Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Bewerten der Auswirkungen von VPC-BPA und Überwachen von VPC-BPA
Dieser Abschnitt enthält Informationen darüber, wie Sie die Auswirkungen von VPC BPA bewerten können, bevor Sie es aktivieren, und wie Sie überwachen, ob der Datenverkehr nach dem Aktivieren blockiert wird.
**Topics**
+ [Bewerten der Auswirkungen von VPC BPA mithilfe von Network Access Analyzer](#security-vpc-bpa-assess-impact)
+ [Überwachen der VPC-BPA-Auswirkungen mit Flow-Protokollen](#security-vpc-bpa-fl)
+ [Verfolgen Sie das Löschen von Ausschlüssen mit CloudTrail](#security-vpc-bpa-cloudtrail)
+ [Überprüfen mit Reachability Analyzer, ob die Konnektivität blockiert ist](#security-vpc-bpa-verify-RA)
## Bewerten der Auswirkungen von VPC BPA mithilfe von Network Access Analyzer
In diesem Abschnitt verwenden Sie Network Access Analyzer, um die Ressourcen in Ihrem Konto anzuzeigen, die ein Internet-Gateway verwenden, *bevor* Sie VPC BPA aktivieren und den Zugriff blockieren. Verwenden Sie diese Analyse, um die Auswirkungen des Aktivierens von VPC BPA in Ihrem Konto und des Blockierens von Datenverkehr zu verstehen.
**Anmerkung**
Network Access Analyzer unterstützt IPv6 dies nicht. Sie können ihn also nicht verwenden, um die möglichen Auswirkungen von VPC BPA auf ausgehenden Internet-Gateway-Datenverkehr zu überprüfen. IPv6
Die Analysen, die Sie mit Network Access Analyzer durchführen, sind kostenpflichtig. Weitere Informationen finden Sie unter [Preisgestaltung](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-network-access-analyzer.html#pricing) im *Handbuch für Network Access Analyzer*.
Informationen über die regionale Verfügbarkeit von Network Access Analyzer finden Sie unter [Einschränkungen](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/how-network-access-analyzer-works.html#analyzer-limitations) im *Handbuch für Network Access Analyzer*.
------
#### [ AWS-Managementkonsole ]
1. Öffnen Sie die Network Insights-Konsole unter. AWS [https://console.aws.amazon.com/networkinsights/](https://console.aws.amazon.com/networkinsights/)
1. Wählen Sie **Network Access Analyzer** aus.
1. Klicken Sie auf **Netzwerkzugriffsbereich erstellen**.
1. Wählen Sie **Auswirkungen von VPC Block Public Access bewerten** und dann **Weiter** aus.
1. Die Vorlage ist bereits so konfiguriert, dass sie den Datenverkehr zu und von den Internet-Gateways in Ihrem Konto analysiert. Sie können dies unter **Quelle** und **Ziel** einsehen.
1. Wählen Sie **Weiter** aus.
1. Klicken Sie auf **Netzwerkzugriffsbereich erstellen**.
1. Wählen Sie den gerade erstellten Bereich aus und klicken Sie auf **Analysieren**.
1. Warten Sie, bis die Analyse abgeschlossen ist.
1. Zeigen Sie die Ergebnisse der Analyse an. Jede Zeile unter **Erkenntnise** zeigt einen Netzwerkpfad, den ein Paket in einem Netzwerk zu oder von einem Internet-Gateway in Ihrem Konto nehmen kann. Wenn Sie in diesem Fall VPC BPA aktivieren und keines der in diesen Ergebnissen aufgeführten VPCs und oder Subnetze als VPC-BPA-Ausschlüsse konfiguriert ist, wird der Datenverkehr zu diesen VPCs und Subnetzen eingeschränkt.
1. Analysieren Sie jedes Ergebnis, um die Auswirkungen von VPC BPA auf Ihre Ressourcen zu verstehen. VPCs
Die Analyse der Auswirkungen ist abgeschlossen.
