalizada para a VPC com regras semelhantes às regras dos grupos de segurança para adicionar mais uma camada de segurança à VPC.
Não há nenhuma cobrança adicional pelo uso de ACLs de rede.
O diagrama a seguir mostra uma VPC com duas sub-redes. Cada sub-rede tem uma ACL de rede. Quando o tráfego entra na VPC (por exemplo, de uma VPC emparelhada, de uma conexão VPN ou da Internet), o roteador envia o tráfego para seu destino. A ACL da rede A determina qual tráfego destinado à sub-rede 1 tem permissão para entrar na sub-rede 1 e qual tráfego destinado a um local fora da sub-rede 1 tem permissão para sair da sub-rede 1. Da mesma forma, a ACL da rede B determina qual tráfego tem permissão para entrar e sair da sub-rede 2.
![\[Uma VPC com duas sub-redes e uma ACL de rede para cada sub-rede.\]](http://docs.aws.amazon.com/pt_br/vpc/latest/userguide/images/network-acl.png)
Para obter mais informações sobre as diferenças entre grupos de segurança e ACLs de rede, consulte [Comparar grupos de segurança e ACLs de rede](infrastructure-security.md#VPC_Security_Comparison).
**Topics**
+ [Noções básicas de ACL de rede](#nacl-basics)
+ [Regras de ACL de rede](nacl-rules.md)
+ [ACL de rede padrão para uma VPC](default-network-acl.md)
+ [ACLs de rede personalizadas para sua VPC](custom-network-acl.md)
+ [Path MTU Discovery e ACLs de rede](path_mtu_discovery.md)
+ [Criar uma ACL de rede para sua VPC](create-network-acl.md)
+ [Gerenciar associações de ACL de rede para sua VPC](network-acl-associations.md)
+ [Excluir uma ACL de rede para sua VPC](delete-network-acl.md)
+ [Exemplo: controlar o acesso a instâncias em uma sub-rede](nacl-examples.md)
## Noções básicas de ACL de rede
Antes de começar consulte as noções essenciais sobre as ACLs de rede.
**Associações de ACL de rede**
+ Toda sub-rede em sua VPC deve ser associada com uma ACL de rede. Se você não associar explicitamente uma sub-rede com uma ACL de rede, as sub-redes serão associadas automaticamente com a [ACL de rede padrão](default-network-acl.md).
+ Você pode criar uma [ACL de rede personalizada](custom-network-acl.md) e associá-la a uma sub-rede para permitir ou recusar tráfego de entrada ou de saída específico por sub-rede.
+ É possível associar uma ACL de rede a várias sub-redes. No entanto, uma sub-rede pode ser associada a apenas uma ACL de rede por vez. Quando uma ACL de rede é associada a uma sub-rede, a associação anterior é removida.
**Regras de ACL de rede**
+ Uma ACL de rede tem regras de entrada e regras de saída. Há [cotas (ou limites) para o número de regras que você pode ter por ACL de rede](amazon-vpc-limits.md#vpc-limits-nacls). Cada regra pode permitir ou negar tráfego. Cada regra tem um número de 1 até 32766. Avaliamos as regras na ordem, começando pela regra de número mais baixo, ao decidirmos se o tráfego será permitido ou negado. Se o tráfego corresponder a uma regra, a regra será aplicada e não avaliaremos quaisquer regras adicionais. Para começar, é recomendável criar regras em incrementos (por exemplo, incrementos de 10 ou 100), para que, posteriormente, você possa inserir novas regras, se necessário.
+ Avaliamos as regras de ACL da rede quando o tráfego entra e sai da sub-rede, não quando ele é roteado dentro de uma sub-rede.
+ Os NACLs são *sem estado*, o que significa que as informações sobre o tráfego enviado ou recebido anteriormente não são salvas. Se, por exemplo, você criar uma regra de NACL para permitir tráfego de entrada específico para uma sub-rede, as respostas a esse tráfego não serão permitidas automaticamente. Isso contrasta com a forma como os grupos de segurança funcionam. Os grupos de segurança são *com estado*, o que significa que as informações sobre o tráfego enviado ou recebido anteriormente são salvas. Se, por exemplo, um grupo de segurança permitir tráfego de entrada para uma instância do EC2, as respostas serão permitidas automaticamente, independentemente das regras de saída do grupo de segurança.
**Limitações**
+ Há cotas (também conhecidas como limites) para ACLs de rede. Para obter mais informações, consulte [Network ACLs](amazon-vpc-limits.md#vpc-limits-nacls).
+ As ACLs de rede não podem bloquear solicitações de DNS de/para o Route 53 Resolver (também conhecido como endereço IP VPC\$12 ou AmazonProvidedDNS). Para filtrar solicitações de DNS usando o Route 53 Resolver, é possível habilitar o [Route 53 Resolver DNS Firewall](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall.html).
+ As ACLs de rede não podem bloquear o Instance Metadata Service (IMDS). Para gerenciar o acesso ao IMDS, consulte [Configurar as opções de metadados da instância](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-options.html) no *Guia do usuário do Amazon EC2*.
+ As ACLs de rede não filtram tráfego destinado a ou proveniente de:
+ Serviços de nomes de domínio (DNS) da Amazon
+ Dynamic Host Configuration Protocol (DHCP – Protocolo de configuração de host dinâmico) da Amazon
+ Metadados da instância do Amazon EC2
+ Endpoints de metadados de tarefas do Amazon ECS
+ Ativação de licença para instâncias do Windows
+ Serviço de Sincronização Temporal da Amazon
+ Endereços IP reservados usados pelo roteador padrão da VPC
# Regras de ACL de rede
Você pode adicionar ou remover regras de ACL de rede padrão ou criar outras ACLs de rede para sua VPC. Ao adicionar ou remover regras de uma ACL de rede, as alterações são automaticamente aplicadas às sub-redes às quais ela está associada.
Encontram-se a seguir as partes de uma regras de ACL de rede:
+ **Número da regra**. As regras são avaliadas a partir da regra de número mais baixo. Assim que uma regra coincide com o tráfego, ela é aplicada, independentemente de haver qualquer regra com número mais alto que possa contradizê-la.
+ **Tipo**. O tipo de tráfego; por exemplo, SSH. Também é possível especificar todo o tráfego ou um intervalo personalizado.
+ **Protocol (Protocolo**. Você pode especificar qualquer protocolo que tenha um número de protocolo padrão. Para obter mais informações, consulte [Protocol Numbers](http://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml). Se você especificar o ICMP como protocolo, poderá especificar qualquer ou todos os tipos e códigos ICMP.
+ **Intervalo de portas**. A porta de escuta ou o intervalo de portas para o tráfego. Por exemplo, 80 para o tráfego HTTP.
+ **Source (Origem**. [Somente regras de entrada] A fonte do tráfego (intervalo CIDR).
+ **Destino**. [Somente regras de saída] O destino do tráfego (intervalo CIDR).
+ **Permissão/Negação**. Se *permite* ou *nega* o tráfego especificado.
Para exemplos de regras, consulte [Exemplo: controlar o acesso a instâncias em uma sub-rede](nacl-examples.md).
## Considerações
+ Há cotas (também conhecidas como limites) para o número de regras por ACLs de rede. Para obter mais informações, consulte [Cotas da Amazon VPC](amazon-vpc-limits.md).
+ Quando você adiciona ou exclui uma regra de uma ACL, todas as sub-redes associadas à ACL ficam sujeitas a essa alteração. As alterações entram em vigor após um curto período.
+ Se você adicionar uma regra usando uma ferramenta de linha de comando ou a API do Amazon EC2, o intervalo CIDR será modificado automaticamente para sua forma canônica. Por exemplo, se você especificar `100.68.0.18/18` para o intervalo CIDR, criaremos uma regra com um intervalo CIDR `100.68.0.0/18`.
+ Recomenda-se adicionar uma regra de negação em uma situação em que é realmente necessário abrir um amplo intervalo de portas, mas existem determinadas portas nesse intervalo às quais o acesso deve ser negado. Certifique-se de atribuir à regra de negação um número menor do que a regra que permite o tráfego em um intervalo mais amplo de portas.
+ Se você adicionar e excluir regras de uma ACL de rede ao mesmo tempo, tenha cuidado. Se você excluir regras de entrada ou saída e, em seguida, adicionar mais entradas novas do que o permitido (consulte [Cotas da Amazon VPC](amazon-vpc-limits.md)), as entradas selecionadas para exclusão serão removidas e novas entradas *não serão adicionadas*. Isso poderá causar problemas de conectividade inesperados e impedir o acesso a sua VPC.
# ACL de rede padrão para uma VPC
Sua nuvem privada virtual (VPC) vem automaticamente com uma ACL de rede padrão. Uma ACL de rede padrão é configurada para permitir todo o tráfego de entrada e saída das sub-redes às quais está associada. Além disso, toda ACL de rede contém regras cujo número é um asterisco (\$1). Essas regras garantem que, se um pacote não corresponder a nenhuma das outras regras numeradas, o acesso será negado.
É possível modificar uma ACL de rede padrão adicionando regras ou removendo as regras numeradas padrão. Não é possível excluir uma regra cujo número é um asterisco.
**Regras de entrada padrão**
A tabela a seguir mostra as regras de entrada padrão para uma ACL de rede padrão. As regras para IPv6 serão adicionadas somente se você criar a VPC com um bloco CIDR IPv6 associado ou se associar um bloco CIDR IPv6 à VPC. No entanto, se você tiver modificado as regras de entrada de uma ACL de rede padrão, não adicionaremos automaticamente uma regra para permitir todo o tráfego IPv6 de entrada quando você associar um bloco IPv6 à VPC.
| Regra nº | Type | Protocolo | Intervalo de portas | Origem | Permissão/Negação |
| --- | --- | --- | --- | --- | --- |
| 100 | Todo tráfego IPv4 | Todos | Tudo | 0.0.0.0/0 | PERMISSÃO |
| 101 | Todo tráfego IPv6 | Tudo | Tudo | ::/0 | PERMISSÃO |
| \$1 | Todo o tráfego | Tudo | Tudo | 0.0.0.0/0 | DENY |
| \$1 | Todo tráfego IPv6 | Tudo | Tudo | ::/0 | DENY |
**Regras de saída padrão**
A tabela a seguir mostra as regras de saída padrão para uma ACL de rede padrão. As regras para IPv6 serão adicionadas somente se você criar a VPC com um bloco CIDR IPv6 associado ou se associar um bloco CIDR IPv6 à VPC. No entanto, se você tiver modificado as regras de saída de uma Network ACL padrão, não adicionaremos a regra que permite todo o tráfego IPv6 de saída quando você associar um bloco IPv6 à VPC.
| Regra nº | Type | Protocolo | Intervalo de portas | Destino | Permissão/Negação |
| --- | --- | --- | --- | --- | --- |
| 100 | Todo o tráfego | Tudo | Tudo | 0.0.0.0/0 | PERMISSÃO |
| 101 | Todo tráfego IPv6 | Tudo | Tudo | ::/0 | PERMISSÃO |
| \$1 | Todo o tráfego | Tudo | Tudo | 0.0.0.0/0 | DENY |
| \$1 | Todo tráfego IPv6 | Tudo | Tudo | ::/0 | DENY |
# ACLs de rede personalizadas para sua VPC
Você pode criar uma ACL de rede personalizada e associá-la a uma sub-rede para permitir ou recusar tráfego de entrada ou de saída específico por sub-rede. Para obter mais informações, consulte [Criar uma ACL de rede para sua VPC](create-network-acl.md).
Toda ACL de rede contém uma regra de entrada padrão e uma regra de saída padrão cujo número é um asterisco (\$1). Essas regras garantem que, se um pacote não corresponder a nenhuma das outras regras, o acesso será negado.
É possível modificar uma ACL de rede adicionando ou removendo regras. Não é possível excluir uma regra cujo número é um asterisco.
Para cada regra adicionada, deve haver uma regra de entrada ou de saída que permita o tráfego de resposta. Para obter mais informações sobre como selecionar o intervalo de portas efêmero apropriado, consulte [Portas efêmeras](#nacl-ephemeral-ports).
**Exemplo de regras de entrada**
A tabela a seguir mostra exemplos de regras de entrada para uma ACL de rede. As regras para IPv6 serão adicionadas somente se a VPC tiver um bloco CIDR IPv6 associado. Os tráfegos IPv4 e IPv6 são avaliados separadamente. Portanto, nenhuma das regras para tráfego IPv4 se aplicam a tráfego IPv6. É possível adicionar regras de IPv6 ao lado das regras de IPv4 correspondentes ou adicionar as regras de IPv6 após a última regra de IPv4.
Quando um pacote chega à sub-rede, nós o avaliamos em relação às regras de entrada da ACL de rede associada à sub-rede, começando pela regra de menor numeração. Por exemplo, suponha que haja tráfego IPv4 destinado à porta HTTPS (443). O pacote não corresponde à regra 100 ou 105. Ele corresponde à regra 110, que permite o tráfego na sub-rede. Se o pacote tivesse sido destinado à porta 139 (NetBIOS), ele não corresponderia a nenhuma das regras numeradas, então a regra \$1 para tráfego IPv4 negaria o pacote.
| Regra nº | Type | Protocolo | Intervalo de portas | Origem | Permissão/Negação | Comentários |
| --- | --- | --- | --- | --- | --- | --- |
| 100 | HTTP | TCP | 80 | 0.0.0.0/0 | PERMISSÃO | Permite tráfego HTTP de entrada de qualquer endereço IPv4. |
| 105 | HTTP | TCP | 80 | ::/0 | PERMISSÃO | Permite tráfego HTTP de entrada de qualquer endereço IPv6. |
| 110 | HTTPS | TCP | 443 | 0.0.0.0/0 | PERMISSÃO | Permite tráfego HTTPS de entrada de qualquer endereço IPv4. |
| 115 | HTTPS | TCP | 443 | ::/0 | PERMISSÃO | Permite tráfego HTTPS de entrada de qualquer endereço IPv6. |
| 120 | SSH | TCP | 22 | *192.0.2.0/24* | PERMISSÃO | Permite tráfego SSH de entrada de um intervalo de endereços IPv4 públicos de sua rede doméstica (no gateway da Internet). |
| 140 | TCP personalizado | TCP | *32768-65535* | 0.0.0.0/0 | PERMISSÃO | Permite tráfego IPv4 de retorno de entrada da Internet (para solicitações originadas na sub-rede). |
| 145 | TCP personalizado | TCP | *32768-65535* | ::/0 | PERMISSÃO | Permite tráfego IPv6 de retorno de entrada da Internet (para solicitações originadas na sub-rede). |
| \$1 | Todo o tráfego | Tudo | Tudo | 0.0.0.0/0 | NEGAÇÃO | Nega todos os tráfegos IPv4 de entrada ainda não controlados por uma regra precedente (não modificável). |
| \$1 | Todo o tráfego | Tudo | Tudo | ::/0 | NEGAÇÃO | Nega todos os tráfegos IPv6 de entrada ainda não controlados por uma regra precedente (não modificável). |
**Exemplo de regras de saída**
A tabela a seguir mostra exemplos de regras de saída para uma ACL de rede personalizada. As regras para IPv6 serão adicionadas somente se a VPC tiver um bloco CIDR IPv6 associado. Os tráfegos IPv4 e IPv6 são avaliados separadamente. Portanto, nenhuma das regras para tráfego IPv4 se aplicam a tráfego IPv6. É possível adicionar regras de IPv6 ao lado das regras de IPv4 correspondentes ou adicionar as regras de IPv6 após a última regra de IPv4.
| Regra nº | Type | Protocolo | Intervalo de portas | Destino | Permissão/Negação | Comentários |
| --- | --- | --- | --- | --- | --- | --- |
| 100 | HTTP | TCP | 80 | 0.0.0.0/0 | PERMISSÃO | Permite tráfego HTTP IPv4 de saída da sub-rede para a Internet. |
| 105 | HTTP | TCP | 80 | ::/0 | PERMISSÃO | Permite tráfego HTTP IPv6 de saída da sub-rede para a Internet. |
| 110 | HTTPS | TCP | 443 | 0.0.0.0/0 | PERMISSÃO | Permite tráfego HTTPS IPv4 de saída da sub-rede para a Internet. |
| 115 | HTTPS | TCP | 443 | ::/0 | PERMISSÃO | Permite tráfego HTTPS IPv6 de saída da sub-rede para a Internet. |
| 120 | TCP personalizado | TCP | *1024-65535* | *192.0.2.0/24* | PERMISSÃO | Permite respostas de saída para tráfego SSH proveniente da rede interna. |
| 140 | TCP personalizado | TCP | *32768-65535* | 0.0.0.0/0 | PERMISSÃO | Permite respostas IPv4 de saída a clientes na Internet (por exemplo, fornecimento de páginas da Web). |
| 145 | TCP personalizado | TCP | *32768-65535* | ::/0 | PERMISSÃO | Permite respostas IPv6 de saída a clientes na Internet (por exemplo, fornecimento de páginas da Web). |
| \$1 | Todo o tráfego | Tudo | Tudo | 0.0.0.0/0 | DENY | Nega todos os tráfegos IPv4 de saída ainda não controlados por uma regra precedente. |
| \$1 | Todo o tráfego | Tudo | Tudo | ::/0 | DENY | Nega todos os tráfegos IPv6 de saída ainda não controlados por uma regra precedente. |
## Portas efêmeras
A ACL de rede de exemplo na seção precedente usa o intervalo de portas efêmero 32768-65535. Entretanto, é recomendável usar um intervalo diferente para suas ACLs de rede dependendo do tipo de cliente que você estiver usando ou com o qual estiver se comunicando.
O cliente que inicia a solicitação escolhe o intervalo de portas efêmero. O intervalo varia dependendo do sistema operacional do cliente.
+ Muitos kernels Linux (incluindo o kernel Amazon Linux) usam portas 32768-61000.
+ As solicitações originadas do Elastic Load Balancing usam as portas 1024-65535.
+ Os sistemas operacionais Windows até o Windows Server 2003 usam portas 1025-5000.
+ O Windows Server 2008 e versões posteriores usam portas 49152-65535.
+ Um gateway NAT usa as portas 1024 a 65535.
