

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Crea un rapporto sui risultati di Network Access Analyzer per l'accesso a Internet in entrata in più Account AWS
<a name="create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts"></a>

*Mike Virgilio, Amazon Web Services*

## Riepilogo
<a name="create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts-summary"></a>

L'accesso involontario alle AWS risorse via Internet in entrata può comportare rischi per il perimetro dei dati di un'organizzazione. [Network Access Analyzer](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-network-access-analyzer.html) è una funzionalità di Amazon Virtual Private Cloud (Amazon VPC) che ti aiuta a identificare accessi di rete non intenzionali alle tue risorse su Amazon Web Services ().AWS Puoi utilizzare Network Access Analyzer per specificare i requisiti di accesso alla rete e identificare potenziali percorsi di rete che non soddisfano i requisiti specificati. È possibile utilizzare Network Access Analyzer per effettuare le seguenti operazioni:

1. Identifica AWS le risorse accessibili a Internet tramite gateway Internet.

1. Verifica che i tuoi cloud privati virtuali (VPCs) siano segmentati in modo appropriato, ad esempio isolando gli ambienti di produzione e sviluppo e separando i carichi di lavoro transazionali.

Network Access Analyzer analizza le condizioni di raggiungibilità della rete e non solo un singolo componente end-to-end. Per determinare se una risorsa è accessibile a Internet, Network Access Analyzer valuta il gateway Internet, le tabelle di routing VPC, gli elenchi di controllo degli accessi alla rete (ACLs), gli indirizzi IP pubblici su interfacce di rete elastiche e i gruppi di sicurezza. Se qualcuno di questi componenti impedisce l'accesso a Internet, Network Access Analyzer non genera alcun risultato. Ad esempio, se un'istanza Amazon Elastic Compute Cloud (Amazon EC2) ha un gruppo di sicurezza aperto che consente il traffico proveniente da `0/0` una sottorete privata che non è instradabile da alcun gateway Internet, Network Access Analyzer non genererebbe alcun risultato. Ciò fornisce risultati ad alta fedeltà che consentono di identificare le risorse realmente accessibili da Internet.

Quando si esegue Network Access Analyzer, si utilizzano [Network Access Scopes per specificare i requisiti di accesso](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-network-access-analyzer.html#concepts) alla rete. Questa soluzione identifica i percorsi di rete tra un gateway Internet e un'interfaccia di rete elastica. In questo modello, la soluzione viene distribuita in modo centralizzato Account AWS all'interno dell'organizzazione, gestita da AWS Organizations e analizza tutti gli account, in qualsiasi momento Regione AWS, dell'organizzazione.

Questa soluzione è stata progettata tenendo presente quanto segue:
+ I AWS CloudFormation modelli riducono lo sforzo richiesto per distribuire le AWS risorse secondo questo schema.
+ È possibile modificare i parametri nei CloudFormation modelli e nello script **naa-script.sh** al momento della distribuzione per personalizzarli in base all'ambiente.
+ Lo scripting di Bash fornisce e analizza automaticamente gli ambiti di accesso alla rete per più account, in parallelo.
+ Uno script Python elabora i risultati, estrae i dati e quindi consolida i risultati. È possibile scegliere di esaminare il rapporto consolidato dei risultati di Network Access Analyzer in formato CSV o in formato. AWS Security Hub CSPM Un esempio del rapporto CSV è disponibile nella sezione [Informazioni aggiuntive](#create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts-additional) di questo modello.
+ È possibile correggere i risultati oppure escluderli dalle analisi future aggiungendoli al **file naa-exclusions.csv**.

## Prerequisiti e limitazioni
<a name="create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts-prereqs"></a>

**Prerequisiti**
+ E Account AWS per ospitare servizi e strumenti di sicurezza, gestiti come account membro di un'organizzazione in. AWS Organizations In questo schema, questo account viene definito account di sicurezza.
+ Nell'account di sicurezza, è necessario disporre di una sottorete privata con accesso a Internet in uscita. Per istruzioni, consulta [Creare una sottorete](https://docs.aws.amazon.com/vpc/latest/userguide/create-subnets.html) nella documentazione di Amazon VPC. È possibile stabilire l'accesso a Internet utilizzando un [gateway NAT](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html) o un endpoint [VPC di interfaccia](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html).
+ Accesso all'account di AWS Organizations gestione o a un account con autorizzazioni di amministratore delegate per. CloudFormation Per istruzioni, consulta [Registrare un amministratore delegato nella documentazione](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-delegated-admin.html). CloudFormation 
+ Abilita l'accesso affidabile tra AWS Organizations e CloudFormation. Per istruzioni, consulta [Abilita l'accesso affidabile con AWS Organizations](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-enable-trusted-access.html) nella CloudFormation documentazione.
+ Se stai caricando i risultati su Security Hub CSPM, Security Hub CSPM deve essere abilitato nell'account e nel luogo in cui viene fornita l' Regione AWS istanza Amazon. EC2 Per ulteriori informazioni, consulta [Configurazione AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html).

