

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Erstellen Sie einen Bericht mit den Ergebnissen von Network Access Analyzer für eingehenden Internetzugang in mehreren AWS-Konten
<a name="create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts"></a>

*Mike Virgilio, Amazon Web Services*

## Zusammenfassung
<a name="create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts-summary"></a>

Unbeabsichtigter eingehender Internetzugriff auf AWS Ressourcen kann Risiken für den Datenperimeter eines Unternehmens darstellen. [Network Access Analyzer](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-network-access-analyzer.html) ist eine Funktion von Amazon Virtual Private Cloud (Amazon VPC), mit der Sie unbeabsichtigte Netzwerkzugriffe auf Ihre Ressourcen auf Amazon Web Services (AWS) identifizieren können. Sie können Network Access Analyzer verwenden, um Ihre Netzwerkzugriffsanforderungen zu spezifizieren und potenzielle Netzwerkpfade zu identifizieren, die Ihren angegebenen Anforderungen nicht entsprechen. Sie können Network Access Analyzer verwenden, um Folgendes zu tun:

1. Identifizieren Sie AWS Ressourcen, auf die über Internet-Gateways über das Internet zugegriffen werden kann.

1. Stellen Sie sicher, dass Ihre virtuellen privaten Clouds (VPCs) angemessen segmentiert sind, z. B. durch die Isolierung von Produktions- und Entwicklungsumgebungen und die Trennung von Transaktionsworkloads.

Network Access Analyzer analysiert die Bedingungen der end-to-end Netzwerkerreichbarkeit und nicht nur eine einzelne Komponente. Um festzustellen, ob eine Ressource über das Internet zugänglich ist, bewertet Network Access Analyzer das Internet-Gateway, VPC-Routentabellen, Netzwerkzugriffskontrolllisten (ACLs), öffentliche IP-Adressen auf elastischen Netzwerkschnittstellen und Sicherheitsgruppen. Wenn eine dieser Komponenten den Internetzugang verhindert, generiert Network Access Analyzer kein Ergebnis. Wenn eine Amazon Elastic Compute Cloud (Amazon EC2) -Instance beispielsweise über eine offene Sicherheitsgruppe verfügt, die Datenverkehr zulässt, sich die Instance `0/0` aber in einem privaten Subnetz befindet, das von keinem Internet-Gateway aus routbar ist, würde Network Access Analyzer kein Ergebnis generieren. Dies liefert qualitativ hochwertige Ergebnisse, sodass Sie Ressourcen identifizieren können, auf die wirklich über das Internet zugegriffen werden kann.

Wenn Sie Network Access Analyzer ausführen, verwenden Sie [Network Access Scopes](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-network-access-analyzer.html#concepts), um Ihre Netzwerkzugriffsanforderungen zu spezifizieren. Diese Lösung identifiziert Netzwerkpfade zwischen einem Internet-Gateway und einer elastic network interface. Bei diesem Muster stellen Sie die Lösung in einer zentralen Umgebung Ihrer Organisation bereit, die von allen Konten AWS-Konto in der Organisation verwaltet wird AWS Organizations, und sie analysiert alle Konten in der Organisation. AWS-Region

Bei der Entwicklung dieser Lösung wurde Folgendes berücksichtigt:
+ Die AWS CloudFormation Vorlagen reduzieren den Aufwand, der für die Bereitstellung der AWS Ressourcen in diesem Muster erforderlich ist.
+ Sie können die Parameter in den CloudFormation Vorlagen und im Skript **naa-script.sh** zum Zeitpunkt der Bereitstellung anpassen, um sie an Ihre Umgebung anzupassen.
+ Bash-Scripting stellt automatisch die Network Access Scopes für mehrere Konten parallel bereit und analysiert sie.
+ Ein Python-Skript verarbeitet die Ergebnisse, extrahiert die Daten und konsolidiert dann die Ergebnisse. Sie können wählen, ob Sie den konsolidierten Bericht mit den Ergebnissen von Network Access Analyzer im CSV-Format oder in AWS Security Hub CSPMüberprüfen möchten. Ein Beispiel für den CSV-Bericht finden Sie im Abschnitt [Zusätzliche Informationen](#create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts-additional) dieses Musters.
+ Sie können Ergebnisse korrigieren oder sie von future Analysen ausschließen, indem Sie sie der Datei **naa-exclusions.csv** hinzufügen.