+ As funções do AWS Lambda usam portas 1024-65535.
Por exemplo, se uma solicitação chegar ao servidor da web em sua VPC de um cliente Windows 10 na Internet, sua ACL de rede precisará de uma regra de saída para permitir o tráfego destinado às portas 49152 a 65535.
Se uma instância em sua VPC for o cliente que está iniciando uma solicitação, sua ACL de rede precisará de uma regra de entrada para permitir o tráfego destinado às portas efêmeras específicas do sistema operacional da instância.
Na prática, para abranger os diferentes tipos de cliente que podem iniciar tráfego para instâncias voltadas para o público em sua VPC, você pode abrir as portas efêmeras 1024 a 65535. Entretanto, você pode também adicionar regras à ACL para negar tráfego a qualquer porta mal-intencionado dentro do intervalo. Não se esqueça de inserir regras de negação na tabela antes de inserir regras de permissão que abram um amplo intervalo de portas efêmeras.
## ACLs de rede personalizadas e outros serviços da AWS
Se você criar uma ACL de rede, esteja ciente de como ela pode afetar os recursos que você criar usando outros serviços de AWS.
Com o Elastic Load Balancing, se a sub-rede das instâncias de backend tiver uma ACL de rede à qual você tenha adicionado uma regra de *negação* para todo o tráfego com uma origem de `0.0.0.0/0` ou CIDR da sub-rede, o balanceador de carga não conseguirá realizar verificações de integridade nas instâncias. Para obter mais informações sobre as regras recomendadas de ACL da rede para seus balanceadores de carga e instâncias de backend, consulte o seguinte:
+ [ACLs da rede para o Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-troubleshooting.html)
+ [ACLs da rede para o Network Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/target-group-register-targets.html#network-acls)
+ [ACLs da rede para o Classic Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-vpc-network-acls.html)
## Solucionar problemas de acessibilidade
O Reachability Analyzer é uma ferramenta de análise de configuração estática. Use o Reachability Analyzer para analisar e depurar a acessibilidade da rede entre dois recursos em sua VPC. O Reachability Analyzer produz detalhes salto a salto do caminho virtual entre esses recursos quando eles estão acessíveis e identifica o componente responsável pelo bloqueio quando eles estão inacessíveis. Por exemplo, ele pode identificar regras de ACL de rede ausentes ou mal configuradas.
Para obter mais informações, consulte o [Guia do Analisador de Acessabilidade](https://docs.aws.amazon.com/vpc/latest/reachability/).
# Path MTU Discovery e ACLs de rede
O Path MTU Discovery é usado para determinar o MTU do caminho entre dois dispositivos. A MTU do caminho é o tamanho de pacote máximo suportado no caminho entre o host de origem e o host de recepção.
Para o IPv4, quando um host enviar um pacote que for maior que a MTU do host de recebimento ou que a MTU de um dispositivo ao longo do caminho, o host ou o dispositivo de recebimento eliminará o pacote e retornará a seguinte mensagem ICMP: `Destination Unreachable: Fragmentation Needed and Don't Fragment was Set` (Tipo 3, Código 4). Isso instrui o host de transmissão a dividir a carga útil em vários pacotes menores e, em seguida, retransmiti-los.
O protocolo IPv6 não é compatível com a fragmentação na rede. Se um host enviar um pacote que for maior que a MTU do host de recebimento ou que a MTU de um dispositivo ao longo do caminho, o host ou dispositivo de recebimento eliminará o pacote e retornará a seguinte mensagem ICMP: `ICMPv6 Packet Too Big (PTB)` (Tipo 2). Isso instrui o host de transmissão a dividir a carga útil em vários pacotes menores e, em seguida, retransmiti-los.
Se a maximum transmission unit (MTU – unidade máxima de transmissão) entre hosts nas sub-redes for diferente, ou suas instâncias se comunicam com pares pela Internet, será necessário adicionar a regra de ACL de rede a seguir, tanto de entrada como de saída. Isso garante que a Path MTU Discovery funcione corretamente e evite a perda de pacotes. Selecione **Custom ICMP Rule (Regra ICMP personalizada)** para o tipo e **Destination Unreachable (Destino inacessível)**, **fragmentation required, and DF flag set (fragmentação necessária e sinalizador DF definido)** para o intervalo de portas (tipo 3, código 4). Se você usar o rastreamento de rotas, adicione também a seguinte regra: selecione **Custom ICMP Rule (Regra personalizada de ICMP)** para o tipo e **Time Exceeded (Tempo excedido)**, **TTL expired transit (Trânsito de TTL expirado)** para o intervalo de porta (tipo 11, código 0). Para obter mais informações, consulte [Unidade de transmissão máxima (MTU) de rede para a instância do EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/network_mtu.html) no *Guia do usuário do Amazon EC2*.
# Criar uma ACL de rede para sua VPC
As tarefas a seguir mostram como criar uma ACL de rede, adicionar regras à ACL de rede e, em seguida, associar a ACL de rede a uma sub-rede.
**Topics**
+ [Etapa 1: Criar uma uma ACL de rede](#CreateACL)
+ [Etapa 2: Adicionar regras](#Rules)
+ [Etapa 3: Associar uma sub-rede a uma ACL de rede](#NetworkACL)
+ [(Opcional) Gerenciar ACLs de rede usando o Firewall Manager](#nacls-using-firewall-manager)
## Etapa 1: Criar uma uma ACL de rede
Você pode criar uma ACL de rede personalizada para sua VPC. As regras iniciais de uma ACL de rede personalizada bloqueiam todo o tráfego de entrada e saída. Sua nova ACL de rede personalizada não está associada a uma sub-rede por padrão e deve ser associada explicitamente a sub-redes.
**Para criar uma ACL de rede usando o console**
1. Abra o console da Amazon VPC, em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Network ACLs**.
1. Escolha **Criar ACL de rede**.
1. (Opcional) Em **Nome**, insira um nome para a sua ACL de rede.
1. Em **VPC**, selecione a VPC.
1. (Opcional) Em **Tags**, escolha **Adicionar tag** e insira uma chave de tag e um valor de tag.
1. Escolha **Criar ACL de rede**.
**Para criar uma ACL de rede usando a linha de comando**
+ [create-network-acl](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-network-acl.html) (AWS CLI)
+ [New-EC2NetworkAcl](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2NetworkAcl.html) (AWS Tools for Windows PowerShell)
## Etapa 2: Adicionar regras
É possível adicionar regras que permitam ou neguem tráfego de entrada ou saída.
Processamos as regras sequencialmente, começando pela regra com o número mais baixo. É recomendável deixar lacunas entre os números de regra (como 100, 200, 300), em vez de usar números sequenciais (101, 102, 103). Desse modo, fica mais fácil adicionar uma nova regra sem precisar renumerar as regras existentes.
Se você estiver usando a API do Amazon EC2 ou uma ferramenta de linha de comando, não será possível modificar regras. Só é possível adicionar e excluir regras. Se você estiver usando o console da Amazon VPC, poderá modificar as entradas das regras existentes. O console remove a regra existente e adiciona uma nova regra para você. Se você precisar mudar a ordem de uma regra na ACL, precisará adicionar uma nova regra com o novo número e depois excluir a regra original.
**Para adicionar regras a uma ACL de rede usando o console**
1. Abra o console da Amazon VPC, em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Network ACLs**.
1. Selecione a Network ACL.
1. Para adicionar uma regra de entrada, faça o seguinte:
1. Escolha a guia **Regras de entrada**.
1. Na página **Editar regras de entrada**, escolha **Adicionar nova regra**.
1. Insira um número de regra que ainda não esteja em uso, um tipo, protocolo, intervalo de portas, origem e se deseja permitir ou negar o tráfego. Para alguns tipos, preenchemos o protocolo e a porta para você. Se você for solicitado a inserir um intervalo de portas, insira um número de porta ou um intervalo de portas (por exemplo, 49152-65535).
Para usar um protocolo que não está listado, escolha **Protocolo personalizado** para o tipo e, em seguida, selecione o protocolo. Para obter mais informações, consulte [Números de protocolos IANA](http://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml).
1. Escolha **Salvar alterações**.
1. Para adicionar uma regra de saída, faça o seguinte:
1. Escolha a guia **Outbound rules** (Regras de saída).
1. Selecione **Editar regras de saída**, **Adicionar nova regra**.
1. Insira um número de regra que ainda não esteja em uso, um tipo, protocolo, intervalo de portas, origem e se deseja permitir ou negar o tráfego. Para alguns tipos, preenchemos o protocolo e a porta para você. Se você for solicitado a inserir um intervalo de portas, insira um número de porta ou um intervalo de portas (por exemplo, 49152-65535).
Para usar um protocolo que não está listado, escolha **Protocolo personalizado** para o tipo e, em seguida, selecione o protocolo. Para obter mais informações, consulte [Números de protocolos IANA](http://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml).
1. Escolha **Salvar alterações**.
**Para adicionar uma regra a uma ACL de rede usando a linha de comando**
+ [create-network-acl-entry](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-network-acl-entry.html) (AWS CLI)
+ [New-EC2NetworkAclEntry](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2NetworkAclEntry.html) (AWS Tools for Windows PowerShell)
**Para substituir uma regra em uma ACL de rede usando a linha de comando**
+ [replace-network-acl-entry](https://docs.aws.amazon.com/cli/latest/reference/ec2/replace-network-acl-entry.html) (AWS CLI)
+ [Set-EC2NetworkAclEntry](https://docs.aws.amazon.com/powershell/latest/reference/items/Set-EC2NetworkAclEntry.html) (AWS Tools for Windows PowerShell)
**Para excluir uma regra de uma ACL de rede usando a linha de comando**
+ [delete-network-acl-entry](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-network-acl-entry.html) (AWS CLI)
+ [Remove-EC2NetworkAclEntry](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2NetworkAclEntry.html) (AWS Tools for Windows PowerShell)
## Etapa 3: Associar uma sub-rede a uma ACL de rede
Para aplicar as regras de uma ACL de rede a uma sub-rede específica, você deve associar a sub-rede a uma ACL de rede. É possível associar uma ACL de rede a várias sub-redes. No entanto, uma sub-rede pode ser associada a apenas uma ACL de rede. Por padrão, as sub-redes não associadas a uma ACL específica são associadas à ACL de rede padrão.
**Para associar uma sub-rede a uma ACL de rede**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Network ACLs** e depois selecione a Network ACL.
1. No painel de detalhes, na guia **Subnet Associations**, escolha **Edit**. Marque a caixa de seleção **Associar** para a sub-rede associada à ACL de rede e escolha **Salvar**.
## (Opcional) Gerenciar ACLs de rede usando o Firewall Manager
O AWS Firewall Manager simplifica as tarefas de administração e manutenção de ACLs de rede entre várias contas e sub-redes. Você pode usar o Firewall Manager para monitorar contas e sub-redes da sua organização e aplicar automaticamente as configurações de ACL de rede que definiu. O Firewall Manager é especialmente útil quando você deseja proteger toda a organização ou quando adiciona frequentemente, de uma conta de administrador central, novos recursos que deseja proteger automaticamente.
Com uma política de ACL de rede do Firewall Manager, usando uma única conta de administrador, você pode configurar, monitorar e gerenciar os conjuntos mínimos de regras que deseja definir nas ACLs de rede usadas em toda a sua organização. Você especifica quais contas e sub-redes da organização estão no escopo da política do Firewall Manager. O Firewall Manager relata o status de conformidade das ACLs de rede para as sub-redes dentro do escopo, e o Firewall Manager pode ser configurado para automatizar a correção de ACLs de rede fora de conformidade.
Para obter mais informações, consulte os seguintes recursos no *Guia do desenvolvedor do AWS Firewall Manager*:
+ [AWS Firewall Manager Pré-requisitos do](https://docs.aws.amazon.com/waf/latest/developerguide/fms-prereq.html)
+ [Configurar as políticas de ACL de rede do AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started-fms-network-acl.html)
+ [Como usar políticas de ACL de rede com o Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/network-acl-policies.html)
# Gerenciar associações de ACL de rede para sua VPC
Cada sub-rede é associada a uma ACL de rede. Quando você cria uma sub-rede pela primeira vez, ela é associada à ACL de rede padrão para a VPC. Você pode criar uma ACL de rede personalizada e associá-la a uma ou mais sub-redes, substituindo a associação de ACL de rede anterior.
**Topics**
+ [Descrever suas associações de ACL de rede](#describe-network-acl-association)
+ [Alterar as sub-redes associadas a uma ACL de rede](#DisassociateNetworkACL)
+ [Alterar a ACL de rede associada a uma sub-rede](#ChangeNetworkACL)
## Descrever suas associações de ACL de rede
É possível descrever a ACL de rede associada a uma sub-rede e também descrever quais sub-redes estão associadas a uma ACL de rede.
**Para descrever a ACL de rede associada a uma sub-rede usando o console**
1. Abra o console da Amazon VPC, em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Sub-redes**.
1. Selecione a sub-rede.
1. Selecione a guia **ACL de rede**.
**Para descrever a ACL de rede associada a uma sub-rede usando a AWS CLI**
Use o comando [describe-network-acls](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-network-acls.html) a seguir para listar a ACL de rede associada à sub-rede especificada.
```
aws ec2 describe-network-acls --filters Name=association.subnet-id,Values=subnet-0d2d1b81e0bc9c6d4 --query NetworkAcls[*].NetworkAclId
```
O seguinte é um exemplo de saída.
```
[
"acl-03701d1f82d8c3fd6"
]
```
**Para descrever as sub-redes associadas a uma ACL de rede usando o console**
1. Abra o console da Amazon VPC, em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Network ACLs**.
1. Selecione a Network ACL.
1. Selecione a guia **Associações de sub-rede**.
**Para descrever as sub-redes associadas a uma ACL de rede usando o AWS CLI**
Use o comando [describe-network-acls](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-network-acls.html) a seguir para listar as sub-redes associadas à ACL de rede especificada.
```
aws ec2 describe-network-acls --network-acl-ids acl-060415a18fcc9afde --query NetworkAcls[*].Associations[].SubnetId
```
O seguinte é um exemplo de saída.
```
[
"subnet-0d2d1b81e0bc9c6d4",
"subnet-0e990c67809773b19",
"subnet-0eb17d85f5dfd33b1",
"subnet-0e01d500780bb7468"
]
```
## Alterar as sub-redes associadas a uma ACL de rede
É possível desassociar uma ACL de rede personalizada de uma sub-rede. Após você desassociar uma sub-rede de uma ACL de rede personalizada, nós a associamos automaticamente à ACL de rede padrão para a VPC. As alterações entrarão em vigor após um curto período.
**Para alterar as sub-redes associadas a uma ACL de rede**
1. Abra o console da Amazon VPC, em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Network ACLs**.
1. Selecione a Network ACL.
1. Escolha **Ações**, **Editar associações de sub-redes**.
1. Remova a sub-rede de **Sub-redes selecionadas**.
1. Escolha **Salvar alterações**.
## Alterar a ACL de rede associada a uma sub-rede
Você pode mudar a ACL de rede que está associada a uma sub-rede. Por exemplo, quando você cria uma sub-rede, ela é inicialmente associada à ACL de rede padrão da VPC. Se você criar uma ACL de rede personalizada, aplique as regras da ACL de rede associando a ACL de rede a uma ou mais sub-redes.
Depois de alterar a ACL de rede de uma sub-rede, as alterações entrarão em vigor após um curto período.
**Para alterar a ACL de rede associada a uma sub-rede**
1. Abra o console da Amazon VPC, em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Sub-redes**.
1. Selecione a sub-rede.
1. Escolha **Ações**, **Editar associação de ACL de rede**.
1. Em **ID da ACL de rede**, selecione a ACL de rede a ser associada à sub-rede e revise as regras de entrada e saída da ACL de rede selecionada.
1. Escolha **Salvar**.
**Para substituir uma associação de ACL de rede usando a linha de comando**
+ [replace-network-acl-association](https://docs.aws.amazon.com/cli/latest/reference/ec2/replace-network-acl-association.html) (AWS CLI)
+ [Set-EC2NetworkAclAssociation](https://docs.aws.amazon.com/powershell/latest/reference/items/Set-EC2NetworkAclAssociation.html) (AWS Tools for Windows PowerShell)
# Excluir uma ACL de rede para sua VPC
Quando não precisar mais de uma ACL de rede, você poderá excluí-la. Não é possível excluir uma ACL de rede quando há sub-redes associadas a ela. Não é possível excluir a ACL de rede padrão.
**Para remover associações de sub-rede de uma ACL de rede usando o console**
1. Abra o console da Amazon VPC, em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Network ACLs**. A coluna **Associadas a** indica o número de sub-redes associadas a cada ACL de rede. Essa coluna será `-` se não houver sub-redes associadas.
1. Selecione a Network ACL.
1. Escolha **Ações**, **Editar associações de sub-redes**.
1. Remova as associações de sub-rede.
1. Escolha **Salvar alterações**.
**Para descrever suas ACLs de rede, incluindo associações, usando a linha de comando**
+ [describe-network-acls](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-network-acls.html) (AWS CLI)
+ [Get-EC2NetworkAcl](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2NetworkAcl.html) (AWS Tools for Windows PowerShell)
**Para substituir uma associação de ACL de rede usando a linha de comando**
+ [replace-network-acl-association](https://docs.aws.amazon.com/cli/latest/reference/ec2/replace-network-acl-association.html) (AWS CLI)
+ [Set-EC2NetworkAclAssociation](https://docs.aws.amazon.com/powershell/latest/reference/items/Set-EC2NetworkAclAssociation.html) (AWS Tools for Windows PowerShell)
**Para excluir uma ACL de rede usando o console**
1. Abra o console da Amazon VPC, em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Network ACLs**.
1. Selecione a Network ACL.
1. Escolha **Ações**, **Excluir ACLs de rede**.
1. Quando a confirmação for solicitada, insira **delete** e selecione **Excluir**.
**Para excluir uma ACL de rede usando a linha de comando**
+ [delete-network-acl](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-network-acl.html) (AWS CLI)
+ [Remove-EC2NetworkAcl](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2NetworkAcl.html) (AWS Tools for Windows PowerShell)
# Exemplo: controlar o acesso a instâncias em uma sub-rede
Neste exemplo, as instâncias na sub-rede podem se comunicar umas com as outras e são acessíveis de um computador remoto confiável para a realização de tarefas administrativas. O computador remoto pode ser um computador em sua rede local, conforme mostrado no diagrama, ou uma instância em uma sub-rede ou VPC diferente. As regras de ACL de rede para a sub-rede e as regras do grupo de segurança para as instâncias permitem o acesso desde o endereço IP do seu computador remoto. Todo o outros tráfego proveniente da Internet ou de outras redes é negado.
