

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Cree un informe con los hallazgos de Network Access Analyzer sobre el acceso entrante a Internet en múltiples Cuentas de AWS
<a name="create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts"></a>

*Mike Virgilio, Amazon Web Services*

## Resumen
<a name="create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts-summary"></a>

El acceso entrante no intencionado a AWS los recursos a través de Internet puede suponer un riesgo para el perímetro de datos de una organización. El [Analizador de acceso a la red](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-network-access-analyzer.html) es una característica de Amazon Virtual Private Cloud (Amazon VPC) que ayuda a identificar el acceso de red no deseado a sus recursos en Amazon Web Services (AWS). Puede utilizar el Analizador de acceso a la red para especificar sus requisitos de acceso a la red e identificar posibles rutas de red que no cumplan los requisitos especificados. Puede utilizar el Analizador de acceso a la red para hacer lo siguiente:

1. Identifique AWS los recursos a los que se puede acceder a Internet a través de pasarelas de Internet.

1. Compruebe que sus nubes privadas virtuales (VPCs) estén segmentadas adecuadamente, por ejemplo, aislando los entornos de producción y desarrollo y separando las cargas de trabajo transaccionales.

Network Access Analyzer analiza las condiciones de accesibilidad end-to-end de la red y no solo un componente individual. Para determinar si un recurso es accesible desde Internet, Network Access Analyzer evalúa la puerta de enlace de Internet, las tablas de enrutamiento de VPC, las listas de control de acceso a la red (ACLs), las direcciones IP públicas en las interfaces de red elásticas y los grupos de seguridad. Si alguno de estos componentes impide el acceso a Internet, en Analizador de acceso a la red no genera ningún resultado. Por ejemplo, si una instancia de Amazon Elastic Compute Cloud (Amazon EC2) tiene un grupo de seguridad abierto que permite el tráfico desde, `0/0` pero la instancia se encuentra en una subred privada que no se puede enrutar desde ninguna puerta de enlace de Internet, Network Access Analyzer no generará ningún hallazgo. Esto proporciona resultados de alta fidelidad para que pueda identificar los recursos a los que realmente se puede acceder desde Internet.

Cuando ejecuta el Analizador de acceso a la red, utiliza los [Ámbitos de acceso a la red](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-network-access-analyzer.html#concepts) para especificar sus requisitos de acceso a la red. Esta solución identifica las rutas de red entre una puerta de enlace de Internet y una interfaz de red elástica. En este patrón, se implementa la solución de forma centralizada Cuenta de AWS en la organización, gestionada por ellas AWS Organizations, y esta analiza todas las cuentas de la organización Región de AWS, si las hay.

Esta solución se diseñó teniendo en cuenta lo siguiente:
+ Las AWS CloudFormation plantillas reducen el esfuerzo necesario para implementar los AWS recursos en este patrón.
+ Puede ajustar los parámetros de las CloudFormation plantillas y del script **naa-script.sh** en el momento de la implementación para personalizarlos para su entorno.
+ Los scripts de Bash aprovisionan y analizan automáticamente los alcances de acceso a la red para varias cuentas, en paralelo.
+ Un script de Python procesa los resultados, extrae los datos y, a continuación, consolida los resultados. Puede optar por revisar el informe consolidado de los resultados del Analizador de acceso a la red en formato CSV o en AWS Security Hub CSPM. Un ejemplo del informe CSV está disponible en la sección de [Información adicional](#create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts-additional) de este patrón.
+ Puede corregir los resultados o excluirlos de futuros análisis agregándolos al archivo **naa-exclusions.csv**.