## Voraussetzungen und Einschränkungen
<a name="create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts-prereqs"></a>

**Voraussetzungen**
+ Ein AWS-Konto zum Hosten von Sicherheitsdiensten und -tools, das als Mitgliedskonto einer Organisation in AWS Organizations verwaltet wird. In diesem Muster wird dieses Konto als Sicherheitskonto bezeichnet.
+ Im Sicherheitskonto müssen Sie über ein privates Subnetz mit ausgehendem Internetzugang verfügen. Anweisungen finden Sie unter [Erstellen eines Subnetzes](https://docs.aws.amazon.com/vpc/latest/userguide/create-subnets.html) in der Amazon VPC-Dokumentation. Sie können den Internetzugang mithilfe eines [NAT-Gateways](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html) oder eines [VPC-Schnittstellen-Endpunkts](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) einrichten.
+ Zugriff auf das AWS Organizations Verwaltungskonto oder ein Konto, für das Administratorrechte delegiert wurden. CloudFormation Anweisungen finden Sie in der [Dokumentation unter Registrieren eines delegierten Administrators](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-delegated-admin.html). CloudFormation 
+ Aktivieren Sie den vertrauenswürdigen Zugriff zwischen AWS Organizations und CloudFormation. Anweisungen finden Sie AWS Organizations in der CloudFormation Dokumentation unter [Vertrauenswürdigen Zugriff aktivieren mit](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-enable-trusted-access.html).
+ Wenn Sie die Ergebnisse auf Security Hub CSPM hochladen, muss Security Hub CSPM für das Konto und den AWS-Region Ort, an dem die Amazon-Instance bereitgestellt wird, aktiviert sein. EC2 Weitere Informationen finden Sie unter [Einrichten AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html).

**Einschränkungen**
+ Kontoübergreifende Netzwerkpfade werden derzeit aufgrund von Einschränkungen der Network Access Analyzer-Funktion nicht analysiert.
+ Das Ziel AWS-Konten muss als Organisation in AWS Organizations verwaltet werden. **Wenn Sie das nicht verwenden AWS Organizations, können Sie die CloudFormation Vorlage **naa-execrole.yaml** und das Skript naa-script.sh für Ihre Umgebung aktualisieren.** Stattdessen geben Sie eine Liste der Regionen an, in denen Sie das AWS-Konto IDs Skript ausführen möchten.
+ Die CloudFormation Vorlage ist für die Bereitstellung der EC2 Amazon-Instance in einem privaten Subnetz mit ausgehendem Internetzugang konzipiert. Der AWS Systems Manager Agent (SSM-Agent) benötigt ausgehenden Zugriff, um den Systems Manager-Dienstendpunkt zu erreichen, und Sie benötigen ausgehenden Zugriff, um das Code-Repository zu klonen und Abhängigkeiten zu installieren. Wenn Sie ein öffentliches Subnetz verwenden möchten, müssen Sie die Vorlage **naa-resources.yaml** ändern, um der Amazon-Instance eine [Elastic IP-Adresse](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/elastic-ip-addresses-eip.html) zuzuordnen. EC2 

## Architektur
<a name="create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts-architecture"></a>

**Zielarchitektur**

*Option 1: Auf Ergebnisse in einem Amazon S3 S3-Bucket zugreifen*

![\[Architekturdiagramm für den Zugriff auf den Network Access Analyzer-Ergebnisbericht in einem Amazon S3 S3-Bucket\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/eda6abba-632a-4e3d-92b9-31848fa6dead/images/d0b08437-e5b0-47a1-abdd-040c67b5da8f.png)


Das Diagramm zeigt den folgenden Prozess:

1. Wenn Sie die Lösung manuell ausführen, authentifiziert sich der Benutzer mit Session Manager bei der EC2 Amazon-Instance und führt dann das Skript **naa-script.sh** aus. Dieses Shell-Skript führt die Schritte 2—7 aus.