![\[Uso de um grupo de segurança e de uma NACL\]](http://docs.aws.amazon.com/pt_br/vpc/latest/userguide/images/nacl-example-diagram.png)
Usar uma ACL de rede oferece a flexibilidade de alterar os grupos de segurança ou as regras de grupos de segurança para suas instâncias, ao mesmo tempo em que conta com a ACL de rede como uma camada de defesa de backup. Por exemplo, se você atualizar acidentalmente o grupo de segurança para permitir acesso SSH de entrada de qualquer lugar, mas a ACL de rede permitir acesso somente a partir do intervalo de endereços IP do computador remoto, então a ACL de rede negará tráfego SSH de entrada de quaisquer outros endereços IP.
## Regras de ACL de rede
A seguir estão exemplos de regras de entrada para a ACL de rede associada à sub-rede. Essas regras se aplicam a todas as instâncias na sub-rede.
| Regra nº | Type | Protocolo | Intervalo de portas | Origem | Permissão/Negação | Comentários |
| --- | --- | --- | --- | --- | --- | --- |
| 100 | SSH | TCP | 22 | 172.31.1.2/32 | PERMISSÃO | Permitir tráfego de entrada do computador remoto. |
| \$1 | Todo o tráfego | Tudo | Tudo | 0.0.0.0/0 | DENY | Negar todos os outros tráfegos de entrada. |
A seguir estão exemplos de regras de saída para a ACL de rede associada à sub-rede. ACLs de rede são stateless. Portanto, é necessário incluir uma regra que permita respostas ao tráfego de entrada.
| Regra nº | Type | Protocolo | Intervalo de portas | Destino | Permissão/Negação | Comentários |
| --- | --- | --- | --- | --- | --- | --- |
| 100 | TCP personalizado | TCP | 1024-65535 | 172.31.1.2/32 | PERMISSÃO | Permite respostas de saída ao computador remoto. |
| \$1 | Todo o tráfego | Tudo | Tudo | 0.0.0.0/0 | NEGAÇÃO | Nega todos os outros tráfegos de saída. |
## Regras de grupos de segurança
A seguir estão exemplos de regras de entrada para o grupo de segurança associado às instâncias. Essas regras se aplicam a todas as instâncias associadas ao grupo de segurança. Um usuário com a chave privada do par de chaves associado às instâncias pode se conectar às instâncias a partir do computador remoto via SSH.
| Tipo de protocolo | Protocolo | Intervalo de portas | Origem | Comentários |
| --- | --- | --- | --- | --- |
| Todo o tráfego | Tudo | Tudo | sg-1234567890abcdef0 | Permitir comunicação entre as instâncias associadas a este grupo de segurança. |
| SSH | TCP | 22 | 172.31.1.2/32 | Permitir acesso SSH de entrada do computador remoto. |
A seguir estão exemplos de regras de saída para o grupo de segurança associado às instâncias. Os grupos de segurança são com estado. Portanto, você não precisa de uma regra que permita respostas ao tráfego de entrada.
| Tipo de protocolo | Protocolo | Intervalo de portas | Destino | Comentários |
| --- | --- | --- | --- | --- |
| Todo o tráfego | Tudo | Tudo | sg-1234567890abcdef0 | Permitir comunicação entre as instâncias associadas a este grupo de segurança. |
## Diferenças entre ACLs de rede e grupos de segurança
A tabela a seguir resume as diferenças básicas entre ACLs de rede e grupos de segurança.
| Característica | Conexão ACL | Grupo de segurança |
| --- | --- | --- |
| Nível de operação | Nível de sub-rede | Nível da instância |
| Escopo | Aplica-se a todas as instâncias nas sub-redes associadas | Aplica-se a todas as instâncias associadas ao grupo de segurança |
| Tipo de regra | Regras de permissão e de negação | Apenas regras de permissão |
| Avaliação da regra | Avalia as regras em ordem crescente até que uma correspondência para o tráfego seja encontrada | Avalia todas as regras antes de decidir se deve permitir o tráfego |
| Tráfego de retorno | Deve ser explicitamente permitido (sem estado) | Permitido automaticamente (com estado) |
# Resiliência na Amazon Virtual Private Cloud
A infraestrutura global da AWS baseia-se em Regiões da AWS e em zonas de disponibilidade. A Regiões da AWS oferece várias zonas de disponibilidade separadas e isoladas fisicamente que são conectadas com baixa latência, altas taxas de throughput e em redes altamente redundantes. Com as zonas de disponibilidade, é possível projetar e operar aplicações e bancos de dados que automaticamente executam o failover entre as zonas sem interrupção. As zonas de disponibilidade são altamente disponíveis, tolerantes a falhas e escaláveis que uma ou várias infraestruturas de data centers tradicionais.
As Regiões da AWS são os principais blocos de construção, cada uma representando uma localização geográfica distinta que abriga várias zonas de disponibilidade separadas e isoladas fisicamente. Essas zonas de disponibilidade são conectadas com baixa latência, throughput elevado e estruturas de rede altamente redundantes, permitindo comunicação e transferência de dados sem interrupções entre elas.
A arquitetura das zonas de disponibilidade é um diferencial importante, pois elas foram projetadas para serem muito mais robustas e tolerantes a falhas do que as configurações tradicionais de um ou vários data centers. Ao distribuir recursos em várias zonas de disponibilidade em uma região, as aplicações e os bancos de dados podem ser projetados para realizar o failover automático entre as zonas sem qualquer interrupção no serviço. Esse nível de redundância e alta disponibilidade é um requisito essencial para workloads de missão crítica e permite que as organizações criem soluções resilientes nativas da nuvem.
Além disso, a escala e o alcance global da infraestrutura da AWS permitem que os clientes implantem suas aplicações mais perto dos usuários finais, reduzindo a latência e melhorando a experiência geral do usuário. A disponibilidade de várias regiões em todo o mundo também possibilita a soberania e a conformidade efetivas dos dados, pois os clientes podem armazenar e processar dados dentro dos limites geográficos exigidos por suas necessidades regulatórias e comerciais específicas.
Ao aproveitar a infraestrutura global da AWS, as organizações podem arquitetar seus ambientes de nuvem para que sejam altamente disponíveis, tolerantes a falhas e escaláveis, munidos de flexibilidade para se adaptar às mudanças nos requisitos e às necessidades comerciais em evolução. Essa base robusta é um facilitador essencial para a implementação bem-sucedida de aplicações e serviços modernos baseados na nuvem.
Para saber mais sobre Regiões da AWS e zonas de disponibilidade, consulte [Infraestrutura global da AWS](https://aws.amazon.com/about-aws/global-infrastructure/).
É possível configurar suas VPCs para atender aos requisitos de resiliência das suas workloads. Para saber mais, consulte:
+ [Entenda os padrões de resiliência e as compensações](https://aws.amazon.com/blogs/architecture/understand-resiliency-patterns-and-trade-offs-to-architect-efficiently-in-the-cloud/) (Blog de arquitetura da AWS)
+ [Planeje sua topologia de rede](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/plan-your-network-topology.html) (AWS Well-Architected Framework)
+ [Opções de conectividade da Amazon Virtual Private Cloud](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/introduction.html) (whitepapers da AWS)
# Validação de conformidade da Amazon Virtual Private Cloud
Para saber se um AWS service (Serviço da AWS) está no escopo de programas de conformidade específicos, consulte [Serviços da AWS no escopo por programa de conformidade](https://aws.amazon.com/compliance/services-in-scope/) e escolha o programa de conformidade no qual tem interesse. Para obter informações gerais, consulte [Programas de Conformidade da AWS](https://aws.amazon.com/compliance/programs/).
É possível baixar relatórios de auditoria de terceiros usando o AWS Artifact. Para saber mais, consulte [Baixar relatórios no AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).
Sua responsabilidade de conformidade ao usar o Serviços da AWS é determinada pela confidencialidade dos seus dados, pelos objetivos de conformidade da sua empresa e pelos regulamentos e leis aplicáveis. Para ter mais informações sobre sua responsabilidade pela conformidade ao usar Serviços da AWS, consulte a [Documentação de segurança da AWS](https://docs.aws.amazon.com/security/).
# Bloquear o acesso público a VPCs e sub-redes
Bloquear o Acesso Público (BPA) da VCP é um atributo de segurança centralizado que confere a você autoridade para impedir o acesso público pela Internet aos recursos da VPC em toda a conta da AWS, garantindo conformidade com os requisitos de segurança e flexibilidade para permitir determinadas exceções e recursos de auditoria.
O atributo BPA da VPC tem os seguintes modos:
+ **Bidirecional**: todo o tráfego de e para gateways da Internet e gateways da Internet somente de saída nesta região (exceto VPCs e sub-redes excluídas) é bloqueado.
+ **Somente de entrada**: todo o tráfego de Internet para as VPCs dessa região (exceto as VPCs ou sub-redes excluídas) é bloqueado. Apenas o tráfego de e para gateways NAT e gateways da Internet somente de saída é permitido porque esses gateways só permitem o estabelecimento de conexões de saída.
É possível também pode criar "exclusões" desse atributo para tráfego que você não queira bloquear. Uma exclusão é um modo que pode ser aplicado a uma única VPC ou sub-rede que a isenta do modo de BPA da VPC da conta e permitirá acesso bidirecional ou somente de saída.
As exclusões podem ter um dos seguintes modos:
+ **Bidirecional**: todo o tráfego de Internet para ou das VPCs e sub-redes excluídas é permitido.
+ **Somente de saída**: o tráfego de Internet de saída das VPCs e sub-redes excluídas é permitido. O tráfego de Internet de entrada para as VPCs e sub-redes excluídas é bloqueado. Isso só se aplica quando o BPA da VPC está definido como bidirecional.
**Topics**
+ [Conceitos básicos do BPA da VPC](security-vpc-bpa-basics.md)
+ [Avaliar o impacto e monitorar o BPA da VPC](security-vpc-bpa-assess-impact-main.md)
+ [Exemplo avançado](security-vpc-bpa-example.md)
# Conceitos básicos do BPA da VPC
Esta seção aborda detalhes importantes sobre o BPA da VPC, incluindo quais são os serviços compatíveis e como você pode trabalhar com ele.
**Topics**
+ [Disponibilidade regional](#security-vpc-bpa-reg-avail)
+ [Impacto e compatibilidade dos serviços da AWS](#security-vpc-bpa-service-support)
+ [Limitações do BPA da VPC](#security-vpc-bpa-limits)
+ [Controle do acesso ao BPA da VPC com uma política do IAM](#security-vpc-bpa-iam-example)
+ [Habilitar o modo bidirecional do BPA da VPC para sua conta](#security-vpc-bpa-enable-bidir)
+ [Alterar o modo do BPA da VPC para somente de entrada](#security-vpc-bpa-ingress-only)
+ [Criar e excluir exclusões](#security-vpc-bpa-exclusions)
+ [Habilite o BPA da VPC no nível da organização](#security-vpc-bpa-exclusions-orgs)
## Disponibilidade regional
O BPA da VPC está disponível em todas as [regiões comerciais da AWS](https://aws.amazon.com//about-aws/global-infrastructure/regions_az/), inclusive GovCloud e China.
Neste guia, você também encontrará informações sobre como usar o Analisador de Acesso à Rede e o Analisador de Acessibilidade com o BPA da VPC. Observe que o Analisador de Acesso à Rede e o Analisador de Acessibilidade não estão disponíveis em todas as regiões comerciais. Para obter informações sobre a disponibilidade regional do Analisador de Acesso à Rede e do Analisador de Acessibilidade, consulte [Limitations](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/how-network-access-analyzer-works.html#analyzer-limitations) no *Network Access Analyzer Guide* e [Considerations](https://docs.aws.amazon.com/vpc/latest/reachability/how-reachability-analyzer-works.html#considerations) no *Reachability Analyzer Guide*.
## Impacto e compatibilidade dos serviços da AWS
Os seguintes recursos e serviços são compatíveis com o BPA da VPC e o tráfego para esses serviços e recursos é afetado pelo BPA da VPC:
+ **Gateway da Internet**: todo o tráfego de entrada e saída é bloqueado.
+ **Gateway da Internet somente de saída**: todo o tráfego de saída é bloqueado. Os gateways da Internet somente de saída não permitem tráfego de entrada.
+ **Gateway Load Balancer (GWLB)**: todo o tráfego de entrada e saída será bloqueado mesmo que a sub-rede contendo endpoints de GWLB seja excluída.
+ **Gateway NAT**: todo o tráfego de entrada e saída é bloqueado. Os gateways NAT exigem um gateway da Internet para conectividade com a Internet.
+ **Network Load Balancer voltado para a Internet**: todo o tráfego de entrada e saída é bloqueado. Os Network Load Balancers de rede voltados para a Internet exigem um gateway da Internet para conectividade com a Internet.
+ **Application Load Balancer voltado para a Internet**: todo o tráfego de entrada e saída é bloqueado. Os Application Load Balancers voltados para a Internet exigem um gateway da Internet para conectividade com a Internet.
+ **Amazon CloudFront VPC Origins**: o tráfego de entrada e de saída é totalmente bloqueado.
+ **Direct Connect**: todo o tráfego de entrada e saída que usa interfaces virtuais públicas (endereços IPv4 públicos ou endereços IPv6 unicast globais) é bloqueado. Esse tráfego usa o gateway da Internet (ou gateway da Internet somente de saída) para conectividade.
+ **AWS Global Accelerator**: o tráfego de entrada para as VPCs é bloqueado, independentemente de o destino estar ou não acessível pela Internet.
+ **AWS Network Firewall**: todo o tráfego de entrada e saída será bloqueado mesmo que a sub-rede contendo endpoints de firewall seja excluída.
+ **Gateways da operadora do AWS Wavelength**: o tráfego de entrada e de saída é totalmente bloqueado.
Tráfego relacionado com conectividade privada, como o tráfego dos seguintes serviços e recursos, não é bloqueado nem afetado pelo BPA da VPC:
+ AWS Client VPN
+ AWS CloudWAN
+ Gateway local do AWS Outposts
+ AWS Site-to-Site VPN
+ Transit gateway
+ Acesso Verificado pela AWS
**Importante**
Se você estiver roteando tráfego de entrada e saída por meio de um dispositivo (como uma ferramenta de monitoramento ou segurança de terceiros) executado em uma instância do EC2 em uma sub-rede, ao usar o BPA da VPC, essa sub-rede precisará ser uma exclusão para que o tráfego entre e saia dela. As demais sub-redes que enviam tráfego para a sub-rede do dispositivo, e não para o gateway da Internet, não precisam ser adicionadas como exclusões.
O tráfego enviado de forma privada e proveniente dos recursos na sua VPC para outros serviços em execução na mesma VPC, como o Resolvedor de Rota 53, é permitido mesmo quando o BPA da VPC está ativado, pois não passa por um gateway da Internet na sua VPC. É possível que esses serviços façam solicitações a recursos fora da VPC em seu nome, por exemplo, para resolver uma consulta ao DNS, e podem expor informações sobre as atividades dos recursos da VPC, se isso não for mitigado por outros controles de segurança.
## Limitações do BPA da VPC
O modo somente de entrada do BPA da VPC não é compatível com zonas locais (LZs) onde gateways NAT e gateways da Internet somente de saída não são permitidos.
## Controle do acesso ao BPA da VPC com uma política do IAM
Para obter exemplos de políticas do IAM que permitem/negam acesso ao atributo BPA da VPC, consulte [Bloquear o acesso público a VPCs e sub-redes](vpc-policy-examples.md#vpc-bpa-example-iam).
## Habilitar o modo bidirecional do BPA da VPC para sua conta
O modo bidirecional do BPA da VPC bloqueia todo o tráfego de e para os gateways da Internet e os gateways da Internet somente de saída nessa região (exceto em VPCs e sub-redes excluídas). Para obter mais informações sobre exclusões, consulte [Criar e excluir exclusões](#security-vpc-bpa-exclusions).
**Importante**
É extremamente recomendável analisar cuidadosamente as workloads que exigem acesso à Internet antes de habilitar o BPA da VPC em contas de produção.
**nota**
Para habilitar o BPA da VPC nas VPCs e sub-redes da sua conta, você deve ser o proprietário das VPCs e das sub-redes.
Se você estiver compartilhando sub-redes da VPC com outras contas, o modo do BPA da VPC imposto pelo proprietário da sub-rede também se aplicará ao tráfego de participantes, mas os participantes não poderão controlar as configurações do BPA da VPC que afetam a sub-rede compartilhada.
------
#### [ Console de gerenciamento da AWS ]
1. Abra o console da Amazon VPC, em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação esquerdo, escolha **Configurações**.
1. Escolha **Editar configurações de acesso público**.
1. Escolha **Ativar bloquear acesso público** e **Bidirecional** e depois escolha **Salvar alterações**.
1. Aguarde até que **Status** mude para **Ativado**. Talvez demore alguns minutos para as configurações do BPA da VPC terem efeito e o status ser atualizado.
O modo bidirecional do BPA da VPC agora está ativado.
------
#### [ AWS CLI ]
1. Ativar o BPA da VPC:
```
aws ec2 --region us-east-2 modify-vpc-block-public-access-options --internet-gateway-block-mode block-bidirectional
```
Talvez demore alguns minutos para as configurações do BPA da VPC terem efeito e o status ser atualizado.
1. Visualize o status do BPA da VPC:
```
aws ec2 --region us-east-2 describe-vpc-block-public-access-options
```
------
## Alterar o modo do BPA da VPC para somente de entrada
O modo somente de entrada do BPA da VPC bloqueia todo o tráfego de Internet para as VPCs dessa região (exceto para VPCs ou sub-redes excluídas). Apenas o tráfego de e para gateways NAT e gateways da Internet somente de saída é permitido porque esses gateways só permitem o estabelecimento de conexões de saída.