**Limitazioni**
+ I percorsi di rete tra account non vengono attualmente analizzati a causa delle limitazioni della funzionalità Network Access Analyzer.
+ L'obiettivo Account AWS deve essere gestito come organizzazione in. AWS Organizations**Se non lo utilizzi AWS Organizations, puoi aggiornare il CloudFormation modello **naa-execrole.yaml** e lo script naa-script.sh per il tuo ambiente.** Fornisci invece un elenco delle regioni Account AWS IDs e delle regioni in cui desideri eseguire lo script.
+ Il CloudFormation modello è progettato per distribuire l' EC2 istanza Amazon in una sottorete privata con accesso a Internet in uscita. L' AWS Systems Manager agente (agente SSM) richiede l'accesso in uscita per raggiungere l'endpoint del servizio Systems Manager ed è necessario l'accesso in uscita per clonare l'archivio del codice e installare le dipendenze. [Se desideri utilizzare una sottorete pubblica, devi modificare il modello **naa-resources.yaml** per associare un indirizzo IP elastico all'istanza Amazon.](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/elastic-ip-addresses-eip.html) EC2 

## Architecture
<a name="create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts-architecture"></a>

**Architettura di Target**

*Opzione 1: accedere ai risultati in un bucket Amazon S3*

![\[Diagramma dell'architettura di accesso al report dei risultati di Network Access Analyzer in un bucket Amazon S3\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/images/pattern-img/eda6abba-632a-4e3d-92b9-31848fa6dead/images/d0b08437-e5b0-47a1-abdd-040c67b5da8f.png)


Il diagramma mostra il seguente processo:

1. Se esegui manualmente la soluzione, l'utente si autentica sull' EC2 istanza Amazon utilizzando Session Manager e quindi esegue lo script **naa-script.sh**. Questo script di shell esegue i passaggi da 2 a 7.

   Se esegui automaticamente la soluzione, lo script **naa-script.sh** si avvia automaticamente in base alla pianificazione definita nell'espressione cron. Questo script di shell esegue i passaggi da 2 a 7. Per ulteriori informazioni, vedere *Automazione e scalabilità* alla fine di questa sezione.

1. L' EC2 istanza Amazon scarica il file **naa-exception.csv** più recente dal bucket Amazon S3. Questo file viene utilizzato più avanti nel processo quando lo script Python elabora le esclusioni.

1. L' EC2 istanza Amazon assume il ruolo `NAAEC2Role` AWS Identity and Access Management (IAM), che concede le autorizzazioni per accedere al bucket Amazon S3 e per assumere i ruoli `NAAExecRole` IAM negli altri account dell'organizzazione.

1. L' EC2 istanza Amazon assume il ruolo `NAAExecRole` IAM nell'account di gestione dell'organizzazione e genera un elenco degli account dell'organizzazione.

1. L' EC2 istanza Amazon assume il ruolo `NAAExecRole` IAM negli account dei membri dell'organizzazione (chiamati account di *carico di lavoro nel diagramma dell'architettura) ed esegue una valutazione della sicurezza in ogni account*. I risultati vengono archiviati come file JSON sull' EC2 istanza Amazon.

1. L' EC2 istanza Amazon utilizza uno script Python per elaborare i file JSON, estrarre i campi di dati e creare un report CSV.

1. L' EC2 istanza Amazon carica il file CSV nel bucket Amazon S3.

1. Una EventBridge regola Amazon rileva il caricamento del file e utilizza un argomento Amazon SNS per inviare un'e-mail che notifica all'utente che il rapporto è completo.

1. L'utente scarica il file CSV dal bucket Amazon S3. L'utente importa i risultati nel modello Excel e li esamina.

*Opzione 2: Accedi ai risultati in AWS Security Hub CSPM*

![\[Diagramma dell'architettura di accesso ai risultati di Network Access Analyzer tramite AWS Security Hub\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/images/pattern-img/eda6abba-632a-4e3d-92b9-31848fa6dead/images/9cb4f059-dfb6-4a33-9f8d-159fe5df0d64.png)


Il diagramma mostra il seguente processo:

1. Se esegui manualmente la soluzione, l'utente si autentica sull' EC2 istanza Amazon utilizzando Session Manager e quindi esegue lo script **naa-script.sh**. Questo script di shell esegue i passaggi da 2 a 7.

   Se esegui automaticamente la soluzione, lo script **naa-script.sh** si avvia automaticamente in base alla pianificazione definita nell'espressione cron. Questo script di shell esegue i passaggi da 2 a 7. Per ulteriori informazioni, vedere *Automazione e scalabilità* alla fine di questa sezione.

1. L' EC2 istanza Amazon scarica il file **naa-exception.csv** più recente dal bucket Amazon S3. Questo file viene utilizzato più avanti nel processo quando lo script Python elabora le esclusioni.