   Wenn Sie die Lösung automatisch ausführen, wird das Skript **naa-script.sh** automatisch nach dem Zeitplan gestartet, den Sie im Cron-Ausdruck definiert haben. Dieses Shell-Skript führt die Schritte 2 bis 7 aus. Weitere Informationen finden Sie unter *Automatisierung und Skalierung* am Ende dieses Abschnitts.

1. Die EC2 Amazon-Instance lädt die neueste Datei **naa-exception.csv** aus dem Amazon S3-Bucket herunter. Diese Datei wird später im Prozess verwendet, wenn das Python-Skript die Ausnahmen verarbeitet.

1. Die EC2 Amazon-Instance übernimmt die Rolle `NAAEC2Role` AWS Identity and Access Management (IAM), die Berechtigungen für den Zugriff auf den Amazon S3-Bucket und für die Übernahme der `NAAExecRole` IAM-Rollen in den anderen Konten in der Organisation gewährt.

1. Die EC2 Amazon-Instance übernimmt die `NAAExecRole` IAM-Rolle im Verwaltungskonto der Organisation und generiert eine Liste der Konten in der Organisation.

1. Die EC2 Amazon-Instance übernimmt die `NAAExecRole` IAM-Rolle in den Mitgliedskonten der Organisation (im Architekturdiagramm als *Workload-Konten* bezeichnet) und führt für jedes Konto eine Sicherheitsbewertung durch. Die Ergebnisse werden als JSON-Dateien auf der EC2 Amazon-Instance gespeichert.

1. Die EC2 Amazon-Instance verwendet ein Python-Skript, um die JSON-Dateien zu verarbeiten, die Datenfelder zu extrahieren und einen CSV-Bericht zu erstellen.

1. Die EC2 Amazon-Instance lädt die CSV-Datei in den Amazon S3-Bucket hoch.

1. Eine EventBridge Amazon-Regel erkennt den Datei-Upload und verwendet ein Amazon SNS-Thema, um eine E-Mail zu senden, die den Benutzer darüber informiert, dass der Bericht abgeschlossen ist.

1. Der Benutzer lädt die CSV-Datei aus dem Amazon S3 S3-Bucket herunter. Der Benutzer importiert die Ergebnisse in die Excel-Vorlage und überprüft die Ergebnisse.

*Option 2: Zugriff auf Ergebnisse in AWS Security Hub CSPM*

![\[Architekturdiagramm für den Zugriff auf die Ergebnisse von Network Access Analyzer über AWS Security Hub\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/eda6abba-632a-4e3d-92b9-31848fa6dead/images/9cb4f059-dfb6-4a33-9f8d-159fe5df0d64.png)


Das Diagramm zeigt den folgenden Prozess:

1. Wenn Sie die Lösung manuell ausführen, authentifiziert sich der Benutzer mit Session Manager bei der EC2 Amazon-Instance und führt dann das Skript **naa-script.sh** aus. Dieses Shell-Skript führt die Schritte 2—7 aus.

   Wenn Sie die Lösung automatisch ausführen, wird das Skript **naa-script.sh** automatisch nach dem Zeitplan gestartet, den Sie im Cron-Ausdruck definiert haben. Dieses Shell-Skript führt die Schritte 2 bis 7 aus. Weitere Informationen finden Sie unter *Automatisierung und Skalierung* am Ende dieses Abschnitts.

1. Die EC2 Amazon-Instance lädt die neueste Datei **naa-exception.csv** aus dem Amazon S3-Bucket herunter. Diese Datei wird später im Prozess verwendet, wenn das Python-Skript die Ausnahmen verarbeitet.

1. Die EC2 Amazon-Instance übernimmt die `NAAEC2Role` IAM-Rolle, die Berechtigungen für den Zugriff auf den Amazon S3-Bucket und für die Übernahme der `NAAExecRole` IAM-Rollen in den anderen Konten in der Organisation gewährt.