------
#### [ Console de gerenciamento da AWS ]
1. Abra o console da Amazon VPC, em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação esquerdo, escolha **Configurações**.
1. Escolha **Editar configurações de acesso público**.
1. Altere a direção como **Somente entrada**.
1. Salve as alterações e aguarde a atualização do status. Talvez demore alguns minutos para as configurações do BPA da VPC terem efeito e o status ser atualizado.
------
#### [ AWS CLI ]
1. Modifique a direção do bloqueio do BPA da VPC:
```
aws ec2 --region us-east-2 modify-vpc-block-public-access-options --internet-gateway-block-mode block-ingress
```
Talvez demore alguns minutos para as configurações do BPA da VPC terem efeito e o status ser atualizado.
1. Visualize o status do BPA da VPC:
```
aws ec2 --region us-east-2 describe-vpc-block-public-access-options
```
------
## Criar e excluir exclusões
A exclusão do BPA da VPC é um modo que pode ser aplicado a uma única VPC ou sub-rede que a isenta do modo de BPA da VPC da conta e permite acesso bidirecional ou somente de saída. É possível criar exclusões do BPA da VPC para VPCs e sub-redes mesmo quando o BPA da VPC não está habilitado na conta para garantir que não haja interrupção do tráfego para as exclusões quando o BPA da VPC estiver ativado. Se uma VPC for excluída, essa exclusão será automaticamente aplicada a todas as suas sub-redes.
Você pode criar até 50 exclusões. Para obter informações sobre solicitação de aumento de limite, consulte *VPC BPA exclusions per account* em [Cotas da Amazon VPC](amazon-vpc-limits.md).
------
#### [ Console de gerenciamento da AWS ]
1. Abra o console da Amazon VPC, em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação esquerdo, escolha **Configurações**.
1. Acesse a guia **Bloquear acesso público** e, em **Exclusões**, realize uma das seguintes ações:
+ Para excluir uma exclusão, selecione-a e, em seguida, escolha **Ações** > **Excluir exclusões**.
+ Para criar uma exclusão, selecione **Criar exclusões** e prossiga com as próximas etapas.
1. Escolha uma direção para o bloqueio:
+ **Bidirecional**: permite todo o tráfego de Internet de e para as VPCs e sub-redes excluídas.
+ **Somente de saída**: permite o tráfego de Internet de saída das VPC e sub-redes excluídas. Bloqueia o tráfego de Internet de entrada para as VPCs e sub-redes excluídas. Essa configuração se aplica quando o BPA da VPC é definido como **Bidirecional**.
1. Escolha uma VPC ou uma sub-rede.
1. Escolha **Criar exclusões.**
1. Aguarde até que o status de **Exclusão** mude para **Ativo**. Pode ser necessário atualizar a tabela de exclusão para ver a alteração.
A exclusão foi criada.
------
#### [ AWS CLI ]
1. Modifique a direção de permissão da exclusão:
```
aws ec2 --region us-east-2 create-vpc-block-public-access-exclusion --subnet-id subnet-id --internet-gateway-exclusion-mode allow-bidirectional
```
1. Pode levar algum tempo para o status da exclusão ser atualizado. Para visualizar o status da exclusão:
```
aws ec2 --region us-east-2 describe-vpc-block-public-access-exclusions --exclusion-ids exclusion-id
```
------
## Habilite o BPA da VPC no nível da organização
Se você estiver usando o AWS Organizations para gerenciar contas na sua organização, poderá usar uma [política declarativa do AWS Organizations](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_declarative.html) para aplicar o BPA da VPC nas contas da organização. Para obter mais informações sobre a política declarativa do BPA da VPC, consulte [Supported declarative policies](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_declarative_syntax.html#declarative-policy-vpc-block-public-access) no *Guia do usuário do AWS Organizations*.
**nota**
É possível usar a política declarativa do BPA da VPC para configurar se as exclusões são permitidas, mas não é possível criar exclusões com a política. Para criar exclusões, é necessário fazê-lo na conta proprietária da VPC. Para obter mais informações sobre como criar exclusões do BPA da VPC, consulte [Criar e excluir exclusões](#security-vpc-bpa-exclusions).
Caso a política declarativa do BPA da VPC esteja habilitada, nas configurações de **bloqueio de acesso público**, será exibido **Gerenciado por política declarativa** e você não poderá modificar as configurações do BPA da VPC no nível da conta.
# Avaliar o impacto e monitorar o BPA da VPC
Esta seção contém informações sobre como avaliar o impacto do BPA da VPC antes de ativá-lo e como monitorar se o tráfego está sendo bloqueado depois de ativá-lo.
**Topics**
+ [Avaliar o impacto do BPA da VPC usando o Analisador de Acesso à Rede](#security-vpc-bpa-assess-impact)
+ [Monitorar o impacto do BPA da VPC com logs de fluxo](#security-vpc-bpa-fl)
+ [Rastrear a remoção de exclusões com o CloudTrail](#security-vpc-bpa-cloudtrail)
+ [Verificar se a conectividade é bloqueada com o Analisador de Acessibilidade](#security-vpc-bpa-verify-RA)
## Avaliar o impacto do BPA da VPC usando o Analisador de Acesso à Rede
Nesta seção, você usará o Analisador de Acesso à Rede para visualizar os recursos da sua conta que usam um gateway da Internet *antes* de habilitar o BPA da VPC e bloquear o acesso. Use essa análise para entender o impacto de ativar o BPA da VPC em sua conta e de bloquear o tráfego.
**nota**
O Analisador de Acesso à Rede não é compatível com IPv6; portanto, você não poderá usá-lo para visualizar o impacto potencial do BPA da VPC no tráfego IPv6 de saída do gateway da Internet somente de saída.
As análises realizadas com o Analisador de Acesso à Rede são cobradas. Para obter mais informações, consulte [Preços](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-network-access-analyzer.html#pricing) no *Guia do Analisador de Acesso à Rede*.
Para obter informações sobre a disponibilidade regional do Analisador de Acesso à Rede, consulte [Limitations](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/how-network-access-analyzer-works.html#analyzer-limitations) no *Network Access Analyzer Guide*.
------
#### [ Console de gerenciamento da AWS ]
1. Abra o console do AWS Network Insights em [https://console.aws.amazon.com/networkinsights/](https://console.aws.amazon.com/networkinsights/).
1. Escolha **Analisador de Acesso à Rede**.
1. Escolha **Criar escopo de acesso à rede**.
1. Escolha **Avaliar o impacto do Bloqueio de Acesso Público da VPC** e clique em **Próximo**.
1. O modelo já está configurado para analisar o tráfego de e para os gateways da Internet da sua conta. Você pode visualizar isso em **Origem** e **Destino**.
1. Escolha **Próximo**.
1. Escolha **Criar escopo de acesso à rede**.
1. Escolha o escopo que você acabou de criar e escolha **Analisar**.
1. Aguarde a conclusão da análise.
1. Visualizar as descobertas da análise. Cada linha em **Descobertas** mostra um caminho de rede que um pacote pode percorrer em uma rede de ou para um gateway da Internet na sua conta. Nesse caso, se você ativar o BPA da VPC e nenhuma das VPCs e/ou sub-redes que aparecerem nessas descobertas estiverem configuradas como exclusões do BPA da VPC, o tráfego para essas VPCs e sub-redes será restringido.
1. Analise cada descoberta para entender o impacto do BPA da VPC nos recursos das VPCs.
A análise de impacto foi concluída.
------
#### [ AWS CLI ]
1. Crie um escopo de acesso à rede:
```
aws ec2 create-network-insights-access-scope --region us-east-2 --match-paths "Source={ResourceStatement={ResourceTypes=["AWS::EC2::InternetGateway"]}}" "Destination={ResourceStatement={ResourceTypes=["AWS::EC2::InternetGateway"]}}"
```
1. Inicie a análise do escopo:
```
aws ec2 start-network-insights-access-scope-analysis --region us-east-2 --network-insights-access-scope-id nis-id
```
1. Obtenha os resultados da análise:
```
aws ec2 get-network-insights-access-scope-analysis-findings --region us-east-2 --network-insights-access-scope-analysis-id nisa-0aa383a1938f94cd1 --max-items 1
```
Os resultados mostram o tráfego de e para os gateways da Internet em todas as VPCs da sua conta. Os resultados são organizados como "descobertas". "FindingId": "AnalysisFinding-1" indica que essa é a primeira descoberta da análise. Observe que há várias descobertas e cada uma indica um fluxo de tráfego que será afetado pela ativação do BPA da VPC. A primeira descoberta mostrará que o tráfego começou em um gateway da Internet ("SequenceNumber": 1), passou para uma NACL ("SequenceNumber": 2), para um grupo de segurança ("SequenceNumber": 3) e terminou em uma instância ("SequenceNumber": 4).
1. Analise as descobertas para entender o impacto do BPA da VPC nos recursos das VPCs.
A análise de impacto foi concluída.
------
## Monitorar o impacto do BPA da VPC com logs de fluxo
Os logs de fluxo da VPC são um atributo que permite capturar informações sobre o tráfego de e para as interfaces de rede elásticas da VPC. Você pode usar esse atributo para monitorar o tráfego que é impedido pelo BPA da VPC de chegar às interfaces de rede da sua instância.
Crie um log de fluxo para a VPC usando as etapas em [Trabalhar com logs de fluxo](working-with-flow-logs.md).
Quando você criar o log de fluxo, certifique-se de usar um formato personalizado que inclua o campo `reject-reason`.
Quando visualizar os logs de fluxo, se o tráfego para uma ENI for rejeitado devido ao BPA da VPC, você verá um `reject-reason` de `BPA` na entrada do log de fluxo.
Além das [limitações](flow-logs-limitations.md) padrão dos logs de fluxo da VPC, observe as seguintes limitações específicas do BPA da VPC:
+ Os logs de fluxo para o BPA da VPC não incluem os [registros ignorados](flow-logs-records-examples.md#flow-log-example-no-data).
+ Os logs de fluxo para o BPA da VPC não incluem [`bytes`](flow-log-records.md#flow-logs-fields) mesmo que você inclua o campo `bytes` no log de fluxo.
## Rastrear a remoção de exclusões com o CloudTrail
Esta seção explica como você pode usar o AWS CloudTrail para monitorar e rastrear a remoção de exclusões do BPA da VPC.
------
#### [ Console de gerenciamento da AWS ]
Você pode visualizar todas as exclusões removidas no **histórico de eventos do CloudTrail** consultando **Tipo de recurso** > `AWS::EC2::VPCBlockPublicAccessExclusion` > no console do AWS CloudTrail em [https://console.aws.amazon.com/cloudtrailv2/](https://console.aws.amazon.com/cloudtrailv2/).
------
#### [ AWS CLI ]
Você pode usar o comando `lookup-events` para visualizar os eventos relacionados com remoção de exclusões:
```
aws cloudtrail lookup-events --lookup-attributes AttributeKey=ResourceType,AttributeValue=AWS::EC2::VPCBlockPublicAccessExclusion
```
------
## Verificar se a conectividade é bloqueada com o Analisador de Acessibilidade
O [Analisador de Acessibilidade da VPC](https://docs.aws.amazon.com/vpc/latest/reachability/what-is-reachability-analyzer.html) pode ser usado para avaliar se determinados caminhos de rede podem ou não ser acessados de acordo com sua configuração de rede, incluindo as configurações do BPA da VPC.
Para obter informações sobre a disponibilidade regional do Analisador de Acessibilidade, consulte [Considerations](https://docs.aws.amazon.com/vpc/latest/reachability/how-reachability-analyzer-works.html#considerations) no *Reachability Analyzer Guide*.
------
#### [ Console de gerenciamento da AWS ]
1. Abra o console do AWS Network Insights em [https://console.aws.amazon.com/networkinsights/home#ReachabilityAnalyzer](https://console.aws.amazon.com/networkinsights/home#ReachabilityAnalyzer).
1. Clique em **Criar e analisar caminho**.
1. Em **Tipo de origem**, escolha **Gateways da Internet** e selecione o gateway da Internet do qual você deseja bloquear tráfego na lista suspensa **Origem**.
1. Em **Tipo de destino**, escolha **Instâncias** e selecione a instância para a qual você deseja bloquear tráfego no menu suspenso **Destino**.
1. Clique em **Criar e analisar caminho**.
1. Aguarde a conclusão da análise. Pode levar alguns minutos.
1. Após a conclusão, você verá que o **Status de acessibilidade** é **Não acessível** e que os **Detalhes do caminho** mostram que `VPC_BLOCK_PUBLIC_ACCESS_ENABLED ` é a causa desse problema de acessibilidade.
------
#### [ AWS CLI ]
1. Crie um caminho de rede usando o ID do gateway da Internet do qual você deseja bloquear tráfego (origem) e o ID da instância para a qual você deseja bloquear tráfego (destino):
```
aws ec2 --region us-east-2 create-network-insights-path --source igw-id --destination instance-id --protocol TCP
```
1. Inicie uma análise no caminho da rede:
```
aws ec2 --region us-east-2 start-network-insights-analysis --network-insights-path-id nip-id
```
1. Recupere os resultados da análise:
```
aws ec2 --region us-east-2 describe-network-insights-analyses --network-insights-analysis-ids nia-id
```
1. Verifique se `VPC_BLOCK_PUBLIC_ACCESS_ENABLED` é o `ExplanationCode` para a falta de acessibilidade.
------
# Exemplo avançado
Esta seção contém um exemplo avançado que ajudará a entender como o atributo Bloquear o Acesso Público da VPC funciona em diferentes cenários. Todo cenário se baseia no cenário anterior, por isso é importante concluir as etapas em ordem.
**Importante**
Não teste esse exemplo em uma conta de produção. É extremamente recomendável analisar cuidadosamente as workloads que exigem acesso à Internet antes de habilitar o BPA da VPC em contas de produção.
**nota**
Para entender completamente o atributo BPA da VPC, você precisará de alguns recursos da sua conta. Nesta seção, fornecemos um modelo do CloudFormation que você pode usar para provisionar os recursos necessários para entender totalmente como esse atributo funciona. Há custos associados aos recursos que você provisiona com o modelo CloudFormation e às análises que realiza com o Analisador de Acesso à Rede e o Analisador de Acessibilidade. Se você usar o modelo desta seção, certifique-se de concluir as etapas de limpeza quando terminar com o exemplo.
**Topics**
+ [Implantar modelo do CloudFormation (opcional)](#security-vpc-bpa-example-deploy-cfn)
+ [Visualizar o impacto do BPA da VPC com o Analisador de Acesso à Rede](#vpc-bpa-naa)
+ [Cenário 1: estabelecer conexão com instâncias quando o BPA da VPC não está ativado](#vpc-bpa-scenario-1-connect-scen1)
+ [Cenário 2: ativar o BPA da VPC no modo bidirecional](#vpc-bpa-scenario-1-connect-scen2)
+ [Cenário 3: alterar o modo do BPA da VPC para Somente entrada](#vpc-bpa-scenario-3)
+ [Cenário 4: criar uma exclusão](#vpc-bpa-scenario-4)
+ [Cenário 5: modificar o modo de exclusão](#vpc-bpa-scenario-5)
+ [Cenário 6: modificar o modo do BPA da VPC](#vpc-bpa-scenario-6)
+ [Limpeza](#vpc-bpa-scenario-cleanup)
## Implantar modelo do CloudFormation (opcional)
Para demonstrar como esse atributo funciona, você precisa de uma VPC, sub-redes, instâncias e outros recursos. Para facilitar a realização desta demonstração, fornecemos abaixo um modelo do CloudFormation que você pode usar para iniciar rapidamente os recursos necessários para os cenários desta demonstração. Esta etapa é opcional e talvez você queira apenas visualizar os diagramas nos Cenários desta seção.
**nota**
Há custos associados aos recursos que você cria nesta seção com o modelo do CloudFormation, como o custo do gateway NAT e dos endereços IPv4 públicos. Para evitar custos excessivos, não deixe de realizar as etapas de limpeza para remover todos os recursos criados para este exemplo.
Esse modelo do CloudFormation cria os recursos subjacentes necessários para o BPA da VPC, mas não habilita o recurso de BPA da VPC em si. Os recursos implantados aqui têm como objetivo ajudar você a entender e testar a funcionalidade do BPA da VPC depois que você optar por habilitá-la separadamente.
O modelo cria os seguintes recursos na sua conta:
+ Gateway da Internet somente de saída
+ Gateway da Internet
+ NAT gateway
+ Duas sub-redes públicas
+ Uma sub-rede privada
+ Duas instâncias do EC2 com endereços IPv4 privados e públicos
+ Uma instância do EC2 com um endereço IPv6 e um endereço IPv4 privado
+ Uma instância do EC2 apenas com um endereço IPv4 privado
+ Grupo de segurança com tráfego de entrada SSH e ICMP permitido e TODO o tráfego de saída permitido
+ Log do fluxo da VPC
+ Um endpoint do EC2 Instance Connect na sub-rede B
Copie o modelo abaixo e salve-o em um arquivo .yaml.
```
AWSTemplateFormatVersion: '2010-09-09'
Description: Creates a VPC with public and private subnets, NAT gateway, and EC2 instances for VPC BPA.