## Requisitos previos y limitaciones
<a name="create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts-prereqs"></a>

**Requisitos previos **
+ Y Cuenta de AWS para alojar servicios y herramientas de seguridad, gestionados como una cuenta de miembro de una organización en AWS Organizations. En este patrón, esta cuenta se denomina cuenta de seguridad.
+ En la cuenta de seguridad, debe tener una subred privada con acceso saliente a Internet. Para obtener instrucciones, consulte [Crear una subred](https://docs.aws.amazon.com/vpc/latest/userguide/create-subnets.html) en la documentación de Amazon VPC. Puede establecer el acceso a Internet mediante una [puerta de enlace NAT](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html) o un [punto de conexión de VPC de interfaz](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html).
+ Acceso a la cuenta AWS Organizations de administración o a una cuenta para la que se hayan delegado permisos de CloudFormation administrador. Para obtener instrucciones, consulte [Registrar un administrador delegado](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-delegated-admin.html) en la CloudFormation documentación.
+ Habilite el acceso confiable entre AWS Organizations y. CloudFormation Para obtener instrucciones, consulte [Habilitar el acceso confiable con AWS Organizations](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-enable-trusted-access.html) en la CloudFormation documentación.
+ Si vas a subir los resultados a Security Hub CSPM, Security Hub CSPM debe estar habilitado en la cuenta y en el lugar donde Región de AWS se aprovisiona la instancia de Amazon. EC2 Para obtener más información, consulte [Configuración AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html).

**Limitaciones**
+ Las rutas de red entre cuentas no se analizan actualmente debido a las limitaciones de las característica del Analizador de acceso a la red.
+ El objetivo Cuentas de AWS debe gestionarse como una organización en. AWS Organizations**Si no la utiliza AWS Organizations, puede actualizar la CloudFormation plantilla **naa-execrole.yaml** y el script naa-script.sh para su entorno.** En su lugar, proporciona una lista de las regiones en las que desea Cuenta de AWS IDs ejecutar el script.
+ La CloudFormation plantilla está diseñada para implementar la EC2 instancia de Amazon en una subred privada con acceso saliente a Internet. El AWS Systems Manager agente (agente SSM) requiere acceso saliente para llegar al punto final del servicio Systems Manager, y usted necesita acceso saliente para clonar el repositorio de código e instalar las dependencias. Si quieres usar una subred pública, debes modificar la plantilla **naa-resources.yaml** para asociar una [dirección IP](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/elastic-ip-addresses-eip.html) elástica a la instancia de Amazon. EC2 

## Arquitectura
<a name="create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts-architecture"></a>

**Arquitectura de destino**

*Opción 1: Acceder a los resultados de un bucket de Amazon S3*

![\[Diagrama de arquitectura del acceso al informe de resultados del Analizador de acceso a la red en un bucket de Amazon S3\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/images/pattern-img/eda6abba-632a-4e3d-92b9-31848fa6dead/images/d0b08437-e5b0-47a1-abdd-040c67b5da8f.png)


El diagrama muestra el proceso siguiente:

1. Si ejecutas la solución manualmente, el usuario se autentica en la EC2 instancia de Amazon mediante el Administrador de sesiones y, a continuación, ejecuta el script **naa-script.sh**. Este script del intérprete de comandos lleva a cabo los pasos del 2 al 7.

   Si ejecuta la solución automáticamente, el script **naa-script.sh** se iniciará automáticamente según la programación que haya definido en la expresión cron. Este script del intérprete de comandos lleva a cabo los pasos del 2 al 7. Para obtener más información, consulte *Automatizar y escalar* al final de esta sección.

1. La EC2 instancia de Amazon descarga el archivo **naa-exception.csv** más reciente del bucket de Amazon S3. Este archivo se utiliza más adelante en el proceso, cuando el Script de Python procesa las exclusiones.

1. La EC2 instancia de Amazon asume la función `NAAEC2Role` AWS Identity and Access Management (IAM), que otorga permisos para acceder al bucket de Amazon S3 y para asumir las funciones de `NAAExecRole` IAM en las demás cuentas de la organización.

1. La EC2 instancia de Amazon asume la función de `NAAExecRole` IAM en la cuenta de administración de la organización y genera una lista de las cuentas de la organización.