1. Die EC2 Amazon-Instance übernimmt die `NAAExecRole` IAM-Rolle im Verwaltungskonto der Organisation und generiert eine Liste der Konten in der Organisation.

1. Die EC2 Amazon-Instance übernimmt die `NAAExecRole` IAM-Rolle in den Mitgliedskonten der Organisation (im Architekturdiagramm als *Workload-Konten* bezeichnet) und führt für jedes Konto eine Sicherheitsbewertung durch. Die Ergebnisse werden als JSON-Dateien auf der EC2 Amazon-Instance gespeichert.

1. Die EC2 Amazon-Instance verwendet ein Python-Skript, um die JSON-Dateien zu verarbeiten und die Datenfelder für den Import in Security Hub CSPM zu extrahieren.

1. Die EC2 Amazon-Instance importiert die Ergebnisse von Network Access Analyzer in Security Hub CSPM.

1. Eine EventBridge Amazon-Regel erkennt den Import und verwendet ein Amazon SNS-Thema, um eine E-Mail zu senden, die den Benutzer darüber informiert, dass der Vorgang abgeschlossen ist.

1. Der Benutzer sieht sich die Ergebnisse in Security Hub CSPM an.

**Automatisierung und Skalierung**

Sie können diese Lösung so planen, dass das Skript **naa-script.sh** automatisch nach einem benutzerdefinierten Zeitplan ausgeführt wird. Um einen benutzerdefinierten Zeitplan festzulegen, ändern Sie in der CloudFormation Vorlage **naa-resources.yaml** den Parameter. `CronScheduleExpression` Der Standardwert von `0 0 * * 0` führt die Lösung beispielsweise jeden Sonntag um Mitternacht aus. Ein Wert von `0 0 * 1-12 0` würde die Lösung jeden ersten Sonntag im Monat um Mitternacht ausführen. Weitere Informationen zur Verwendung von Cron-Ausdrücken finden Sie unter [Cron- und Rate-Ausdrücke](https://docs.aws.amazon.com/systems-manager/latest/userguide/reference-cron-and-rate-expressions.html) in der Systems Manager Manager-Dokumentation.

Wenn Sie den Zeitplan nach der Bereitstellung des `NAA-Resources` Stacks anpassen möchten, können Sie den Cron-Zeitplan unter manuell bearbeiten. `/etc/cron.d/naa-schedule`

## Tools
<a name="create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts-tools"></a>

**AWS-Services**
+ [Amazon Elastic Compute Cloud (Amazon EC2)](https://docs.aws.amazon.com/ec2/) bietet skalierbare Rechenkapazität in der AWS Cloud. Sie können so viele virtuelle Server wie nötig nutzen und sie schnell nach oben oder unten skalieren.
+ [Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) ist ein serverloser Event-Bus-Service, mit dem Sie Ihre Anwendungen mit Echtzeitdaten aus einer Vielzahl von Quellen verbinden können. Zum Beispiel AWS Lambda Funktionen, HTTP-Aufruf-Endpunkte, die API-Ziele verwenden, oder Event-Busse in anderen. AWS-Konten
+ [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) hilft Ihnen dabei, den Zugriff auf Ihre AWS Ressourcen sicher zu verwalten, indem kontrolliert wird, wer authentifiziert und autorisiert ist, diese zu verwenden.
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)ist ein Kontoverwaltungsservice, mit dem Sie mehrere Konten zu einer Organisation AWS-Konten zusammenfassen können, die Sie erstellen und zentral verwalten.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)bietet einen umfassenden Überblick über Ihren Sicherheitsstatus in AWS. Es hilft Ihnen auch dabei, Ihre AWS Umgebung anhand der Sicherheitsstandards und bewährten Verfahren der Branche zu überprüfen.
+ [Amazon Simple Notification Service (Amazon SNS)](https://docs.aws.amazon.com/sns/latest/dg/welcome.html) unterstützt Sie bei der Koordination und Verwaltung des Nachrichtenaustauschs zwischen Herausgebern und Kunden, einschließlich Webservern und E-Mail-Adressen.
+ [Amazon Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) ist ein cloudbasierter Objektspeicherservice, der Sie beim Speichern, Schützen und Abrufen beliebiger Datenmengen unterstützt.
+ [AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html)hilft Ihnen bei der Verwaltung Ihrer Anwendungen und Infrastruktur, die in der AWS Cloud ausgeführt werden. Es vereinfacht das Anwendungs- und Ressourcenmanagement, verkürzt die Zeit für die Erkennung und Lösung betrieblicher Probleme und hilft Ihnen, Ihre AWS Ressourcen sicher und in großem Umfang zu verwalten. Dieses Muster verwendet Session Manager, eine Funktion von Systems Manager.