Parameters:
InstanceAMI:
Description: ID of the Amazone Machine Image (AMI) to use with the instances launched by this template
Type: AWS::EC2::Image::Id
InstanceType:
Description: EC2 Instance type to use with the instances launched by this template
Type: String
Default: t2.micro
Resources:
# VPC
VPCBPA:
Type: AWS::EC2::VPC
Properties:
CidrBlock: 10.0.0.0/16
EnableDnsHostnames: true
EnableDnsSupport: true
InstanceTenancy: default
Tags:
- Key: Name
Value: VPC BPA
# VPC IPv6 CIDR
VPCBPAIpv6CidrBlock:
Type: AWS::EC2::VPCCidrBlock
Properties:
VpcId: !Ref VPCBPA
AmazonProvidedIpv6CidrBlock: true
# EC2 Key Pair
VPCBPAKeyPair:
Type: AWS::EC2::KeyPair
Properties:
KeyName: vpc-bpa-key
# Internet Gateway
VPCBPAInternetGateway:
Type: AWS::EC2::InternetGateway
Properties:
Tags:
- Key: Name
Value: VPC BPA Internet Gateway
VPCBPAInternetGatewayAttachment:
Type: AWS::EC2::VPCGatewayAttachment
Properties:
VpcId: !Ref VPCBPA
InternetGatewayId: !Ref VPCBPAInternetGateway
# Egress-Only Internet Gateway
VPCBPAEgressOnlyInternetGateway:
Type: AWS::EC2::EgressOnlyInternetGateway
Properties:
VpcId: !Ref VPCBPA
# Subnets
VPCBPAPublicSubnetA:
Type: AWS::EC2::Subnet
Properties:
VpcId: !Ref VPCBPA
CidrBlock: 10.0.1.0/24
MapPublicIpOnLaunch: true
Tags:
- Key: Name
Value: VPC BPA Public Subnet A
VPCBPAPublicSubnetB:
Type: AWS::EC2::Subnet
Properties:
VpcId: !Ref VPCBPA
CidrBlock: 10.0.2.0/24
MapPublicIpOnLaunch: true
Tags:
- Key: Name
Value: VPC BPA Public Subnet B
VPCBPAPrivateSubnetC:
Type: AWS::EC2::Subnet
Properties:
VpcId: !Ref VPCBPA
CidrBlock: 10.0.3.0/24
MapPublicIpOnLaunch: false
Ipv6CidrBlock: !Select [0, !GetAtt VPCBPA.Ipv6CidrBlocks]
AssignIpv6AddressOnCreation: true
Tags:
- Key: Name
Value: VPC BPA Private Subnet C
# NAT Gateway
VPCBPANATGateway:
Type: AWS::EC2::NatGateway
Properties:
AllocationId: !GetAtt VPCBPANATGatewayEIP.AllocationId
SubnetId: !Ref VPCBPAPublicSubnetB
Tags:
- Key: Name
Value: VPC BPA NAT Gateway
VPCBPANATGatewayEIP:
Type: AWS::EC2::EIP
Properties:
Domain: vpc
Tags:
- Key: Name
Value: VPC BPA NAT Gateway EIP
# Route Tables
VPCBPAPublicRouteTable:
Type: AWS::EC2::RouteTable
Properties:
VpcId: !Ref VPCBPA
Tags:
- Key: Name
Value: VPC BPA Public Route Table
VPCBPAPublicRoute:
Type: AWS::EC2::Route
DependsOn: VPCBPAInternetGatewayAttachment
Properties:
RouteTableId: !Ref VPCBPAPublicRouteTable
DestinationCidrBlock: 0.0.0.0/0
GatewayId: !Ref VPCBPAInternetGateway
VPCBPAPublicSubnetARouteTableAssoc:
Type: AWS::EC2::SubnetRouteTableAssociation
Properties:
SubnetId: !Ref VPCBPAPublicSubnetA
RouteTableId: !Ref VPCBPAPublicRouteTable
VPCBPAPublicSubnetBRouteTableAssoc:
Type: AWS::EC2::SubnetRouteTableAssociation
Properties:
SubnetId: !Ref VPCBPAPublicSubnetB
RouteTableId: !Ref VPCBPAPublicRouteTable
VPCBPAPrivateRouteTable:
Type: AWS::EC2::RouteTable
Properties:
VpcId: !Ref VPCBPA
Tags:
- Key: Name
Value: VPC BPA Private Route Table
VPCBPAPrivateRoute:
Type: AWS::EC2::Route
Properties:
RouteTableId: !Ref VPCBPAPrivateRouteTable
DestinationCidrBlock: 0.0.0.0/0
NatGatewayId: !Ref VPCBPANATGateway
VPCBPAPrivateSubnetCRoute:
Type: AWS::EC2::Route
Properties:
RouteTableId: !Ref VPCBPAPrivateRouteTable
DestinationIpv6CidrBlock: ::/0
EgressOnlyInternetGatewayId: !Ref VPCBPAEgressOnlyInternetGateway
VPCBPAPrivateSubnetCRouteTableAssociation:
Type: AWS::EC2::SubnetRouteTableAssociation
Properties:
SubnetId: !Ref VPCBPAPrivateSubnetC
RouteTableId: !Ref VPCBPAPrivateRouteTable
# EC2 Instances Security Group
VPCBPAInstancesSecurityGroup:
Type: AWS::EC2::SecurityGroup
Properties:
GroupName: VPC BPA Instances Security Group
GroupDescription: Allow SSH and ICMP access
SecurityGroupIngress:
- IpProtocol: tcp
FromPort: 22
ToPort: 22
CidrIp: 0.0.0.0/0
- IpProtocol: icmp
FromPort: -1
ToPort: -1
CidrIp: 0.0.0.0/0
VpcId: !Ref VPCBPA
Tags:
- Key: Name
Value: VPC BPA Instances Security Group
# EC2 Instances
VPCBPAInstanceA:
Type: AWS::EC2::Instance
Properties:
ImageId: !Ref InstanceAMI
InstanceType: t2.micro
KeyName: !Ref VPCBPAKeyPair
SubnetId: !Ref VPCBPAPublicSubnetA
SecurityGroupIds:
- !Ref VPCBPAInstancesSecurityGroup
Tags:
- Key: Name
Value: VPC BPA Instance A
VPCBPAInstanceB:
Type: AWS::EC2::Instance
Properties:
ImageId: !Ref InstanceAMI
InstanceType: !Ref InstanceType
KeyName: !Ref VPCBPAKeyPair
SubnetId: !Ref VPCBPAPublicSubnetB
SecurityGroupIds:
- !Ref VPCBPAInstancesSecurityGroup
Tags:
- Key: Name
Value: VPC BPA Instance B
VPCBPAInstanceC:
Type: AWS::EC2::Instance
Properties:
ImageId: !Ref InstanceAMI
InstanceType: !Ref InstanceType
KeyName: !Ref VPCBPAKeyPair
SubnetId: !Ref VPCBPAPrivateSubnetC
SecurityGroupIds:
- !Ref VPCBPAInstancesSecurityGroup
Tags:
- Key: Name
Value: VPC BPA Instance C
VPCBPAInstanceD:
Type: AWS::EC2::Instance
Properties:
ImageId: !Ref InstanceAMI
InstanceType: !Ref InstanceType
KeyName: !Ref VPCBPAKeyPair
NetworkInterfaces:
- DeviceIndex: '0'
GroupSet:
- !Ref VPCBPAInstancesSecurityGroup
SubnetId: !Ref VPCBPAPrivateSubnetC
Ipv6AddressCount: 1
Tags:
- Key: Name
Value: VPC BPA Instance D
# Flow Logs IAM Role
VPCBPAFlowLogRole:
Type: AWS::IAM::Role
Properties:
AssumeRolePolicyDocument:
Version: '2012-10-17'
Statement:
- Effect: Allow
Principal:
Service: vpc-flow-logs.amazonaws.com
Action: 'sts:AssumeRole'
Tags:
- Key: Name
Value: VPC BPA Flow Logs Role
VPCBPAFlowLogPolicy:
Type: AWS::IAM::Policy
Properties:
PolicyName: VPC-BPA-FlowLogsPolicy
PolicyDocument:
Version: '2012-10-17'
Statement:
- Effect: Allow
Action:
- 'logs:CreateLogGroup'
- 'logs:CreateLogStream'
- 'logs:PutLogEvents'
- 'logs:DescribeLogGroups'
- 'logs:DescribeLogStreams'
Resource: '*'
Roles:
- !Ref VPCBPAFlowLogRole
# Flow Logs
VPCBPAFlowLog:
Type: AWS::EC2::FlowLog
Properties:
ResourceId: !Ref VPCBPA
ResourceType: VPC
TrafficType: ALL
LogDestinationType: cloud-watch-logs
LogGroupName: /aws/vpc-flow-logs/VPC-BPA
DeliverLogsPermissionArn: !GetAtt VPCBPAFlowLogRole.Arn
LogFormat: '${version} ${account-id} ${interface-id} ${srcaddr} ${dstaddr} ${srcport} ${dstport} ${protocol} ${packets} ${bytes} ${start} ${end} ${action} ${log-status} ${vpc-id} ${subnet-id} ${instance-id} ${tcp-flags} ${type} ${pkt-srcaddr} ${pkt-dstaddr} ${region} ${az-id} ${sublocation-type} ${sublocation-id} ${pkt-src-aws-service} ${pkt-dst-aws-service} ${flow-direction} ${traffic-path} ${reject-reason}'
Tags:
- Key: Name
Value: VPC BPA Flow Logs
# EC2 Instance Connect Endpoint
VPCBPAEC2InstanceConnectEndpoint:
Type: AWS::EC2::InstanceConnectEndpoint
Properties:
SecurityGroupIds:
- !Ref VPCBPAInstancesSecurityGroup
SubnetId: !Ref VPCBPAPublicSubnetB
Outputs:
VPCBPAVPCId:
Description: A reference to the created VPC
Value: !Ref VPCBPA
Export:
Name: vpc-id
VPCBPAPublicSubnetAId:
Description: The ID of the public subnet A
Value: !Ref VPCBPAPublicSubnetA
VPCBPAPublicSubnetAName:
Description: The name of the public subnet A
Value: VPC BPA Public Subnet A
VPCBPAPublicSubnetBId:
Description: The ID of the public subnet B
Value: !Ref VPCBPAPublicSubnetB
VPCBPAPublicSubnetBName:
Description: The name of the public subnet B
Value: VPC BPA Public Subnet B
VPCBPAPrivateSubnetCId:
Description: The ID of the private subnet C
Value: !Ref VPCBPAPrivateSubnetC
VPCBPAPrivateSubnetCName:
Description: The name of the private subnet C
Value: VPC BPA Private Subnet C
VPCBPAInstanceAId:
Description: The ID of instance A
Value: !Ref VPCBPAInstanceA
VPCBPAInstanceBId:
Description: The ID of instance B
Value: !Ref VPCBPAInstanceB
VPCBPAInstanceCId:
Description: The ID of instance C
Value: !Ref VPCBPAInstanceC
VPCBPAInstanceDId:
Description: The ID of instance D
Value: !Ref VPCBPAInstanceD
```
------
#### [ Console de gerenciamento da AWS ]
1. Abra o console do CloudFormation em [https://console.aws.amazon.com/cloudformation/](https://console.aws.amazon.com/cloudformation/).
1. Escolha **Criar pilha** e carregue o arquivo do modelo .yaml.
1. Siga as etapas para iniciar o modelo. Você precisará inserir um [ID de imagem](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/finding-an-ami.html) e um [tipo de instância](https://aws.amazon.com/ec2/instance-types/) (como t2.micro). Será necessário também permitir que o CloudFormation crie para você um perfil do IAM para a criação do log de fluxo e permissão para fazer login no CloudWatch.
1. Depois de iniciar a pilha, na guia **Eventos**, visualize o andamento e certifique-se de que pilha esteja concluída antes de continuar.
------
#### [ AWS CLI ]
1. Execute o seguinte comando para criar a pilha do CloudFormation:
```
aws cloudformation create-stack --stack-name VPC-BPA-stack --template-body file://sampletemplate.yaml --capabilities CAPABILITY_IAM --region us-east-2
```
Resultado:
```
{
"StackId": "arn:aws:cloudformation:us-east-2:470889052923:stack/VPC-BPA-stack/8a7a2cc0-8001-11ef-b196-06386a84b72f"
}
```
1. Visualize o andamento e certifique-se de que pilha esteja concluída antes de continuar:
```
aws cloudformation describe-stack-events --stack-name VPC-BPA-stack --region us-east-2
```
------
## Visualizar o impacto do BPA da VPC com o Analisador de Acesso à Rede
Nesta seção, você usará o Analisador de Acesso à Rede para visualizar os recursos da sua conta que usam um gateway da Internet. Use essa análise para entender o impacto de ativar o BPA da VPC em sua conta e de bloquear o tráfego.
Para obter informações sobre a disponibilidade regional do Analisador de Acesso à Rede, consulte [Limitations](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/how-network-access-analyzer-works.html#analyzer-limitations) no *Network Access Analyzer Guide*.
------
#### [ Console de gerenciamento da AWS ]
1. Abra o console do AWS Network Insights em [https://console.aws.amazon.com/networkinsights/](https://console.aws.amazon.com/networkinsights/).
1. Escolha **Analisador de Acesso à Rede**.
1. Escolha **Criar escopo de acesso à rede**.
1. Escolha **Avaliar o impacto do Bloqueio de Acesso Público da VPC** e clique em **Próximo**.
1. O modelo já está configurado para analisar o tráfego de e para os gateways da Internet da sua conta. Você pode visualizar isso em **Origem** e **Destino**.
1. Escolha **Próximo**.
1. Escolha **Criar escopo de acesso à rede**.
1. Escolha o escopo que você acabou de criar e escolha **Analisar**.
1. Aguarde a conclusão da análise.
1. Visualizar as descobertas da análise. Cada linha em **Descobertas** mostra um caminho de rede que um pacote pode percorrer em uma rede de ou para um gateway da Internet na sua conta. Nesse caso, se você ativar o BPA da VPC e nenhuma das VPCs e/ou sub-redes que aparecerem nessas descobertas estiverem configuradas como exclusões do BPA da VPC, o tráfego para essas VPCs e sub-redes será restringido.
1. Analise cada descoberta para entender o impacto do BPA da VPC nos recursos das VPCs.
A análise de impacto foi concluída.
------
#### [ AWS CLI ]
1. Crie um escopo de acesso à rede:
```
aws ec2 create-network-insights-access-scope --match-paths "Source={ResourceStatement={ResourceTypes=["AWS::EC2::InternetGateway"]}}" "Destination={ResourceStatement={ResourceTypes=["AWS::EC2::InternetGateway"]}}" --region us-east-2
```
Resultado:
```
{
"NetworkInsightsAccessScope": {
"NetworkInsightsAccessScopeId": "nis-04cad3c4b3a1d5e3e",
"NetworkInsightsAccessScopeArn": "arn:aws:ec2:us-east-2:470889052923:network-insights-access-scope/nis-04cad3c4b3a1d5e3e",
"CreatedDate": "2024-09-30T15:55:53.171000+00:00",
"UpdatedDate": "2024-09-30T15:55:53.171000+00:00"
},
"NetworkInsightsAccessScopeContent": {
"NetworkInsightsAccessScopeId": "nis-04cad3c4b3a1d5e3e",
"MatchPaths": [
{
"Source": {
"ResourceStatement": {
"ResourceTypes": [
"AWS::EC2::InternetGateway"
]
}
}
},
{
"Destination": {
"ResourceStatement": {
"ResourceTypes": [
"AWS::EC2::InternetGateway"
]
}
}
}
]
}
}
```
1. Inicie a análise do escopo:
```
aws ec2 start-network-insights-access-scope-analysis --network-insights-access-scope-id nis-04cad3c4b3a1d5e3e --region us-east-2
```
Resultado:
```
{
"NetworkInsightsAccessScopeAnalysis": {
"NetworkInsightsAccessScopeAnalysisId": "nisa-0aa383a1938f94cd1",
"NetworkInsightsAccessScopeAnalysisArn": "arn:aws:ec2:us-east-2:470889052923:network-insights-access-scope-analysis/nisa-0aa383a1938f94cd",
"NetworkInsightsAccessScopeId": "nis-04cad3c4b3a1d5e3e",
"Status": "running",
"StartDate": "2024-09-30T15:56:59.109000+00:00",
"AnalyzedEniCount": 0
}
}
```
1. Obtenha os resultados da análise:
```
aws ec2 get-network-insights-access-scope-analysis-findings --network-insights-access-scope-analysis-id nisa-0aa383a1938f94cd1 --region us-east-2 --max-items 1
```
Resultado:
```
{
"AnalysisFindings": [
{
"NetworkInsightsAccessScopeAnalysisId": "nisa-0aa383a1938f94cd1",
"NetworkInsightsAccessScopeId": "nis-04cad3c4b3a1d5e3e",
"FindingId": "AnalysisFinding-1",
"FindingComponents": [
{
"SequenceNumber": 1,
"Component": {
"Id": "igw-04a5344b4e30486f1",
"Arn": "arn:aws:ec2:us-east-2:470889052923:internet-gateway/igw-04a5344b4e30486f1",
"Name": "VPC BPA Internet Gateway"
},
"OutboundHeader": {
"DestinationAddresses": [
"10.0.1.85/32"
]
},
"InboundHeader": {
"DestinationAddresses": [
"10.0.1.85/32"
],
"DestinationPortRanges": [
{
"From": 22,
"To": 22
}
],
"Protocol": "6",
"SourceAddresses": [
"0.0.0.0/5",
"100.0.0.0/10",
"96.0.0.0/6"
],
"SourcePortRanges": [
{
"From": 0,
"To": 65535
}
]
},
"Vpc": {
"Id": "vpc-0762547ec48b6888d",
"Arn": "arn:aws:ec2:us-east-2:470889052923:vpc/vpc-0762547ec48b6888d",
"Name": "VPC BPA"
}
},
{
"SequenceNumber": 2,
"AclRule": {
"Cidr": "0.0.0.0/0",
"Egress": false,
"Protocol": "all",
"RuleAction": "allow",
"RuleNumber": 100
},
"Component": {
"Id": "acl-06194fc3a4a03040b",
"Arn": "arn:aws:ec2:us-east-2:470889052923:network-acl/acl-06194fc3a4a03040b"
}
},
{
"SequenceNumber": 3,
"Component": {
"Id": "sg-093dde06415d03924",
"Arn": "arn:aws:ec2:us-east-2:470889052923:security-group/sg-093dde06415d03924",
"Name": "VPC BPA Instances Security Group"
},
"SecurityGroupRule": {
"Cidr": "0.0.0.0/0",
"Direction": "ingress",
"PortRange": {
"From": 22,
"To": 22
},
"Protocol": "tcp"
}
},
{
"SequenceNumber": 4,
"AttachedTo": {
"Id": "i-058db34f9a0997895",
"Arn": "arn:aws:ec2:us-east-2:470889052923:instance/i-058db34f9a0997895",
"Name": "VPC BPA Instance A"
},
"Component": {
"Id": "eni-0fa23f2766f03b286",
"Arn": "arn:aws:ec2:us-east-2:470889052923:network-interface/eni-0fa23f2766f03b286"
},
"InboundHeader": {
"DestinationAddresses": [
"10.0.1.85/32"
],
"DestinationPortRanges": [
{
"From": 22,
"To": 22
}
],
"Protocol": "6",
"SourceAddresses": [
"0.0.0.0/5",
"100.0.0.0/10",
"96.0.0.0/6"
],
"SourcePortRanges": [
{
"From": 0,
"To": 65535
}
]
},
"Subnet": {
"Id": "subnet-035d235a762eeed04",
"Arn": "arn:aws:ec2:us-east-2:470889052923:subnet/subnet-035d235a762eeed04",
"Name": "VPC BPA Public Subnet A"
},
"Vpc": {
"Id": "vpc-0762547ec48b6888d",
"Arn": "arn:aws:ec2:us-east-2:470889052923:vpc/vpc-0762547ec48b6888d",
"Name": "VPC BPA"
}
}
]
}
],
"AnalysisStatus": "succeeded",
"NetworkInsightsAccessScopeAnalysisId": "nisa-0aa383a1938f94cd1",
"NextToken": "eyJOZXh0VG9rZW4iOiBudWxsLCAiYm90b190cnVuY2F0ZV9hbW91bnQiOiAxfQ=="
}
```
Os resultados mostram o tráfego de e para os gateways da Internet em todas as VPCs da sua conta. Os resultados são organizados como "descobertas". "FindingId": "AnalysisFinding-1" indica que essa é a primeira descoberta da análise. Observe que há várias descobertas e cada uma indica um fluxo de tráfego que será afetado pela ativação do BPA da VPC. A primeira descoberta mostrará que o tráfego começou em um gateway da Internet ("SequenceNumber": 1), passou para uma NACL ("SequenceNumber": 2), para um grupo de segurança ("SequenceNumber": 3) e terminou em uma instância ("SequenceNumber": 4).