------
#### [ AWS CLI ]
1. Erstellen Sie einen Netzwerkzugriffsbereich:
```
aws ec2 create-network-insights-access-scope --region us-east-2 --match-paths "Source={ResourceStatement={ResourceTypes=["AWS::EC2::InternetGateway"]}}" "Destination={ResourceStatement={ResourceTypes=["AWS::EC2::InternetGateway"]}}"
```
1. Starten Sie die Analyse des Bereichs:
```
aws ec2 start-network-insights-access-scope-analysis --region us-east-2 --network-insights-access-scope-id nis-id
```
1. Rufen Sie die Ergebnisse der Analyse ab:
```
aws ec2 get-network-insights-access-scope-analysis-findings --region us-east-2 --network-insights-access-scope-analysis-id nisa-0aa383a1938f94cd1 --max-items 1
```
Die Ergebnisse zeigen den Verkehr zu und von den Internet-Gateways in allen Bereichen Ihres Kontos VPCs . Die Ergebnisse sind als „Ergebnisse“ zusammengefasst. "FindingId„:" AnalysisFinding -1" gibt an, dass dies das erste Ergebnis der Analyse ist. Beachten Sie, dass es mehrere Erkenntnisse gibt, die jeweils auf einen Datenverkehrsfluss hinweisen, der durch die Aktivierung von VPC BPA beeinträchtigt wird. Das erste Ergebnis zeigt, dass der Datenverkehr an einem Internet-Gateway (“ SequenceNumber „: 1) begann, an eine NACL (“ SequenceNumber „: 2) an eine Sicherheitsgruppe (“ SequenceNumber „: 3) weitergeleitet wurde und an einer Instanz (“ SequenceNumber „: 4) endete.
1. Analysieren Sie die Ergebnisse, um die Auswirkungen von VPC BPA auf Ihre Ressourcen zu verstehen. VPCs
Die Analyse der Auswirkungen ist abgeschlossen.
------
## Überwachen der VPC-BPA-Auswirkungen mit Flow-Protokollen
VPC-Flow-Protokolle ist ein Feature, mit dem Sie Informationen über den IP-Datenverkehr zu und von Elastic-Network-Schnittstellen in Ihrer VPC erfassen können. Sie können dieses Feature verwenden, um den Datenverkehr zu überwachen, der durch VPC BPA daran gehindert wird, Ihre Instance-Netzwerkschnittstellen zu erreichen.
Erstellen Sie ein Flow-Protokoll für Ihre VPC anhand der Schritte unter [Arbeiten mit Flow-Protokollen](working-with-flow-logs.md).
Stellen Sie beim Erstellen des Flow-Protokolls sicher, dass Sie ein benutzerdefiniertes Format verwenden, das das Feld `reject-reason` enthält.
Wenn Sie die Flow-Protokolle anzeigen und der Datenverkehr zu einer ENI aufgrund von VPC-BPA abgelehnt wird, wird im Flow-Protokolleintrag ein `reject-reason` von `BPA` angezeigt.
Zusätzlich zu den standardmäßigen [Einschränkungen](flow-logs-limitations.md) für VPC-Flow-Protokolle sind die folgenden, für VPC BPA spezifischen Einschränkungen zu beachten:
+ Flow-Protokolle für VPC BPA enthalten keine [übersprungenen Datensätze](flow-logs-records-examples.md#flow-log-example-no-data).
+ [`bytes`](flow-log-records.md#flow-logs-fields) sind nicht in Flow-Protokollen für VPC BPA enthalten, auch wenn Sie das Feld `bytes` in Ihr Flow-Protokoll aufnehmen.
## Verfolgen Sie das Löschen von Ausschlüssen mit CloudTrail
In diesem Abschnitt wird erklärt, wie Sie AWS CloudTrail das Löschen von VPC-BPA-Ausschlüssen überwachen und verfolgen können.