**Code-Repository**

Der Code für dieses Muster ist im GitHub [Network Access Analyzer Multi-Account Analysis-Repository](https://github.com/aws-samples/network-access-analyzer-multi-account-analysis) verfügbar. Das Code-Repository enthält die folgenden Dateien:
+ **naa-script.sh** — Dieses Bash-Skript wird verwendet, um eine Network Access Analyzer-Analyse mehrerer AWS-Konten parallel zu starten. Wie in der CloudFormation Vorlage **naa-resources.yaml** definiert, wird dieses Skript automatisch im `/usr/local/naa` Ordner auf der Amazon-Instance bereitgestellt. EC2 
+ **naa-resources.yaml** — Sie verwenden diese CloudFormation Vorlage, um einen Stack im Sicherheitskonto der Organisation zu erstellen. Diese Vorlage stellt alle erforderlichen Ressourcen für dieses Konto bereit, um die Lösung zu unterstützen. Dieser Stack muss vor der Vorlage **naa-execrole.yaml** bereitgestellt werden.
**Anmerkung**  
Wenn dieser Stack gelöscht und erneut bereitgestellt wird, müssen Sie den `NAAExecRole` Stacksatz neu erstellen, um die kontenübergreifenden Abhängigkeiten zwischen den IAM-Rollen wiederherzustellen.
+ **naa-execrole.yaml** — Sie verwenden diese CloudFormation Vorlage, um ein Stack-Set zu erstellen, das die `NAAExecRole` IAM-Rolle in allen Konten der Organisation, einschließlich des Verwaltungskontos, bereitstellt.
+ **naa-processfindings.py** — Das Skript **naa-script.sh** ruft dieses Python-Skript automatisch auf, um die JSON-Ausgaben von Network Access Analyzer zu verarbeiten, alle zweifelsfrei funktionierenden Ressourcen in der Datei **naa-exclusions.csv** auszuschließen und dann entweder eine CSV-Datei mit den konsolidierten Ergebnissen zu generieren oder die Ergebnisse in Security Hub CSPM zu importieren.

## Epen
<a name="create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts-epics"></a>

### Bereite dich auf den Einsatz vor
<a name="prepare-for-deployment"></a>


| Aufgabe | Description | Erforderliche Fähigkeiten | 
| --- | --- | --- | 
| Klonen Sie das Code-Repository. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps | 
| Überprüfen Sie die Vorlagen. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps | 