1. Analise as descobertas para entender o impacto do BPA da VPC nos recursos das VPCs.
A análise de impacto foi concluída.
------
## Cenário 1: estabelecer conexão com instâncias quando o BPA da VPC não está ativado
Nesta seção, as instâncias do EC2 nas sub-redes públicas A e B são acessíveis pela Internet por meio do gateway da Internet, o qual permite tráfego de entrada e saída. As instâncias C e D na sub-rede privada podem iniciar o tráfego de saída por meio do gateway NAT ou do gateway da Internet somente de saída, mas não são diretamente acessíveis via Internet. Essa configuração fornece acesso à Internet a alguns recursos ao mesmo tempo que protege outros. O objetivo dessa configuração é definir uma linha de base e garantir, antes de habilitar o BPA da VPC, que todas as instâncias possam ser acessadas, você se conectará a todas as instâncias e emitirá um ping para um endereço IP público.
Diagrama de uma VPC sem o BPA da VPC ativado:
![\[Diagrama mostrando uma VPC sem o BPA da VPC habilitado.\]](http://docs.aws.amazon.com/pt_br/vpc/latest/userguide/images/vpc-bpa-1.png)
### 1.1 Conectar-se a instâncias
Conclua esta seção para se conectar às suas instâncias com o BPA da VPC desativado para garantir que você possa se conectar sem problemas. Todas as instâncias criadas com o CloudFormation neste exemplo têm nomes como "Instância A do BPA da VPC".
------
#### [ Console de gerenciamento da AWS ]
1. Abra o console do Amazon EC2 em [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Abra os detalhes da instância A.
1. Para se conectar à instância A, use a opção **EC2 Instance Connect** > **Estabelecer conexão usando o endpoint do EC2 Instance Connect**.
1. Selecione **Conectar**. Depois de se conectar com sucesso à instância, emita um ping para www.amazon.com para verificar se você pode enviar solicitações de saída à Internet.
1. Use o mesmo método que você utilizou para estabelecer conexão com a instância A para acessar as instâncias B, C e D. De cada uma delas, execute um ping em www.amazon.com para confirmar se é possível enviar solicitações de saída para a Internet.
------
#### [ AWS CLI ]
1. Emita um ping para a instância A usando o endereço IPv4 público para verificar se há tráfego de entrada:
```
ping 18.225.8.244
```
Resultado:
```
Pinging 18.225.8.244 with 32 bytes of data:
Reply from 18.225.8.244: bytes=32 time=51ms TTL=110
Reply from 18.225.8.244: bytes=32 time=61ms TTL=110
```
Observe que o ping foi bem-sucedido e o tráfego não está bloqueado.
1. Use o endereço IPv4 privado para se conectar e verificar se há tráfego de saída:
```
aws ec2-instance-connect ssh --instance-id i-058db34f9a0997895 --region us-east-2 --connection-type eice
```
Resultado:
```
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, #_ ~_ ####_ Amazon Linux 2023
~~ _#####\ ~~ ###|
~~ #/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~._. _/
/ /
/m/'
Last login: Fri Sep 27 18:27:57 2024 from 3.16.146.5
[ec2-user@ip-10-0-1-85 ~]$ ping www.amazon.com
PING www-amazon-com.customer.fastly.net (18.65.233.187) 56(84) bytes of data.
64 bytes from 18.65.233.187 (18.65.233.187): icmp_seq=15 ttl=58 time=2.06 ms
64 bytes from 18.65.233.187 (18.65.233.187): icmp_seq=16 ttl=58 time=2.26 ms
```
Observe que o ping foi bem-sucedido e o tráfego não está bloqueado.
1. Emita um ping para a instância B usando o endereço IPv4 público para verificar se há tráfego de entrada:
```
ping 3.18.106.198
```
Resultado:
```
Pinging 3.18.106.198 with 32 bytes of data:
Reply from 3.18.106.198: bytes=32 time=83ms TTL=110
Reply from 3.18.106.198: bytes=32 time=54ms TTL=110
```
Observe que o ping foi bem-sucedido e o tráfego não está bloqueado.
1. Use o endereço IPv4 privado para se conectar e verificar se há tráfego de saída:
```
aws ec2-instance-connect ssh --instance-id i-08552a0774b5c8f72 --region us-east-2 --connection-type eice
```
Resultado:
```
A newer release of "Amazon Linux" is available.
Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, # ~_ #### Amazon Linux 2023
~~ _#####\ ~~ ###|
~~ #/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~.. _/
/ /
/m/'
Last login: Fri Sep 27 18:12:27 2024 from 3.16.146.5
[ec2-user@ip-10-0-2-98 ~]$ ping www.amazon.com
PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
64 bytes from server-3-160-24-126.cmh68.r.cloudfront.net (18.65.233.187): icmp_seq=1 ttl=249 time=1.55 ms
64 bytes from server-3-160-24-126.cmh68.r.cloudfront.net (18.65.233.187): icmp_seq=2 ttl=249 time=1.67 ms
```
Observe que o ping foi bem-sucedido e o tráfego não está bloqueado.
1. Conecte-se à instância C. Como não há endereço IP público para o qual emitir um ping, use o EC2 Instance Connect para se conectar e depois emita um ping da instância para um IP público para verificar se há tráfego de saída:
```
aws ec2-instance-connect ssh --instance-id i-04eca55f2a482b2c4 --region us-east-2 --connection-type eice
```
Resultado:
```
A newer release of "Amazon Linux" is available.
Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, # ~_ #### Amazon Linux 2023
~~ _#####\ ~~ ###|
~~ #/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~.. _/
/ /
/m/'
Last login: Thu Sep 19 20:31:26 2024 from 10.0.2.86
[ec2-user@ip-10-0-3-180 ~]$ ping www.amazon.com
PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
64 bytes from server-3-160-24-126.cmh68.r.cloudfront.net (18.65.233.187): icmp_seq=1 ttl=248 time=1.75 ms
64 bytes from server-3-160-24-126.cmh68.r.cloudfront.net (18.65.233.187): icmp_seq=2 ttl=248 time=1.97 ms
64 bytes from server-3-160-24-26.cmh68.r.cloudfront.net (18.65.233.187): icmp_seq=3 ttl=248 time=1.08 ms
```
Observe que o ping foi bem-sucedido e o tráfego não está bloqueado.
1. Conecte-se à instância D. Como não há endereço IP público para o qual emitir um ping, use o EC2 Instance Connect para se conectar e depois emita um ping da instância para um IP público para verificar se há tráfego de saída:
```
aws ec2-instance-connect ssh --instance-id i-05f9e6a9cfac1dba0 --region us-east-2 --connection-type eice
```
Resultado:
```
The authenticity of host '10.0.3.59 can't be established.
ECDSA key fingerprint is SHA256:c4naBCqbC61/cExDyccEproNU+1HHSpMSzl2J6cOtIZA8g.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added '10.0.3.59' (ECDSA) to the list of known hosts.
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, # ~_ #### Amazon Linux 2023
~~ _#####\ ~~ ###|
~~ #/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~.. _/
_/ _/
_/m/'
[ec2-user@ip-10-0-3-59 ~]$ ping www.amazon.com
PING www.amazon.com(2600:9000:25f3:ee00:7:49a5:5fd4:b121 (2600:9000:25f3:ee00:7:49a5:5fd4:b121)) 56 data bytes
64 bytes from 2600:9000:25f3:ee00:7:49a5:5fd4:b121 (2600:9000:25f3:ee00:7:49a5:5fd4:b121): icmp_seq=1 ttl=58 time=1.19 ms
64 bytes from 2600:9000:25f3:ee00:7:49a5:5fd4:b121 (2600:9000:25f3:ee00:7:49a5:5fd4:b121): icmp_seq=2 ttl=58 time=1.38 ms
```
Observe que o ping foi bem-sucedido e o tráfego não está bloqueado.
------
## Cenário 2: ativar o BPA da VPC no modo bidirecional
Nesta seção, você ativará o BPA da VPC e bloqueará o tráfego de e para os gateways da Internet em sua conta.
Diagrama que mostra o modo bidirecional do BPA da VPC ativado:
![\[Diagrama que mostra a VPC com o modo bidirecional do BPA da VPC habilitado.\]](http://docs.aws.amazon.com/pt_br/vpc/latest/userguide/images/vpc-bpa-2.png)
### 2.1 Habilitar o modo bidirecional do BPA da VPC
Conclua esta seção para habilitar o BPA da VPC. O modo bidirecional do BPA da VPC bloqueia todo o tráfego de e para os gateways da Internet e os gateways da Internet somente de saída nessa região (exceto em VPCs e sub-redes excluídas).
------
#### [ Console de gerenciamento da AWS ]
1. Abra o console da Amazon VPC, em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação esquerdo, escolha **Configurações**.
1. Escolha **Editar configurações de acesso público**.
1. Escolha **Ativar bloquear acesso público** e **Bidirecional** e depois escolha **Salvar alterações**.
1. Aguarde até que **Status** mude para **Ativado**. Talvez demore alguns minutos para as configurações do BPA da VPC terem efeito e o status ser atualizado.
O BPA da VPC agora está ativado.
------
#### [ AWS CLI ]
1. Use o comando modify-vpc-block-public-access-options para ativar o BPA da VPC:
```
aws ec2 --region us-east-2 modify-vpc-block-public-access-options --internet-gateway-block-mode block-bidirectional
```
Talvez demore alguns minutos para as configurações do BPA da VPC terem efeito e o status ser atualizado.
1. Visualize o status do BPA da VPC:
```
aws ec2 --region us-east-2 describe-vpc-block-public-access-options
```
------
### 2.2 Conectar-se a instâncias
Conclua esta seção para se conectar às suas instâncias.
------
#### [ Console de gerenciamento da AWS ]
1. Emita um ping para o endereço IPv4 público da instância A e da instância B, como fez no cenário 1. Observe que o tráfego está bloqueado.
1. Para se conectar à instância A, use a opção **EC2 Instance Connect** > **Estabelecer conexão usando o endpoint do EC2 Instance Connect**, como você fez no Cenário 1. Certifique-se de usar a opção de endpoint.
1. Selecione **Conectar**. Após se conectar com êxito à instância, execute um ping para www.amazon.com. Observe que todo o tráfego de saída está bloqueado.
1. Use o mesmo método que você utilizou para estabelecer conexão com a instância A para acessar as instâncias B, C e D para testar o envio de solicitações de saída para a Internet. Observe que todo o tráfego de saída está bloqueado.
------
#### [ AWS CLI ]
1. Emita um ping para a instância A usando o endereço IPv4 público para verificar se há tráfego de entrada:
```
ping 18.225.8.244
```
Resultado:
```
Pinging 18.225.8.244 with 32 bytes of data:
Request timed out.
```
Observe que o ping falha e que o tráfego está bloqueado.
1. Use o endereço IPv4 privado para se conectar e verificar se há tráfego de saída:
```
aws ec2-instance-connect ssh --instance-id i-058db34f9a0997895 --region us-east-2 --connection-type eice
```
Resultado:
```
The authenticity of host '10.0.1.85' can't be established.
ECDSA key fingerprint is SHA256:3zo/gSss+HAZ+7eTyWlOB/Ke04IM+hadjsoLJeRTWBk.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added '10.0.1.85' (ECDSA) to the list of known hosts.
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, #_ ~_ ####_ Amazon Linux 2023
~~ _#####\ ~~ ###|
~~ #/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~._. _/
/ /
/m/'
Last login: Fri Sep 27 14:16:53 2024 from 3.16.146.5
[ec2-user@ip-10-0-1-85 ~]$ ping www.amazon.com
PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
```
Observe que o ping falha e que o tráfego está bloqueado.
1. Emita um ping para a instância B usando o endereço IPv4 público para verificar se há tráfego de entrada:
```
ping 3.18.106.198
```
Resultado:
```
Pinging 3.18.106.198 with 32 bytes of data:
Request timed out.
```
Observe que o ping falha e que o tráfego está bloqueado.
1. Use o endereço IPv4 privado para se conectar e verificar se há tráfego de saída:
```
aws ec2-instance-connect ssh --instance-id i-08552a0774b5c8f72 --region us-east-2 --connection-type eice
```
Resultado:
```
The authenticity of host '10.0.2.98' can't be established.
ECDSA key fingerprint is SHA256:0IjXKKyVlDthcCfI0IPIJMUiItAOLYKRNLGTYURnFXo.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added '10.0.2.98' (ECDSA) to the list of known hosts.
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, # ~_ #### Amazon Linux 2023
~~ _#####\ ~~ ###|
~~ #/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~.. _/
/ /
/m/'
Last login: Fri Sep 27 14:18:16 2024 from 3.16.146.5
[ec2-user@ip-10-0-2-98 ~]$ ping www.amazon.com
PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
```
Observe que o ping falha e que o tráfego está bloqueado.
1. Conecte-se à instância C. Como não há endereço IP público para o qual emitir um ping, use o EC2 Instance Connect para se conectar e depois emita um ping da instância para um IP público para verificar se há tráfego de saída:
```
aws ec2-instance-connect ssh --instance-id i-04eca55f2a482b2c4 --region us-east-2 --connection-type eice
```
Resultado:
```
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, # ~_ #### Amazon Linux 2023
~~ _#####\ ~~ ###|
~~ #/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~.. _/
/ /
/m/'
Last login: Tue Sep 24 15:17:56 2024 from 10.0.2.86
[ec2-user@ip-10-0-3-180 ~]$ ping www.amazon.com
PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
```
Observe que o ping falha e que o tráfego está bloqueado.
1. Conecte-se à instância D. Como não há endereço IP público para o qual emitir um ping, use o EC2 Instance Connect para se conectar e depois emita um ping da instância para um IP público para verificar se há tráfego de saída:
```
aws ec2-instance-connect ssh --instance-id i-05f9e6a9cfac1dba0 --region us-east-2 --connection-type eice
```
Resultado:
```
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, # ~_ #### Amazon Linux 2023
~~ _#####\ ~~ ###|
~~ #/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~.. _/
_/ _/
_/m/'
Last login: Fri Sep 27 16:42:01 2024 from 3.16.146.5
[ec2-user@ip-10-0-3-59 ~]$ ping www.amazon.com
PING www.amazon.com(2600:9000:25f3:8200:7:49a5:5fd4:b121 (2600:9000:25f3:8200:7:49a5:5fd4:b121)) 56 data bytes
```
Observe que o ping falha e que o tráfego está bloqueado.
------
### 2.3 Opcional: verificar se a conectividade está bloqueada com o Analisador de Acesso
O [Analisador de Acessibilidade da VPC](https://docs.aws.amazon.com/vpc/latest/reachability/what-is-reachability-analyzer.html) pode ser usado para entender se determinados caminhos de rede podem ou não ser acessados de acordo com sua configuração de rede, incluindo as configurações do BPA da VPC. Neste exemplo, você analisará o mesmo caminho de rede que foi tentado anteriormente para confirmar que o BPA da VPC é o motivo da falha de conectividade.
------
#### [ Console de gerenciamento da AWS ]
1. Vá para o console do Network Insights em [https://console.aws.amazon.com/networkinsights/home#ReachabilityAnalyzer](https://console.aws.amazon.com/networkinsights/home#ReachabilityAnalyzer).
1. Clique em **Criar e analisar caminho**.
1. Em **Tipo de origem**, escolha **Gateways da internet** e selecione o gateway da internet marcado como **Gateway da internet do BPA da VPC** na lista suspensa **Origem**.
1. Em **Tipo de destino**, escolha **Instâncias** e selecione a instância marcada com **Instância A do BPA da VCP** no menu suspenso **Destino**.
1. Clique em **Criar e analisar caminho**.
1. Aguarde a conclusão da análise. Pode levar alguns minutos.
1. Depois da conclusão, você verá que o **Status de acessibilidade** é **Não acessível** e que **Detalhes do caminho** mostram que `VPC_BLOCK_PUBLIC_ACCESS_ENABLED` é a causa.