1. La EC2 instancia de Amazon asume la función de `NAAExecRole` IAM en las cuentas de los miembros de la organización (denominadas *cuentas de carga* de trabajo en el diagrama de arquitectura) y realiza una evaluación de seguridad en cada cuenta. Los resultados se almacenan como archivos JSON en la EC2 instancia de Amazon.

1. La EC2 instancia de Amazon usa un script de Python para procesar los archivos JSON, extraer los campos de datos y crear un informe CSV.

1. La EC2 instancia de Amazon carga el archivo CSV en el bucket de Amazon S3.

1. Una EventBridge regla de Amazon detecta la carga del archivo y utiliza un tema de Amazon SNS para enviar un correo electrónico en el que se notifica al usuario que el informe está completo.

1. El usuario descarga el archivo CSV del bucket de Amazon S3. El usuario importa los resultados a la plantilla de Excel y revisa los resultados.

*Opción 2: acceda a los resultados en AWS Security Hub CSPM*

![\[Diagrama de arquitectura del acceso a los resultados del Analizador de acceso a la red a través de AWS Security Hub\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/images/pattern-img/eda6abba-632a-4e3d-92b9-31848fa6dead/images/9cb4f059-dfb6-4a33-9f8d-159fe5df0d64.png)


El diagrama muestra el proceso siguiente:

1. Si ejecutas la solución manualmente, el usuario se autentica en la EC2 instancia de Amazon mediante el Administrador de sesiones y, a continuación, ejecuta el script **naa-script.sh**. Este script del intérprete de comandos lleva a cabo los pasos del 2 al 7.

   Si ejecuta la solución automáticamente, el script **naa-script.sh** se iniciará automáticamente según la programación que haya definido en la expresión cron. Este script del intérprete de comandos lleva a cabo los pasos del 2 al 7. Para obtener más información, consulte *Automatizar y escalar* al final de esta sección.

1. La EC2 instancia de Amazon descarga el archivo **naa-exception.csv** más reciente del bucket de Amazon S3. Este archivo se utiliza más adelante en el proceso, cuando el Script de Python procesa las exclusiones.

1. La EC2 instancia de Amazon asume la función de `NAAEC2Role` IAM, que otorga permisos para acceder al bucket de Amazon S3 y para asumir las funciones de `NAAExecRole` IAM en las demás cuentas de la organización.

1. La EC2 instancia de Amazon asume la función de `NAAExecRole` IAM en la cuenta de administración de la organización y genera una lista de las cuentas de la organización.

1. La EC2 instancia de Amazon asume la función de `NAAExecRole` IAM en las cuentas de los miembros de la organización (denominadas *cuentas de carga* de trabajo en el diagrama de arquitectura) y realiza una evaluación de seguridad en cada cuenta. Los resultados se almacenan como archivos JSON en la EC2 instancia de Amazon.

1. La EC2 instancia de Amazon usa un script de Python para procesar los archivos JSON y extraer los campos de datos para importarlos a Security Hub CSPM.

1. La EC2 instancia de Amazon importa los resultados del Network Access Analyzer a Security Hub CSPM.

1. Una EventBridge regla de Amazon detecta la importación y utiliza un tema de Amazon SNS para enviar un correo electrónico en el que se notifica al usuario que el proceso se ha completado.

1. El usuario consulta los resultados en Security Hub CSPM.

**Automatizar y escalar**

Puede programar esta solución para que ejecute el script **naa-script.sh** automáticamente según una programación personalizada. Para establecer una programación personalizada, modifique el parámetro en la plantilla **naa-resources.yaml.** CloudFormation `CronScheduleExpression` Por ejemplo, el valor predeterminado de `0 0 * * 0` ejecuta la solución todos los domingos a medianoche. Un valor de `0 0 * 1-12 0` ejecutaría la solución a medianoche del primer domingo de cada mes. Para obtener más información sobre el uso de expresiones cron, consulte [Expresiones cron y de frecuencia](https://docs.aws.amazon.com/systems-manager/latest/userguide/reference-cron-and-rate-expressions.html) en la documentación de Systems Manager.