### Erstellen Sie die CloudFormation Stapel
<a name="create-the-cfnshort-stacks"></a>


| Aufgabe | Description | Erforderliche Fähigkeiten | 
| --- | --- | --- | 
| Stellen Sie Ressourcen im Sicherheitskonto bereit. | Mithilfe der Vorlage **naa-resources.yaml** erstellen Sie einen CloudFormation Stack, der alle erforderlichen Ressourcen im Sicherheitskonto bereitstellt. Anweisungen finden Sie in der Dokumentation unter [Einen Stack erstellen](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html). CloudFormation Beachten Sie bei der Bereitstellung dieser Vorlage Folgendes:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps | 
| Stellen Sie die IAM-Rolle in den Mitgliedskonten bereit. | Verwenden Sie im AWS Organizations Verwaltungskonto oder einem Konto mit delegierten Administratorrechten für die Vorlage **naa-execrole.yaml CloudFormation**, um ein Stack-Set zu erstellen. CloudFormation Das Stack-Set stellt die `NAAExecRole` IAM-Rolle in allen Mitgliedskonten der Organisation bereit. Anweisungen finden Sie in der Dokumentation unter [Erstellen eines Stack-Sets mit vom Service verwalteten Berechtigungen](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-getting-started-create.html#stacksets-orgs-associate-stackset-with-org). CloudFormation Beachten Sie bei der Bereitstellung dieser Vorlage Folgendes:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps | 
| Stellen Sie die IAM-Rolle im Verwaltungskonto bereit. | Mithilfe der Vorlage **naa-execrole.yaml** erstellen Sie einen CloudFormation Stack, der die `NAAExecRole` IAM-Rolle im Verwaltungskonto der Organisation bereitstellt. Das Stack-Set, das Sie zuvor erstellt haben, stellt die IAM-Rolle nicht im Verwaltungskonto bereit. Anweisungen finden Sie in der CloudFormation Dokumentation unter [Einen Stack erstellen](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html). Beachten Sie bei der Bereitstellung dieser Vorlage Folgendes:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps | 

### Führen Sie die Analyse durch
<a name="perform-the-analysis"></a>


| Aufgabe | Description | Erforderliche Fähigkeiten | 
| --- | --- | --- | 
| Passen Sie das Shell-Skript an. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps | 
| Analysieren Sie die Zielkonten. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps | 
| Option 1 — Rufen Sie die Ergebnisse aus dem Amazon S3 S3-Bucket ab. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps | 
| Option 2 — Überprüfen Sie die Ergebnisse in Security Hub CSPM. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps | 

### Ergebnisse korrigieren und ausschließen
<a name="remediate-and-exclude-findings"></a>


| Aufgabe | Description | Erforderliche Fähigkeiten | 
| --- | --- | --- | 
| Korrigieren Sie die Ergebnisse. | Korrigieren Sie alle Ergebnisse, die Sie korrigieren möchten. Weitere Informationen und bewährte Methoden zur Einrichtung eines Perimeters rund um Ihre AWS Identitäten, Ressourcen und Netzwerke finden Sie unter [Building a data perimeter on AWS](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/building-a-data-perimeter-on-aws.html) (Whitepaper).AWS  | AWS DevOps | 
| Schließen Sie Ressourcen mit zweifelsfrei funktionierenden Netzwerkpfaden aus. | Wenn Network Access Analyzer Ergebnisse für Ressourcen generiert, auf die über das Internet zugegriffen werden sollte, können Sie diese Ressourcen zu einer Ausschlussliste hinzufügen. Wenn Network Access Analyzer das nächste Mal ausgeführt wird, wird kein Ergebnis für diese Ressource generiert.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps | 

### (Optional) Aktualisieren Sie das Skript naa-script.sh
<a name="optional-update-the-naa-script-sh-script"></a>


| Aufgabe | Description | Erforderliche Fähigkeiten | 
| --- | --- | --- | 
| Aktualisieren Sie das Skript naa-script.sh. | Wenn Sie das Skript **naa-script.sh** auf die neueste Version im Repository aktualisieren möchten, gehen Sie wie folgt vor:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps | 

### (Optional) Bereinigen
<a name="optional-clean-up"></a>


| Aufgabe | Description | Erforderliche Fähigkeiten | 
| --- | --- | --- | 
| Löschen Sie alle bereitgestellten Ressourcen. | Sie können die bereitgestellten Ressourcen in den Konten belassen.Wenn Sie die Bereitstellung aller Ressourcen aufheben möchten, gehen Sie wie folgt vor:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps | 