------
#### [ AWS CLI ]
1. Crie um caminho de rede usando o ID do gateway da Internet marcado como Gateway da Internet do BPA da VPC e o ID da instância marcada como Instância A do BPA da VPC:
```
aws ec2 --region us-east-2 create-network-insights-path --source igw-id --destination instance-id --protocol TCP
```
1. Inicie uma análise no caminho da rede:
```
aws ec2 --region us-east-2 start-network-insights-analysis --network-insights-path-id nip-id
```
1. Recupere os resultados da análise:
```
aws ec2 --region us-east-2 describe-network-insights-analyses --network-insights-analysis-ids nia-id
```
1. Verifique se `VPC_BLOCK_PUBLIC_ACCESS_ENABLED` é o `ExplanationCode` para a falta de acessibilidade.
------
Observe que também é possível [Monitorar o impacto do BPA da VPC com logs de fluxo](security-vpc-bpa-assess-impact-main.md#security-vpc-bpa-fl).
## Cenário 3: alterar o modo do BPA da VPC para Somente entrada
Nesta seção, você alterará a direção do tráfego do BPA da VPC e só permitirá tráfego que use um gateway NAT ou um gateway da Internet somente de saída. As instâncias A e B do EC2 nas sub-redes públicas não poderão ser acessadas pela Internet porque o BPA bloqueia o tráfego de entrada via gateway da Internet. As instâncias C e D na sub-rede privada continuarão sendo capazes de iniciar o tráfego de saída por meio do gateway NAT e do gateway da Internet somente de saída e, portanto, ainda poderão acessar a Internet.
Diagrama do modo somente de entrada do BPA da VPC ativado:
![\[Diagrama mostrando a VPC com o BPA da VPC somente de entrada habilitado.\]](http://docs.aws.amazon.com/pt_br/vpc/latest/userguide/images/vpc-bpa-3.png)
### 3.1 Alterar o modo para somente de entrada
Conclua esta seção para alterar o modo.
------
#### [ Console de gerenciamento da AWS ]
1. Abra o console da Amazon VPC, em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação esquerdo, escolha **Configurações**.
1. Na guia **Bloquear acesso público**, escolha **Editar configurações de acesso público**.
1. Modifique as configurações do acesso público no console da VPC e altere a direção para **Somente de entrada**.
1. Salve as alterações e aguarde a atualização do status. Talvez demore alguns minutos para as configurações do BPA da VPC terem efeito e o status ser atualizado.
------
#### [ AWS CLI ]
1. Modifique o modo do BPA da VPC:
```
aws ec2 --region us-east-2 modify-vpc-block-public-access-options --internet-gateway-block-mode block-ingress
```
Talvez demore alguns minutos para as configurações do BPA da VPC terem efeito e o status ser atualizado.
1. Visualize o status do BPA da VPC:
```
aws ec2 --region us-east-2 describe-vpc-block-public-access-options
```
------
### 3.2 Conectar-se a instâncias
Conclua esta seção para se conectar às instâncias.
------
#### [ Console de gerenciamento da AWS ]
1. Emita um ping para o endereço IPv4 público da instância A e da instância B, como fez no cenário 1. Observe que o tráfego está bloqueado.
1. Conecte-se à instância A e à instância B usando o EC2 Instance Connect, como fez no cenário 1 e emita um ping das instâncias para www.amazon.com. Observe que você não pode emitir ping da instância A ou B para um site público na Internet e que o tráfego está bloqueado.
1. Conecte-se à instância C e à instância D usando o EC2 Instance Connect, como fez no cenário 1 e emita um ping das instâncias para www.amazon.com. Observe que você pode emitir ping da instância C ou D para um site público na Internet e que o tráfego está permitido.
------
#### [ AWS CLI ]
1. Emita um ping para a instância A usando o endereço IPv4 público para verificar se há tráfego de entrada:
```
ping 18.225.8.244
```
Resultado:
```
Pinging 18.225.8.244 with 32 bytes of data:
Request timed out.
```
Observe que o ping falha e que o tráfego está bloqueado.
1. Use o endereço IPv4 privado para se conectar e verificar se há tráfego de saída:
```
aws ec2-instance-connect ssh --instance-id i-058db34f9a0997895 --region us-east-2 --connection-type eice
```
Resultado:
```
The authenticity of host '10.0.1.85' can't be established.
ECDSA key fingerprint is SHA256:3zo/gSss+HAZ+7eTyWlOB/Ke04IM+hadjsoLJeRTWBk.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added '10.0.1.85' (ECDSA) to the list of known hosts.
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, #_ ~_ ####_ Amazon Linux 2023
~~ _#####\ ~~ ###|
~~ #/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~._. _/
/ /
/m/'
Last login: Fri Sep 27 14:16:53 2024 from 3.16.146.5
[ec2-user@ip-10-0-1-85 ~]$ ping www.amazon.com
PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
```
Observe que o ping falha e que o tráfego está bloqueado.
1. Emita um ping para a instância B usando o endereço IPv4 público para verificar se há tráfego de entrada:
```
ping 3.18.106.198
```
Resultado:
```
Pinging 3.18.106.198 with 32 bytes of data:
Request timed out.
```
Observe que o ping falha e que o tráfego está bloqueado.
1. Use o endereço IPv4 privado para se conectar e verificar se há tráfego de saída:
```
aws ec2-instance-connect ssh --instance-id i-08552a0774b5c8f72 --region us-east-2 --connection-type eice
```
Resultado:
```
The authenticity of host '10.0.2.98 ' can't be established.
ECDSA key fingerprint is SHA256:0IjXKKyVlDthcCfI0IPIJMUiItAOLYKRNLGTYURnFXo.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added '10.0.2.98' (ECDSA) to the list of known hosts.
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, # ~_ #### Amazon Linux 2023
~~ _#####\ ~~ ###|
~~ #/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~.. _/
_/ /
/m/'
Last login: Fri Sep 27 14:18:16 2024 from 3.16.146.5
[ec2-user@ip-10-0-2-98 ~]$ ping www.amazon.com
PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
```
Observe que o ping falha e que o tráfego está bloqueado.
1. Conecte-se à instância C. Como não há endereço IP público para o qual emitir um ping, use o EC2 Instance Connect para se conectar e depois emita um ping da instância para um IP público para verificar se há tráfego de saída:
```
aws ec2-instance-connect ssh --instance-id i-04eca55f2a482b2c4 --region us-east-2 --connection-type eice
```
Resultado:
```
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, #_ ~\_ ####_ Amazon Linux 2023
~~ \_#####\ ~~ \###|
~~ \#/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~._. _/
_/ _/
_/m/'
Last login: Tue Sep 24 15:28:09 2024 from 10.0.2.86
[ec2-user@ip-10-0-3-180 ~]$ ping www.amazon.com
PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
64 bytes from server-3-160-24-126.cmh68.r.cloudfront.net (18.65.233.187): icmp_seq=1 ttl=248 time=1.84 ms
64 bytes from server-3-160-24-126.cmh68.r.cloudfront.net (18.65.233.187): icmp_seq=2 ttl=248 time=1.40 ms
```
Observe que o ping foi bem-sucedido e o tráfego não está bloqueado.
1. Conecte-se à instância D. Como não há endereço IP público para o qual emitir um ping, use o EC2 Instance Connect para se conectar e depois emita um ping da instância para um IP público para verificar se há tráfego de saída:
```
aws ec2-instance-connect ssh --instance-id i-05f9e6a9cfac1dba0 --region us-east-2 --connection-type eice
```
Resultado:
```
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, #_ ~\_ ####_ Amazon Linux 2023
~~ \_#####\ ~~ \###|
~~ \#/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~._. _/
_/ _/
_/m/'
Last login: Fri Sep 27 16:48:38 2024 from 3.16.146.5
[ec2-user@ip-10-0-3-59 ~]$ ping www.amazon.com
PING www.amazon.com(2600:9000:25f3:5800:7:49a5:5fd4:b121 (2600:9000:25f3:5800:7:49a5:5fd4:b121)) 56 data bytes
64 bytes from 2600:9000:25f3:5800:7:49a5:5fd4:b121 (2600:9000:25f3:5800:7:49a5:5fd4:b121): icmp_seq=14 ttl=58 time=1.47 ms
64 bytes from 2600:9000:25f3:5800:7:49a5:5fd4:b121 (2600:9000:25f3:5800:7:49a5:5fd4:b121): icmp_seq=16 ttl=58 time=1.59 ms
```
Observe que o ping foi bem-sucedido e o tráfego não está bloqueado.
------
## Cenário 4: criar uma exclusão
Nesta seção, você criará uma exclusão. O BPA da VPC então bloqueará apenas o tráfego nas sub-redes *sem* uma exclusão. A exclusão do BPA da VPC é um modo que pode ser aplicado a uma única VPC ou sub-rede que a isenta do modo de BPA da VPC da conta e permite acesso bidirecional ou somente de saída. É possível criar exclusões do BPA da VPC para VPCs e sub-redes mesmo quando o BPA da VPC não está habilitado na conta para garantir que não haja interrupção do tráfego para as exclusões quando o BPA da VPC estiver ativado.
Neste exemplo, criaremos uma exclusão para a sub-rede A para mostrar como o tráfego para as exclusões é afetado pelo BPA da VPC.
Diagrama do modo somente de entrada do BPA da VPC ativado e da exclusão da sub-rede A com o modo bidirecional ativado:
![\[Diagrama mostrando a VPC com o BPA da V`C no modo somente de entrada com uma exclusão.\]](http://docs.aws.amazon.com/pt_br/vpc/latest/userguide/images/vpc-bpa-4.png)
### 4.1 Criar uma exclusão para a sub-rede A
Conclua esta seção para criar uma exclusão. A exclusão do BPA da VPC é um modo que pode ser aplicado a uma única VPC ou sub-rede que a isenta do modo de BPA da VPC da conta e permite acesso bidirecional ou somente de saída. É possível criar exclusões do BPA da VPC para VPCs e sub-redes mesmo quando o BPA da VPC não está habilitado na conta para garantir que não haja interrupção do tráfego para as exclusões quando o BPA da VPC estiver ativado.
------
#### [ Console de gerenciamento da AWS ]
1. Abra o console da Amazon VPC, em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação esquerdo, escolha **Configurações**.
1. Na guia **Bloquear o acesso público**, em **Exclusões**, escolha **Criar exclusões**.
1. **Escolha **Sub-rede pública A do BPA da VPC**, certifique-se de que a direção de permissão **Bidirecional** esteja selecionada e escolha Criar exclusões**.
1. Aguarde até que o status de **Exclusão** mude para **Ativo**. Pode ser necessário atualizar a tabela de exclusão para ver a alteração.
A exclusão foi criada.
------
#### [ AWS CLI ]
1. Modifique a direção de permissão da exclusão:
```
aws ec2 --region us-east-2 create-vpc-block-public-access-exclusion --subnet-id subnet-id --internet-gateway-exclusion-mode allow-bidirectional
```
1. Pode levar algum tempo para o status da exclusão ser atualizado. Para visualizar o status da exclusão:
```
aws ec2 --region us-east-2 describe-vpc-block-public-access-exclusions --exclusion-ids exclusion-id
```
------
### 4.2 Conectar-se a instâncias
Conclua esta seção para se conectar às instâncias.
------
#### [ Console de gerenciamento da AWS ]
1. Emita um ping para o endereço IPv4 público da instância A. Observe que o tráfego está permitido.
1. Emita um ping para o endereço IPv4 público da instância B. Observe que o tráfego está bloqueado.
1. Conecte-se à instância A usando o EC2 Instance Connect, como fez no cenário 1 emita um ping para www.amazon.com. Observe que você pode emitir um ping da instância A para um site público na Internet e que o tráfego está permitido.
1. Conecte-se à instância B usando o EC2 instance Connect, como fez no cenário 1 emita um ping para www.amazon.com. Observe que você não pode emitir um ping da instância B para um site público na Internet. O tráfego está bloqueado.
1. Conecte-se à instância C e à instância D usando o EC2 Instance Connect, como fez no cenário 1 e emita um ping das instâncias para www.amazon.com. Observe que você pode emitir ping da instância C ou D para um site público na Internet. O tráfego está permitido.
------
#### [ AWS CLI ]
1. Emita um ping para a instância A usando o endereço IPv4 público para verificar se há tráfego de entrada:
```
ping 18.225.8.244
```
Resultado:
```
Pinging 18.225.8.244 with 32 bytes of data:
Reply from 18.225.8.244: bytes=32 time=51ms TTL=110
Reply from 18.225.8.244: bytes=32 time=61ms TTL=110
```
Observe que o ping foi bem-sucedido e o tráfego não está bloqueado.
1. Use o endereço IPv4 privado para se conectar e verificar se há tráfego de saída:
```
aws ec2-instance-connect ssh --instance-id i-058db34f9a0997895 --region us-east-2 --connection-type eice
```
Resultado:
```
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, #_ ~_ ####_ Amazon Linux 2023
~~ _#####\ ~~ ###|
~~ #/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~._. _/
/ /
/m/'
Last login: Fri Sep 27 17:58:12 2024 from 3.16.146.5
[ec2-user@ip-10-0-1-85 ~]$ ping www.amazon.com
PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
64 bytes from server-3-160-24-126.cmh68.r.cloudfront.net (18.65.233.187): icmp_seq=1 ttl=249 time=1.03 ms
64 bytes from server-3-160-24-126.cmh68.r.cloudfront.net (18.65.233.187): icmp_seq=2 ttl=249 time=1.72 ms
```
Observe que o ping foi bem-sucedido e o tráfego não está bloqueado.
1. Emita um ping para a instância B usando o endereço IPv4 público para verificar se há tráfego de entrada:
```
ping 3.18.106.198
```
Resultado:
```
Pinging 3.18.106.198 with 32 bytes of data:
Request timed out.
```
Observe que o ping falha e que o tráfego está bloqueado.
1. Use o endereço IPv4 privado para se conectar e verificar se há tráfego de saída:
```
aws ec2-instance-connect ssh --instance-id i-08552a0774b5c8f72 --region us-east-2 --connection-type eice
```
Resultado:
```
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, # ~_ #### Amazon Linux 2023
~~ _#####\ ~~ ###|
~~ #/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~.. _/
_/ /
/m/'
Last login: Fri Sep 27 18:12:03 2024 from 3.16.146.5
[ec2-user@ip-10-0-2-98 ~]$ ping www.amazon.com
PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
```
Observe que o ping falha e que o tráfego está bloqueado.
1. Conecte-se à instância C. Como não há endereço IP público para o qual emitir um ping, use o EC2 Instance Connect para se conectar e depois emita um ping da instância para um IP público para verificar se há tráfego de saída:
```
aws ec2-instance-connect ssh --instance-id i-04eca55f2a482b2c4 --region us-east-2 --connection-type eice
```
Output
```
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, # ~_ #### Amazon Linux 2023
~~ _#####\ ~~ ###|
~~ #/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~.. _/
_/ /
/m/'
Last login: Tue Sep 24 15:28:09 2024 from 10.0.2.86
[ec2-user@ip-10-0-3-180 ~]$ ping www.amazon.com
PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
64 bytes from server-3-160-24-126.cmh68.r.cloudfront.net (18.65.233.187): icmp_seq=1 ttl=248 time=1.84 ms
64 bytes from server-3-160-24-126.cmh68.r.cloudfront.net (18.65.233.187): icmp_seq=2 ttl=248 time=1.40 ms
```
Observe que o ping foi bem-sucedido e o tráfego não está bloqueado.
1. Conecte-se à instância D. Como não há endereço IP público para o qual emitir um ping, use o EC2 Instance Connect para se conectar e depois emita um ping da instância para um IP público para verificar se há tráfego de saída:
```
aws ec2-instance-connect ssh --instance-id i-05f9e6a9cfac1dba0 --region us-east-2 --connection-type eice
```
Output
```
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, #_ ~\_ ####_ Amazon Linux 2023
~~ \_#####\ ~~ \###|
~~ \#/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~._. _/
_/ _/
_/m/'
Last login: Fri Sep 27 18:00:52 2024 from 3.16.146.5
[ec2-user@ip-10-0-3-59 ~]$ ping www.amazon.com
PING www.amazon.com(g2600-141f-4000-059a-0000-0000-0000-3bd4.deploy.static.akamaitechnologies.com (2600:141f:4000:59a::3bd4)) 56 data bytes
64 bytes from g2600-141f-4000-059a-0000-0000-0000-3bd4.deploy.static.akamaitechnologies.com (2600:141f:4000:59a::3bd4): icmp_seq=1 ttl=48 time=15.9 ms
64 bytes from g2600-141f-4000-059a-0000-0000-0000-3bd4.deploy.static.akamaitechnologies.com (2600:141f:4000:59a::3bd4): icmp_seq=2 ttl=48 time=15.8 ms
```
Observe que o ping foi bem-sucedido e o tráfego não está bloqueado.
------
### 4.3 Opcional: verificar a conectividade com o Analisador de Acessibilidade
Usando o mesmo caminho de rede criado no Analisador de Acessibilidade no cenário 2, você agora pode executar uma nova análise e confirmar se o caminho está acessível agora que uma exclusão foi criada para a sub-rede pública A.
Para obter informações sobre a disponibilidade regional do Analisador de Acessibilidade, consulte [Considerations](https://docs.aws.amazon.com/vpc/latest/reachability/how-reachability-analyzer-works.html#considerations) no *Reachability Analyzer Guide*.
------
#### [ Console de gerenciamento da AWS ]
1. No caminho de rede que você criou anteriormente no console do Network Insights, clique em **Executar novamente a análise**.
1. Aguarde a conclusão da análise. Isso pode demorar muitos minutos.
1. Confirme se o caminho agora está **Acessível**.
------
#### [ AWS CLI ]
1. Usando o ID do caminho de rede criado anteriormente, inicie uma nova análise:
```
aws ec2 --region us-east-2 start-network-insights-analysis --network-insights-path-id nip-id
```
1. Recupere os resultados da análise:
```
aws ec2 --region us-east-2 describe-network-insights-analyses --network-insights-analysis-ids nia-id
```
1. Confirme se o código de explicação `VPC_BLOCK_PUBLIC_ACCESS_ENABLED` não ocorre mais.
------
## Cenário 5: modificar o modo de exclusão
Nesta seção, você alterará a direção de tráfego permitida na exclusão para ver como isso afeta o BPA da VPC.