Si desea ajustar la programación una vez implementada la pila `NAA-Resources`, puede editarla manualmente en `/etc/cron.d/naa-schedule`.

## Tools (Herramientas)
<a name="create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts-tools"></a>

**Servicios de AWS**
+ [Amazon Elastic Compute Cloud (Amazon EC2)](https://docs.aws.amazon.com/ec2/) proporciona una capacidad informática escalable en el Nube de AWS. Puede lanzar tantos servidores virtuales como necesite y escalarlos o reducirlos con rapidez.
+ [Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) es un servicio de bus de eventos sin servidor que le ayuda a conectar sus aplicaciones con datos en tiempo real de diversas fuentes. Por ejemplo, AWS Lambda funciones, puntos finales de invocación HTTP que utilizan destinos de API o buses de eventos en otros. Cuentas de AWS
+ [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) le ayuda a administrar de forma segura el acceso a sus AWS recursos al controlar quién está autenticado y autorizado a usarlos.
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)es un servicio de administración de cuentas que le ayuda a consolidar múltiples cuentas Cuentas de AWS en una organización que usted crea y administra de forma centralizada.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)proporciona una visión completa del estado de su seguridad en AWS. También le ayuda a comparar su AWS entorno con los estándares y las mejores prácticas del sector de la seguridad.
+ [Amazon Simple Notification Service (Amazon SNS)](https://docs.aws.amazon.com/sns/latest/dg/welcome.html) le permite coordinar y administrar el intercambio de mensajes entre publicadores y clientes, incluidos los servidores web y las direcciones de correo electrónico.
+ [Amazon Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) es un servicio de almacenamiento de objetos basado en la nube que lo ayuda a almacenar, proteger y recuperar cualquier cantidad de datos.
+ [AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html) lo ayuda a administrar las aplicaciones y la infraestructura que se ejecutan en la Nube de AWS. Simplifica la administración de aplicaciones y recursos, reduce el tiempo necesario para detectar y resolver problemas operativos y le ayuda a administrar sus AWS recursos de forma segura y a escala. Este patrón utiliza el Administrador de sesiones, una capacidad de Administrador de sistemas.

**Repositorio de código**

El código de este patrón está disponible en el repositorio de análisis de cuentas [múltiples GitHub de Network Access Analyzer](https://github.com/aws-samples/network-access-analyzer-multi-account-analysis). El repositorio de código contiene los siguientes archivos:
+ **naa-script.sh**: este script bash se utiliza para iniciar un análisis del Network Access Analyzer de varios Cuentas de AWS, en paralelo. Como se define en la CloudFormation plantilla **naa-resources.yaml**, este script se implementa automáticamente en la carpeta `/usr/local/naa` de la instancia de Amazon. EC2 
+ **naa-resources.yaml**: utilizas esta CloudFormation plantilla para crear una pila en la cuenta de seguridad de la organización. Esta plantilla implementa todos los recursos necesarios para esta cuenta a fin de respaldar la solución. Esta pila debe implementarse antes que la plantilla **naa-execrole.yaml**.
**nota**  
Si esta pila se elimina y se vuelve a implementar, debe volver a crear el conjunto de pilas `NAAExecRole` para recuperar las dependencias entre cuentas entre los roles de IAM.
+ **naa-execrole.yaml**: usa esta CloudFormation plantilla para crear un conjunto de pilas que despliegue la función de IAM en todas las cuentas de la organización, incluida la cuenta de administración. `NAAExecRole`
+ **naa-processfindings.py**: la secuencia de comandos **naa-script.sh** llama automáticamente a esta secuencia de comandos de Python para procesar las salidas JSON de Network Access Analyzer, excluir cualquier recurso de funcionalidad comprobada en el archivo **naa-exclusions.csv** y, a continuación, generar un archivo CSV con los resultados consolidados o importarlos a Security Hub CSPM.

