Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Menilai dampak VPC BPA dan memantau VPC BPA
Bagian ini berisi informasi tentang Anda dapat menilai dampak VPC BPA sebelum Anda menyalakannya dan bagaimana Anda memantau apakah lalu lintas diblokir setelah Anda menyalakannya.
**Topics**
+ [Menilai dampak VPC BPA menggunakan Network Access Analyzer](#security-vpc-bpa-assess-impact)
+ [Pantau dampak VPC BPA dengan log aliran](#security-vpc-bpa-fl)
+ [Lacak penghapusan pengecualian dengan CloudTrail](#security-vpc-bpa-cloudtrail)
+ [Verifikasi konektivitas diblokir dengan Reachability Analyzer](#security-vpc-bpa-verify-RA)
## Menilai dampak VPC BPA menggunakan Network Access Analyzer
Di bagian ini, Anda akan menggunakan Network Access Analyzer untuk melihat sumber daya di akun Anda yang menggunakan gateway internet *sebelum* Anda mengaktifkan VPC BPA dan memblokir akses. Gunakan analisis ini untuk memahami dampak mengaktifkan VPC BPA di akun Anda dan memblokir lalu lintas.
**catatan**
Network Access Analyzer tidak mendukung IPv6; jadi Anda tidak akan dapat menggunakannya untuk melihat dampak potensial VPC BPA pada lalu lintas IPv6 keluar gateway internet khusus egres.
Anda dikenakan biaya untuk analisis yang Anda lakukan dengan Network Access Analyzer. Untuk informasi selengkapnya, lihat [Harga](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-network-access-analyzer.html#pricing) di *Panduan Penganalisis Akses Jaringan*.
Untuk informasi tentang ketersediaan regional Network Access Analyzer, lihat [Batasan](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/how-network-access-analyzer-works.html#analyzer-limitations) dalam Panduan *Penganalisis Akses Jaringan*.
------
#### [ Konsol Manajemen AWS ]
1. Buka konsol AWS Network Insights di[https://console.aws.amazon.com/networkinsights/](https://console.aws.amazon.com/networkinsights/).
1. Pilih **Network Access Analyzer**.
1. Pilih **Buat Lingkup Akses Jaringan**.
1. **Pilih **Menilai dampak VPC Blokir Akses Publik** dan pilih Berikutnya.**
1. Template sudah dikonfigurasi untuk menganalisis lalu lintas ke dan dari gateway internet di akun Anda. Anda dapat melihat ini di bawah **Sumber** dan **Tujuan**.
1. Pilih **Berikutnya**.
1. Pilih **Buat Lingkup Akses Jaringan**.
1. Pilih ruang lingkup yang baru saja Anda buat dan pilih **Analisis**.
1. Tunggu analisis selesai.
1. Lihat temuan analisis. Setiap baris di bawah **Temuan** menunjukkan jalur jaringan yang dapat diambil paket dalam jaringan ke atau dari gateway internet di akun Anda. Dalam hal ini, jika Anda mengaktifkan VPC BPA dan tidak ada VPC dan atau subnet yang muncul dalam temuan ini dikonfigurasi sebagai pengecualian VPC BPA, lalu lintas ke VPC dan subnet tersebut akan dibatasi.
1. Analisis setiap temuan untuk memahami dampak VPC BPA pada sumber daya di VPC Anda.
Analisis dampak selesai.
------
#### [ AWS CLI ]
1. Buat cakupan akses jaringan:
```
aws ec2 create-network-insights-access-scope --region us-east-2 --match-paths "Source={ResourceStatement={ResourceTypes=["AWS::EC2::InternetGateway"]}}" "Destination={ResourceStatement={ResourceTypes=["AWS::EC2::InternetGateway"]}}"
```
1. Mulai analisis ruang lingkup:
```
aws ec2 start-network-insights-access-scope-analysis --region us-east-2 --network-insights-access-scope-id nis-id
```
1. Dapatkan hasil analisis:
```
aws ec2 get-network-insights-access-scope-analysis-findings --region us-east-2 --network-insights-access-scope-analysis-id nisa-0aa383a1938f94cd1 --max-items 1
```
Hasilnya menunjukkan lalu lintas ke dan dari gateway internet di semua VPC di akun Anda. Hasilnya diatur sebagai “temuan”. “FindingId“:AnalysisFinding-1" "menunjukkan bahwa ini adalah temuan pertama dalam analisis. Perhatikan bahwa ada beberapa temuan dan masing-masing menunjukkan arus lalu lintas yang akan terpengaruh dengan menyalakan VPC BPA. Temuan pertama akan menunjukkan bahwa lalu lintas dimulai di gateway internet (” SequenceNumber “: 1), diteruskan ke NACL (” SequenceNumber “: 2) ke grup keamanan (” SequenceNumber “: 3) dan berakhir pada sebuah instance (” SequenceNumber “: 4).
1. Analisis temuan untuk memahami dampak VPC BPA pada sumber daya di VPC Anda.
Analisis dampak selesai.