**nota**
Neste cenário, você alterará o modo de exclusão para Somente saída. Observe que, ao fazer isso, a exclusão Somente saída na sub-rede A não permite tráfego de saída, o que é contraintuitivo, pois você esperaria que ela permitisse tráfego de saída. No entanto, como o BPA no nível da conta é somente de entrada, as exclusões somente de saída são ignoradas e o roteamento da sub-rede A para um gateway da Internet é restrito pelo BPA da VPC, bloqueando o tráfego de saída. Para habilitar o tráfego de saída na sub-rede A, seria necessário mudar o BPA da VPC para o modo bidirecional.
Diagrama do modo somente de entrada do BPA da VPC ativado e da exclusão da sub-rede A com o modo somente de saída ativado:
![\[Diagrama que mostra a VPC com BPA da VPC no modo somente de entrada, permitindo tráfego de saída através do gateway NAT.\]](http://docs.aws.amazon.com/pt_br/vpc/latest/userguide/images/vpc-bpa-5.png)
### 5.1 Alterar a direção de permissão da exclusão para somente de saída
Conclua esta seção para alterar a direção de permissão da exclusão.
------
#### [ Console de gerenciamento da AWS ]
1. Edite a exclusão que você criou no cenário 4 e altere a direção de permissão para **Somente de saída**.
1. Escolha **Salvar alterações**.
1. Aguarde até que o status de **Exclusão** mude para **Ativo**. Talvez demore alguns minutos para as configurações do BPA da VPC terem efeito e o status ser atualizado. Pode ser necessário atualizar a tabela de exclusão para ver a alteração.
------
#### [ AWS CLI ]
1. Modifique a direção de permissão da exclusão:
```
aws ec2 --region us-east-2 modify-vpc-block-public-access-exclusion --exclusion-id exclusion-id --internet-gateway-exclusion-mode allow-egress
```
Talvez demore alguns minutos para as configurações do BPA da VPC terem efeito e o status ser atualizado.
1. Pode levar algum tempo para o status da exclusão ser atualizado. Para visualizar o status da exclusão:
```
aws ec2 --region us-east-2 describe-vpc-block-public-access-exclusion
```
------
### 5.2 Conectar-se a instâncias
Conclua esta seção para se conectar às instâncias.
------
#### [ Console de gerenciamento da AWS ]
1. Emita um ping para o endereço IPv4 público da instância A e da instância B. Observe que o tráfego está bloqueado.
1. Conecte-se à instância A e à instância B usando o EC2 Instance Connect, como fez no cenário 1 emita um ping para www.amazon.com. Observe que você não pode emitir um ping da instância A ou B para um site público na Internet. O tráfego está bloqueado.
1. Conecte-se à instância C e à instância D usando o EC2 Instance Connect, como fez no cenário 1 e emita um ping das instâncias para www.amazon.com. Observe que você pode emitir ping da instância C ou D para um site público na Internet. O tráfego está permitido.
------
#### [ AWS CLI ]
1. Emita um ping para a instância A usando o endereço IPv4 público para verificar se há tráfego de entrada:
```
ping 18.225.8.244
```
Resultado:
```
Pinging 18.225.8.244 with 32 bytes of data:
Request timed out.
```
Observe que o ping falha e que o tráfego está bloqueado.
1. Use o endereço IPv4 privado para se conectar e verificar se há tráfego de saída:
```
aws ec2-instance-connect ssh --instance-id i-058db34f9a0997895 --region us-east-2 --connection-type eice
```
Resultado:
```
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, #_ ~\_ ####_ Amazon Linux 2023
~~ \_#####\ ~~ \###|
~~ \#/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~._. _/
_/ _/
_/m/'
Last login: Fri Sep 27 18:09:55 2024 from 3.16.146.5
[ec2-user@ip-10-0-1-85 ~]$ ping www.amazon.com
PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
```
Observe que o ping falha e que o tráfego está bloqueado.
1. Emita um ping para a instância B usando o endereço IPv4 público para verificar se há tráfego de entrada:
```
ping 3.18.106.198
```
Resultado:
```
Pinging 3.18.106.198 with 32 bytes of data:
Request timed out.
```
Observe que o ping falha e que o tráfego está bloqueado.
1. Use o endereço IPv4 privado para se conectar e verificar se há tráfego de saída:
```
aws ec2-instance-connect ssh --instance-id i-058db34f9a0997895 --region us-east-2 --connection-type eice
```
Resultado:
```
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, #_ ~\_ ####_ Amazon Linux 2023
~~ \_#####\ ~~ \###|
~~ \#/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~._. _/
_/ _/
_/m/'
Last login: Fri Sep 27 18:09:55 2024 from 3.16.146.5
[ec2-user@ip-10-0-1-85 ~]$ ping www.amazon.com
PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
```
Observe que o ping falha e que o tráfego está bloqueado.
1. Conecte-se à instância C. Como não há endereço IP público para o qual emitir um ping, use o EC2 Instance Connect para se conectar e depois emita um ping da instância para um IP público para verificar se há tráfego de saída:
```
aws ec2-instance-connect ssh --instance-id i-04eca55f2a482b2c4 --region us-east-2 --connection-type eice
```
Resultado:
```
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, #_ ~\_ ####_ Amazon Linux 2023
~~ \_#####\ ~~ \###|
~~ \#/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~._. _/
_/ _/
_/m/'
Last login: Fri Sep 27 18:00:31 2024 from 3.16.146.5
[ec2-user@ip-10-0-3-180 ~]$ ping www.amazon.com
PING www.amazon.com(2600:9000:25f3:a600:7:49a5:5fd4:b121 (2600:9000:25f3:a600:7:49a5:5fd4:b121)) 56 data bytes
64 bytes from 2600:9000:25f3:a600:7:49a5:5fd4:b121 (2600:9000:25f3:a600:7:49a5:5fd4:b121): icmp_seq=1 ttl=58 time=1.51 ms
64 bytes from 2600:9000:25f3:a600:7:49a5:5fd4:b121 (2600:9000:25f3:a600:7:49a5:5fd4:b121): icmp_seq=2 ttl=58 time=1.49 ms
```
Observe que o ping foi bem-sucedido e o tráfego não está bloqueado.
1. Conecte-se à instância D. Como não há endereço IP público para o qual emitir um ping, use o EC2 Instance Connect para se conectar e depois emita um ping da instância para um IP público para verificar se há tráfego de saída:
```
aws ec2-instance-connect ssh --instance-id i-05f9e6a9cfac1dba0 --region us-east-2 --connection-type eice
```
Resultado:
```
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, #_ ~\_ ####_ Amazon Linux 2023
~~ \_#####\ ~~ \###|
~~ \#/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~._. _/
_/ _/
_/m/'
Last login: Fri Sep 27 18:13:55 2024 from 3.16.146.5
[ec2-user@ip-10-0-3-59 ~]$ ping www.amazon.com
PING www.amazon.com(2606:2cc0::374 (2606:2cc0::374)) 56 data bytes
64 bytes from 2606:2cc0::374 (2606:2cc0::374): icmp_seq=1 ttl=58 time=1.21 ms
64 bytes from 2606:2cc0::374 (2606:2cc0::374): icmp_seq=2 ttl=58 time=1.51 ms
```
Observe que o ping foi bem-sucedido e o tráfego não está bloqueado.
------
## Cenário 6: modificar o modo do BPA da VPC
Nesta seção, você alterará a direção de bloqueio do BPA da VPC para ver como isso afeta o tráfego. Neste cenário, o BPA da VPC habilitado no modo bidirecional bloqueia todo o tráfego exatamente como no cenário 1. A menos que uma exclusão tenha acesso a um gateway NAT ou um gateway da Internet somente de saída, o tráfego estará bloqueado.
Diagrama do modo bidirecional do BPA da VPC ativado e da exclusão da sub-rede A com o modo somente de saída ativado:
![\[Diagrama que mostra a VPC com BPA da VPC no modo somente de entrada, permitindo tráfego de saída através do gateway NAT\]](http://docs.aws.amazon.com/pt_br/vpc/latest/userguide/images/vpc-bpa-6.png)
### 6.1 Alterar o BPA da VPC para o modo bidirecional
Conclua esta seção para alterar o modo do BPA da VPC.
------
#### [ Console de gerenciamento da AWS ]
1. Abra o console da Amazon VPC, em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação esquerdo, escolha **Configurações**.
1. Escolha **Editar configurações de acesso público**.
1. Altere a direção do bloqueio para **Bidirecional** e escolha **Salvar alterações**.
1. Aguarde até que **Status** mude para **Ativado**. Talvez demore alguns minutos para as configurações do BPA da VPC terem efeito e o status ser atualizado.
------
#### [ AWS CLI ]
1. Modifique a direção do bloqueio do BPA da VPC:
```
aws ec2 --region us-east-2 modify-vpc-block-public-access-options --internet-gateway-block-mode block-bidirectional
```
Talvez demore alguns minutos para as configurações do BPA da VPC terem efeito e o status ser atualizado.
1. Visualize o status do BPA da VPC:
```
aws ec2 --region us-east-2 describe-vpc-block-public-access-options
```
------
### 6.2 Conectar-se a instâncias
Conclua esta seção para se conectar às instâncias.
------
#### [ Console de gerenciamento da AWS ]
1. Emita um ping para o endereço IPv4 público da instância A e da instância B. Observe que o tráfego está bloqueado.
1. Conecte-se à instância A e à instância B usando o EC2 Instance Connect, como fez no cenário 1 emita um ping para www.amazon.com. Observe que você não pode emitir um ping da instância A ou B para um site público na Internet. O tráfego está bloqueado.
1. Conecte-se à instância C e à instância D usando o EC2 Instance Connect, como fez no cenário 1 e emita um ping das instâncias para www.amazon.com. Observe que você não pode emitir ping da instância C ou D para um site público na Internet. O tráfego está bloqueado.
------
#### [ AWS CLI ]
1. Emita um ping para a instância A usando o endereço IPv4 público para verificar se há tráfego de entrada:
```
ping 18.225.8.244
```
Resultado:
```
Pinging 18.225.8.244 with 32 bytes of data:
Request timed out.
```
Observe que o ping falha e que o tráfego está bloqueado.
1. Use o endereço IPv4 privado para se conectar e verificar se há tráfego de saída:
```
aws ec2-instance-connect ssh --instance-id i-058db34f9a0997895 --region us-east-2 --connection-type eice
```
Resultado:
```
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, #_ ~\_ ####_ Amazon Linux 2023
~~ \_#####\ ~~ \###|
~~ \#/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~._. _/
_/ _/
_/m/'
Last login: Fri Sep 27 18:17:44 2024 from 3.16.146.5
[ec2-user@ip-10-0-1-85 ~]$ ping www.amazon.com
PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
```
Observe que o ping falha e que o tráfego está bloqueado.
1. Emita um ping para a instância A usando o endereço IPv4 público para verificar se há tráfego de entrada:
```
ping 3.18.106.198
```
Resultado:
```
Pinging 3.18.106.198 with 32 bytes of data:
Request timed out.
```
Observe que o ping falha e que o tráfego está bloqueado.
1. Use o endereço IPv4 privado para se conectar e verificar se há tráfego de saída:
```
aws ec2-instance-connect ssh --instance-id i-058db34f9a0997895 --region us-east-2 --connection-type eice
```
Resultado:
```
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, #_ ~\_ ####_ Amazon Linux 2023
~~ \_#####\ ~~ \###|
~~ \#/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~._. _/
_/ _/
_/m/'
Last login: Fri Sep 27 18:09:55 2024 from 3.16.146.5
[ec2-user@ip-10-0-1-85 ~]$ ping www.amazon.com
PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
```
Observe que o ping falha e que o tráfego está bloqueado.
1. Conecte-se à instância C. Como não há endereço IP público para o qual emitir um ping, use o EC2 Instance Connect para se conectar e depois emita um ping da instância para um IP público para verificar se há tráfego de saída:
```
aws ec2-instance-connect ssh --instance-id i-04eca55f2a482b2c4 --region us-east-2 --connection-type eice
```
Resultado:
```
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, #_ ~\_ ####_ Amazon Linux 2023
~~ \_#####\ ~~ \###|
~~ \#/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~._. _/
_/ _/
_/m/'
Last login: Fri Sep 27 18:19:45 2024 from 3.16.146.5
[ec2-user@ip-10-0-3-180 ~]$ ping www.amazon.com
PING www.amazon.com(2600:9000:25f3:6200:7:49a5:5fd4:b121 (2600:9000:25f3:6200:7:49a5:5fd4:b121)) 56 data bytes
```
Observe que o ping falha e que o tráfego está bloqueado.
1. Conecte-se à instância D. Como não há endereço IP público para o qual emitir um ping, use o EC2 Instance Connect para se conectar e depois emita um ping da instância para um IP público para verificar se há tráfego de saída:
```
aws ec2-instance-connect ssh --instance-id i-05f9e6a9cfac1dba0 --region us-east-2 --connection-type eice
```
Resultado:
```
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, #_ ~\_ ####_ Amazon Linux 2023
~~ \_#####\ ~~ \###|
~~ \#/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~._. _/
_/ _/
_/m/'
Last login: Fri Sep 27 18:20:58 2024 from 3.16.146.5
[ec2-user@ip-10-0-3-59 ~]$ ping www.amazon.com
PING www.amazon.com(2600:9000:25f3:b400:7:49a5:5fd4:b121 (2600:9000:25f3:b400:7:49a5:5fd4:b121)) 56 data bytes
```
Observe que o ping falha e que o tráfego está bloqueado.
------
## Limpeza
Nesta seção, você excluirá todos os recursos que criou para este exemplo avançado. É importante limpar os recursos para evitar cobranças adicionais excessivas pelos recursos criados em sua conta.
### Excluir os recursos do CloudFormation
Conclua esta seção para excluir os recursos que você criou com o modelo do CloudFormation.
------
#### [ Console de gerenciamento da AWS ]
1. Abra o console do CloudFormation em [https://console.aws.amazon.com/cloudformation/](https://console.aws.amazon.com/cloudformation/).
1. Escolha a pilha do BPA da VPC.
1. Escolha **Excluir**.
1. Depois que começar a excluir a pilha, na guia **Eventos**, visualize o andamento e certifique-se de que a pilha seja excluída. Talvez seja necessário [forçar a exclusão da pilha](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-delete-stack.html) para que ela seja totalmente excluída.
------
#### [ AWS CLI ]
1. Excluir a pilha do CloudFormation. Talvez seja necessário [forçar a exclusão da pilha](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-delete-stack.html) para que ela seja totalmente excluída.
```
aws cloudformation delete-stack --stack-name VPC-BPA-stack --region us-east-2
```
1. Visualize o andamento e certifique-se de que a pilha seja excluída.
```
aws cloudformation describe-stack-events --stack-name VPC-BPA-stack --region us-east-2
```
------
### Rastrear a remoção de exclusões usando o CloudTrail
Conclua esta seção para rastrear a remoção de exclusões usando o AWS CloudTrail. As entradas do CloudTrail aparecem quando você remove uma exclusão.
------
#### [ Console de gerenciamento da AWS ]
Você pode visualizar todas as exclusões removidas no **histórico de eventos do CloudTrail consultando Tipo de recurso** > **AWS::EC2::VPCBlockPublicAccessExclusion** no console do AWS CloudTrail em [https://console.aws.amazon.com/cloudtrailv2/](https://console.aws.amazon.com/cloudtrailv2/).
------
#### [ AWS CLI ]
Você pode usar o comando lookup-events para visualizar os eventos relacionados com remoção de exclusões:
```
aws cloudtrail lookup-events --lookup-attributes AttributeKey=ResourceType,AttributeValue=AWS::EC2::VPCBlockPublicAccessExclusion
```
------
O exemplo avançado foi concluído.
# Melhores práticas de segurança para a VPC
As práticas recomendadas a seguir são diretrizes gerais e não representam uma solução completa de segurança. Como essas práticas recomendadas podem não ser adequadas ou suficientes para o seu ambiente, trate-as como considerações úteis em vez de prescrições.
+ Quando você adicionar sub-redes à VPC para hospedar seu aplicativo, crie-as em várias zonas de disponibilidade. Uma zona de disponibilidade é um ou mais data centers discretos com energia, redes e conectividade redundantes em uma região da AWS. O uso de várias zonas de disponibilidade torna os aplicativos em produção altamente disponíveis, tolerantes a falhas e escaláveis.
+ Use grupos de segurança para controlar o tráfego para instâncias do EC2 em suas sub-redes. Para obter mais informações, consulte [Grupos de segurança](vpc-security-groups.md).
+ Use ACLs de rede para controlar o tráfego de entrada e saída em nível de sub-rede. Para obter mais informações, consulte [Controlar o tráfego da sub-rede com listas de controle de acesso à rede](vpc-network-acls.md).
+ Gerencie o acesso aos recursos da AWS na sua VPC usando federação de identidades, usuários e perfis do AWS Identity and Access Management (IAM). Para obter mais informações, consulte [Identity and Access Management para o Amazon VPC](security-iam.md).
+ Utilize o VPC Flow Logs para monitorar o tráfego de IP de e para uma VPC, sub-rede ou interface de rede. Para obter mais informações, consulte [VPC Flow Logs](flow-logs.md).
+ Use o Analisador de Acesso à Rede para identificar o acesso não intencional da rede aos recursos em nossas VPCs. Para obter mais informações, consulte o [Guia do Analisador de Acesso à Rede](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/).
+ Use o AWS Network Firewall para monitorar e proteger sua VPC filtrando o tráfego de entrada e saída. Para obter mais informações, consulte o [Guia do AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/).
+ Use o Amazon GuardDuty para detectar possíveis ameaças às suas contas, contêineres, workloads e dados no ambiente da AWS. A detecção básica de ameaças inclui o monitoramento dos logs de fluxo da VPC associados às instâncias do Amazon EC2. Para obter mais informações, consulte [Logs de fluxo da VPC](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_data-sources.html#guardduty_vpc) no *Amazon GuardDuty User Guide*.
Para obter respostas a perguntas frequentes relacionadas à segurança da VPC, consulte *Segurança e filtragem*, nas [Perguntas frequentes sobre o Amazon VPC](https://aws.amazon.com/vpc/faqs/).