## Fehlerbehebung
<a name="create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts-troubleshooting"></a>


| Problem | Lösung | 
| --- | --- | 
| Es konnte keine Verbindung mit der EC2 Amazon-Instance mithilfe des Sitzungsmanagers hergestellt werden. | Der SSM-Agent muss in der Lage sein, mit dem Systems Manager Manager-Endpunkt zu kommunizieren. Gehen Sie wie folgt vor:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | 
| Bei der Bereitstellung des Stack-Sets werden Sie von der CloudFormation Konsole dazu aufgefordert. `Enable trusted access with AWS Organizations to use service-managed permissions` | Dies weist darauf hin, dass der vertrauenswürdige Zugriff zwischen AWS Organizations und CloudFormation nicht aktiviert wurde. Für die Bereitstellung des vom Service verwalteten Stack-Sets ist ein vertrauenswürdiger Zugriff erforderlich. Wählen Sie die Schaltfläche, um den vertrauenswürdigen Zugriff zu aktivieren. Weitere Informationen finden Sie in der CloudFormation Dokumentation unter [Vertrauenswürdigen Zugriff aktivieren](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-enable-trusted-access.html). | 

## Zugehörige Ressourcen
<a name="create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts-resources"></a>
+ [Neu — Amazon VPC Network Access Analyzer](https://aws.amazon.com/blogs/aws/new-amazon-vpc-network-access-analyzer/) (AWS Blogbeitrag)
+ [AWS re:INFORCE 2022 — Validieren Sie effektive Netzwerkzugriffskontrollen auf AWS (NIS202) (Video)](https://youtu.be/aN2P2zeQek0)
+ [Demo — Unternehmensweite Analyse von eingehenden Internetdaten mithilfe des Network Access Analyzer](https://youtu.be/1IFNZWy4iy0) (Video)

## Zusätzliche Informationen
<a name="create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts-additional"></a>

**Beispiel für eine Konsolenausgabe**

Das folgende Beispiel zeigt die Ausgabe der Generierung der Liste der Zielkonten und der Analyse der Zielkonten.

```
[root@ip-10-10-43-82 naa]# ./naa-script.sh
download: s3://naa-<account ID>-us-east-1/naa-exclusions.csv to ./naa-exclusions.csv

AWS Management Account: <Management account ID>

AWS Accounts being processed...
<Account ID 1> <Account ID 2> <Account ID 3>

Assessing AWS Account: <Account ID 1>, using Role: NAAExecRole
Assessing AWS Account: <Account ID 2>, using Role: NAAExecRole
Assessing AWS Account: <Account ID 3>, using Role: NAAExecRole
Processing account: <Account ID 1> / Region: us-east-1
Account: <Account ID 1> / Region: us-east-1 – Detecting Network Analyzer scope...
Processing account: <Account ID 2> / Region: us-east-1
Account: <Account ID 2> / Region: us-east-1 – Detecting Network Analyzer scope...
Processing account: <Account ID 3> / Region: us-east-1
Account: <Account ID 3> / Region: us-east-1 – Detecting Network Analyzer scope...
Account: <Account ID 1> / Region: us-east-1 – Network Access Analyzer scope detected.
Account: <Account ID 1> / Region: us-east-1 – Continuing analyses with Scope ID. Accounts with many resources may take up to one hour
Account: <Account ID 2> / Region: us-east-1 – Network Access Analyzer scope detected.
Account: <Account ID 2> / Region: us-east-1 – Continuing analyses with Scope ID. Accounts with many resources may take up to one hour
Account: <Account ID 3> / Region: us-east-1 – Network Access Analyzer scope detected.
Account: <Account ID 3> / Region: us-east-1 – Continuing analyses with Scope ID. Accounts with many resources may take up to one hour
```

**Beispiele für CSV-Berichte**

Die folgenden Bilder sind Beispiele für die CSV-Ausgabe.

![\[Beispiel 1 des mit dieser Lösung generierten CSV-Berichts.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/eda6abba-632a-4e3d-92b9-31848fa6dead/images/55e02e61-054e-4da6-aaae-c9a8b6f4f272.png)


![\[Beispiel 2 des mit dieser Lösung generierten CSV-Berichts.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/eda6abba-632a-4e3d-92b9-31848fa6dead/images/95f980ad-92c1-4392-92d4-9c742755aab2.png)