## Epics
<a name="create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts-epics"></a>

### Preparación para la implementación
<a name="prepare-for-deployment"></a>


| Tarea | Descripción | Habilidades requeridas | 
| --- | --- | --- | 
| Clone el repositorio de código. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps | 
| Revise las plantillas. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps | 

### Crea las CloudFormation pilas
<a name="create-the-cfnshort-stacks"></a>


| Tarea | Descripción | Habilidades requeridas | 
| --- | --- | --- | 
| Aprovisione recursos en la cuenta de seguridad. | Con la plantilla **naa-resources.yaml**, se crea una CloudFormation pila que despliega todos los recursos necesarios en la cuenta de seguridad. [Para obtener instrucciones, consulta Cómo crear una pila en la documentación.](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html) CloudFormation Tenga en cuenta lo siguiente al implementar esta plantilla:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps | 
| Facilitar el rol de IAM en las cuentas de los miembros. | En la cuenta AWS Organizations de administración o en una cuenta con permisos de administrador delegados CloudFormation, utilice la plantilla **naa-execrole.yaml** para crear un conjunto de pilas. CloudFormation El conjunto de pilas implementa el rol de IAM de `NAAExecRole` para todas las cuentas de miembros de la organización. Para obtener instrucciones, consulta Cómo [crear un](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-getting-started-create.html#stacksets-orgs-associate-stackset-with-org) conjunto de pilas con permisos administrados por el servicio en la documentación. CloudFormation Tenga en cuenta lo siguiente al implementar esta plantilla:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps | 
| Facilite el rol de IAM en la cuenta de administración. | Con la plantilla **naa-execrole.yaml**, se crea una CloudFormation pila que implementa la función de `NAAExecRole` IAM en la cuenta de administración de la organización. El conjunto de pilas que creó anteriormente no implementa el rol de IAM en la cuenta de administración. [Para obtener instrucciones, consulta Cómo crear una pila en la documentación.](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html) CloudFormation Tenga en cuenta lo siguiente al implementar esta plantilla:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps | 

### Realice el análisis
<a name="perform-the-analysis"></a>


| Tarea | Descripción | Habilidades requeridas | 
| --- | --- | --- | 
| Personalice el script del intérprete de comandos. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps | 
| Analice las cuentas de destino. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps | 
| Opción 1: Recupere los resultados del bucket de Amazon S3. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps | 
| Opción 2: Revise los resultados en Security Hub CSPM. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps | 

### Corregir y excluir los resultados
<a name="remediate-and-exclude-findings"></a>


| Tarea | Descripción | Habilidades requeridas | 
| --- | --- | --- | 
| Corrija los resultados. | Corrija cualquier resultado que desee abordar. Para obtener más información y las mejores prácticas sobre cómo crear un perímetro alrededor de sus AWS identidades, recursos y redes, consulte Cómo [crear un perímetro de datos en AWS](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/building-a-data-perimeter-on-aws.html) (AWS documento técnico). | AWS DevOps | 
| Excluya los recursos con rutas de red de funcionalidad comprobada. | Si el Analizador de acceso a la red genera resultados sobre los recursos a los que se debería acceder desde Internet, puede agregar estos recursos a una lista de exclusión. La próxima vez que se ejecute el Analizador de acceso a la red, no generará ningún resultado para ese recurso.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps | 

### (Opcional) Actualizar el script naa-script.sh
<a name="optional-update-the-naa-script-sh-script"></a>


| Tarea | Descripción | Habilidades requeridas | 
| --- | --- | --- | 
| Actualice el script naa-script.sh. | Si quiere actualizar el script **naa-script.sh** a la última versión del repositorio, haga lo siguiente:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps | 

### (Opcional) Limpieza
<a name="optional-clean-up"></a>


| Tarea | Descripción | Habilidades requeridas | 
| --- | --- | --- | 
| Elimine todos los recursos implementados. | Puede dejar los recursos implementados en las cuentas.Si desea desaprovisionar todos los recursos, haga lo siguiente:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps | 