------
## Pantau dampak VPC BPA dengan log aliran
VPC Flow Logs adalah fitur yang memungkinkan Anda menangkap informasi tentang lalu lintas IP yang menuju dan dari antarmuka jaringan Elastis di VPC Anda. Anda dapat menggunakan fitur ini untuk memantau lalu lintas yang diblokir oleh VPC BPA agar tidak mencapai antarmuka jaringan instans Anda.
Buat log alur untuk VPC Anda menggunakan langkah-langkah di. [Bekerja dengan log alur](working-with-flow-logs.md)
Saat Anda membuat log alur, pastikan Anda menggunakan format kustom yang menyertakan bidang`reject-reason`.
Ketika Anda melihat log aliran, jika lalu lintas ke ENI ditolak karena VPC BPA, Anda akan melihat `reject-reason` dari `BPA` dalam entri log aliran.
Selain [batasan](flow-logs-limitations.md) standar untuk log aliran VPC, perhatikan batasan berikut khusus untuk VPC BPA:
+ [Log aliran untuk VPC BPA tidak termasuk catatan yang dilewati.](flow-logs-records-examples.md#flow-log-example-no-data)
+ Log aliran untuk VPC BPA tidak termasuk [`bytes`](flow-log-records.md#flow-logs-fields)bahkan jika Anda menyertakan `bytes` bidang dalam log aliran Anda.
## Lacak penghapusan pengecualian dengan CloudTrail
Bagian ini menjelaskan bagaimana Anda dapat menggunakan AWS CloudTrail untuk memantau dan melacak penghapusan pengecualian VPC BPA.
------
#### [ Konsol Manajemen AWS ]
Anda dapat melihat pengecualian yang dihapus dalam **riwayat CloudTrail Acara** dengan mencari **Jenis sumber daya** > `AWS::EC2::VPCBlockPublicAccessExclusion` di AWS CloudTrail konsol di[https://console.aws.amazon.com/cloudtrailv2/](https://console.aws.amazon.com/cloudtrailv2/).
------
#### [ AWS CLI ]
Anda dapat menggunakan `lookup-events` perintah untuk melihat peristiwa yang terkait dengan penghapusan pengecualian:
```
aws cloudtrail lookup-events --lookup-attributes AttributeKey=ResourceType,AttributeValue=AWS::EC2::VPCBlockPublicAccessExclusion
```
------
## Verifikasi konektivitas diblokir dengan Reachability Analyzer
[VPC Reachability Analyzer](https://docs.aws.amazon.com/vpc/latest/reachability/what-is-reachability-analyzer.html) dapat digunakan untuk mengevaluasi apakah jalur jaringan tertentu dapat dicapai mengingat konfigurasi jaringan Anda, termasuk pengaturan VPC BPA.
*Untuk informasi tentang ketersediaan regional Reachability Analyzer, lihat [Pertimbangan](https://docs.aws.amazon.com/vpc/latest/reachability/how-reachability-analyzer-works.html#considerations) dalam Panduan Reachability Analyzer.*
------
#### [ Konsol Manajemen AWS ]
1. Buka konsol AWS Network Insights di[https://console.aws.amazon.com/networkinsights/home#ReachabilityAnalyzer](https://console.aws.amazon.com/networkinsights/home#ReachabilityAnalyzer).
1. Klik **Buat dan analisis jalur**.
1. Untuk **Jenis Sumber**, pilih **Internet Gateways** dan pilih gateway internet yang ingin Anda blokir lalu lintas dari dropdown **Sumber**.
1. Untuk **Jenis Tujuan**, pilih **Instans** dan pilih instance yang ingin Anda blokir lalu lintas dari dropdown **Tujuan**.
1. Klik **Buat dan analisis jalur**.
1. Tunggu analisis selesai. Ini bisa memakan waktu beberapa menit.
1. Setelah selesai, Anda akan melihat bahwa **Status Reachability** **Tidak dapat dijangkau** dan **detail Path** menunjukkan bahwa `VPC_BLOCK_PUBLIC_ACCESS_ENABLED ` itulah penyebab masalah jangkauan ini.
------
#### [ AWS CLI ]
1. Buat jalur jaringan menggunakan ID Internet Gateway yang ingin Anda blokir lalu lintas (sumber) dan ID instance yang ingin Anda blokir lalu lintas ke (tujuan):
```
aws ec2 --region us-east-2 create-network-insights-path --source igw-id --destination instance-id --protocol TCP
```
1. Mulai analisis pada jalur jaringan:
```
aws ec2 --region us-east-2 start-network-insights-analysis --network-insights-path-id nip-id
```
1. Ambil hasil analisis:
```
aws ec2 --region us-east-2 describe-network-insights-analyses --network-insights-analysis-ids nia-id
```
1. Verifikasi bahwa `VPC_BLOCK_PUBLIC_ACCESS_ENABLED` itu `ExplanationCode` karena kurangnya jangkauan.
------