------
#### [ AWS-Managementkonsole ]
Sie können alle gelöschten Ausnahmen im **CloudTrail Ereignisverlauf** einsehen, indem Sie in der Konsole unter **Ressourcentyp** > `AWS::EC2::VPCBlockPublicAccessExclusion` suchen. AWS CloudTrail [https://console.aws.amazon.com/cloudtrailv2/](https://console.aws.amazon.com/cloudtrailv2/)
------
#### [ AWS CLI ]
Mit dem Befehl `lookup-events` können Sie die Ereignisse im Zusammenhang mit dem Löschen von Ausschlüssen anzeigen:
```
aws cloudtrail lookup-events --lookup-attributes AttributeKey=ResourceType,AttributeValue=AWS::EC2::VPCBlockPublicAccessExclusion
```
------
## Überprüfen mit Reachability Analyzer, ob die Konnektivität blockiert ist
[VPC Reachability Analyzer](https://docs.aws.amazon.com/vpc/latest/reachability/what-is-reachability-analyzer.html) kann verwendet werden, um zu bewerten, ob bestimmte Netzwerkpfade angesichts Ihrer Netzwerkkonfiguration, einschließlich der Einstellungen für VPC BPA, erreicht werden können oder nicht.
Informationen zur regionalen Verfügbarkeit von Reachability Analyzer finden Sie unter [Überlegungen](https://docs.aws.amazon.com/vpc/latest/reachability/how-reachability-analyzer-works.html#considerations) im *Leitfaden Reachability Analyzer*.
------
#### [ AWS-Managementkonsole ]
1. Öffnen Sie die AWS Network Insights-Konsole unter[https://console.aws.amazon.com/networkinsights/home#ReachabilityAnalyzer](https://console.aws.amazon.com/networkinsights/home#ReachabilityAnalyzer).
1. Klicken Sie auf **Pfad erstellen und analysieren**.
1. Wählen Sie als **Quelltyp** die Option **Internet-Gateways** aus und wählen Sie dann aus der Dropdown-Liste **Quelle** das Internet-Gateway aus, für das Sie den Datenverkehr blockieren möchten.
1. Wählen Sie unter **Zieltyp** die Option **Instances** aus und wählen Sie dann aus dem Dropdown-Menü **Ziel** die Instance aus, zu der Sie den Datenverkehr blockieren möchten.
1. Klicken Sie auf **Pfad erstellen und analysieren**.
1. Warten Sie, bis die Analyse abgeschlossen ist. Dies kann einige Minuten dauern.
1. Sobald dies abgeschlossen ist, sollten Sie sehen, dass der **Erreichbarkeitsstatus** **Nicht erreichbar** lautet und dass die **Pfaddetails** zeigen, dass `VPC_BLOCK_PUBLIC_ACCESS_ENABLED ` die Ursache für dieses Erreichbarkeitsproblem ist.
------
#### [ AWS CLI ]
1. Erstellen Sie einen Netzwerkpfad mit der ID des Internet-Gateways, von dem aus Sie den Datenverkehr blockieren möchten (Quelle), und der ID der Instance, zu der Sie den Datenverkehr blockieren möchten (Ziel):
```
aws ec2 --region us-east-2 create-network-insights-path --source igw-id --destination instance-id --protocol TCP
```
1. Starten Sie eine Analyse des Netzwerkpfads:
```
aws ec2 --region us-east-2 start-network-insights-analysis --network-insights-path-id nip-id
```
1. Rufen Sie die Ergebnisse der Analyse ab:
```
aws ec2 --region us-east-2 describe-network-insights-analyses --network-insights-analysis-ids nia-id
```
1. Prüfen Sie, ob `VPC_BLOCK_PUBLIC_ACCESS_ENABLED` das `ExplanationCode` für die fehlende Erreichbarkeit ist.
------