## Resolución de problemas
<a name="create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts-troubleshooting"></a>


| Problema | Solución | 
| --- | --- | 
| No se puede conectar a la EC2 instancia de Amazon mediante el administrador de sesiones. | El agente SSM debe poder comunicarse con el punto de conexión de Systems Manager. Haga lo siguiente:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | 
| Al implementar el conjunto de pilas, la CloudFormation consola le solicitará que lo haga`Enable trusted access with AWS Organizations to use service-managed permissions`. | Esto indica que no se ha habilitado el acceso de confianza entre AWS Organizations y CloudFormation. Se requiere acceso de confianza para implementar el conjunto de pilas gestionado por servicios. Seleccione el botón para activar el acceso de confianza. Para obtener más información, consulte [Habilitar el acceso confiable](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-enable-trusted-access.html) en la CloudFormation documentación. | 

## Recursos relacionados
<a name="create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts-resources"></a>
+ [Nuevo: Amazon VPC Network Access Analyzer (entrada de blog](https://aws.amazon.com/blogs/aws/new-amazon-vpc-network-access-analyzer/))AWS 
+ [AWS Re:inForce 2022: valide los controles efectivos de acceso a la red el (02 AWS ) (vídeo) NIS2](https://youtu.be/aN2P2zeQek0)
+ [Demostración - Análisis de la ruta de datos de ingreso a Internet en toda la organización mediante un Analizador de acceso a la red](https://youtu.be/1IFNZWy4iy0) (video)

## Información adicional
<a name="create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts-additional"></a>

**Ejemplo de salida de consola**

En el siguiente ejemplo se muestra el resultado de generar la lista de cuentas de destino y analizar las cuentas de destino.

```
[root@ip-10-10-43-82 naa]# ./naa-script.sh
download: s3://naa-<account ID>-us-east-1/naa-exclusions.csv to ./naa-exclusions.csv

AWS Management Account: <Management account ID>

AWS Accounts being processed...
<Account ID 1> <Account ID 2> <Account ID 3>

Assessing AWS Account: <Account ID 1>, using Role: NAAExecRole
Assessing AWS Account: <Account ID 2>, using Role: NAAExecRole
Assessing AWS Account: <Account ID 3>, using Role: NAAExecRole
Processing account: <Account ID 1> / Region: us-east-1
Account: <Account ID 1> / Region: us-east-1 – Detecting Network Analyzer scope...
Processing account: <Account ID 2> / Region: us-east-1
Account: <Account ID 2> / Region: us-east-1 – Detecting Network Analyzer scope...
Processing account: <Account ID 3> / Region: us-east-1
Account: <Account ID 3> / Region: us-east-1 – Detecting Network Analyzer scope...
Account: <Account ID 1> / Region: us-east-1 – Network Access Analyzer scope detected.
Account: <Account ID 1> / Region: us-east-1 – Continuing analyses with Scope ID. Accounts with many resources may take up to one hour
Account: <Account ID 2> / Region: us-east-1 – Network Access Analyzer scope detected.
Account: <Account ID 2> / Region: us-east-1 – Continuing analyses with Scope ID. Accounts with many resources may take up to one hour
Account: <Account ID 3> / Region: us-east-1 – Network Access Analyzer scope detected.
Account: <Account ID 3> / Region: us-east-1 – Continuing analyses with Scope ID. Accounts with many resources may take up to one hour
```

**Ejemplos de informes CSV**

Las siguientes imágenes son ejemplos de la producción de CSV.

![\[Ejemplo 1 del informe CSV generado por esta solución.\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/images/pattern-img/eda6abba-632a-4e3d-92b9-31848fa6dead/images/55e02e61-054e-4da6-aaae-c9a8b6f4f272.png)


![\[Ejemplo 2 del informe CSV generado por esta solución.\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/images/pattern-img/eda6abba-632a-4e3d-92b9-31848fa6dead/images/95f980ad-92c1-4392-92d4-9c742755aab2.png)