1. L' EC2 istanza Amazon assume il ruolo `NAAEC2Role` IAM, che concede le autorizzazioni per accedere al bucket Amazon S3 e per assumere i ruoli `NAAExecRole` IAM negli altri account dell'organizzazione.

1. L' EC2 istanza Amazon assume il ruolo `NAAExecRole` IAM nell'account di gestione dell'organizzazione e genera un elenco degli account dell'organizzazione.

1. L' EC2 istanza Amazon assume il ruolo `NAAExecRole` IAM negli account dei membri dell'organizzazione (chiamati account di *carico di lavoro nel diagramma dell'architettura) ed esegue una valutazione della sicurezza in ogni account*. I risultati vengono archiviati come file JSON sull' EC2 istanza Amazon.

1. L' EC2 istanza Amazon utilizza uno script Python per elaborare i file JSON ed estrarre i campi di dati per l'importazione in Security Hub CSPM.

1. L' EC2 istanza Amazon importa i risultati di Network Access Analyzer in Security Hub CSPM.

1. Una EventBridge regola Amazon rileva l'importazione e utilizza un argomento Amazon SNS per inviare un'e-mail che notifica all'utente che il processo è completo.

1. L'utente visualizza i risultati in Security Hub CSPM.

**Automazione e scalabilità**

È possibile pianificare questa soluzione per eseguire automaticamente lo script **naa-script.sh** secondo una pianificazione personalizzata. Per impostare una pianificazione personalizzata, nel modello ** CloudFormation naa-resources.yaml**, modifica il parametro. `CronScheduleExpression` Ad esempio, il valore predefinito di `0 0 * * 0` esegue la soluzione a mezzanotte di ogni domenica. Il valore di `0 0 * 1-12 0` eseguirebbe la soluzione a mezzanotte della prima domenica di ogni mese. Per ulteriori informazioni sull'uso delle espressioni cron, vedere [Cron e rate expression nella documentazione di](https://docs.aws.amazon.com/systems-manager/latest/userguide/reference-cron-and-rate-expressions.html) Systems Manager.

Se desideri modificare la pianificazione dopo che lo `NAA-Resources` stack è stato distribuito, puoi modificare manualmente la pianificazione cron in. `/etc/cron.d/naa-schedule`

## Tools (Strumenti)
<a name="create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts-tools"></a>

**Servizi AWS**
+ [Amazon Elastic Compute Cloud (Amazon EC2)](https://docs.aws.amazon.com/ec2/) fornisce capacità di elaborazione scalabile in. Cloud AWS Puoi avviare tutti i server virtuali di cui hai bisogno e dimensionarli rapidamente.
+ [Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) è un servizio di bus eventi senza server che ti aiuta a connettere le tue applicazioni con dati in tempo reale provenienti da una varietà di fonti. Ad esempio, AWS Lambda funzioni, endpoint di invocazione HTTP che utilizzano destinazioni API o bus di eventi in altro modo. Account AWS
+ [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) ti aiuta a gestire in modo sicuro l'accesso alle tue AWS risorse controllando chi è autenticato e autorizzato a utilizzarle.
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)è un servizio di gestione degli account che ti aiuta a consolidare più account Account AWS in un'organizzazione da creare e gestire centralmente.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)fornisce una visione completa dello stato di sicurezza in AWS. Inoltre, consente di verificare la conformità AWS dell'ambiente agli standard e alle best practice del settore della sicurezza.
+ [Amazon Simple Notification Service (Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/welcome.html)) ti aiuta a coordinare e gestire lo scambio di messaggi tra editori e clienti, inclusi server Web e indirizzi e-mail.
+ [Amazon Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) è un servizio di archiviazione degli oggetti basato sul cloud che consente di archiviare, proteggere e recuperare qualsiasi quantità di dati.
+ [AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html)ti aiuta a gestire le applicazioni e l'infrastruttura in esecuzione in. Cloud AWS Semplifica la gestione delle applicazioni e delle risorse, riduce i tempi di rilevamento e risoluzione dei problemi operativi e aiuta a gestire le AWS risorse in modo sicuro su larga scala. Questo modello utilizza Session Manager, una funzionalità di Systems Manager.

**Archivio di codice**

Il codice di questo pattern è disponibile nel repository GitHub [Network Access Analyzer Multi-Account Analysis](https://github.com/aws-samples/network-access-analyzer-multi-account-analysis). L'archivio del codice contiene i seguenti file:
+ **naa-script.sh** — Questo script bash viene utilizzato per avviare un'analisi di più Network Access Analyzer Account AWS, in parallelo. Come definito nel CloudFormation modello **naa-resources.yaml**, questo script viene distribuito automaticamente nella cartella sull'istanza Amazon. `/usr/local/naa` EC2 
+ **naa-resources.yaml**: utilizzi questo modello per creare uno stack nell'account di sicurezza dell'organizzazione. CloudFormation Questo modello distribuisce tutte le risorse necessarie per questo account per supportare la soluzione. **Questo stack deve essere distribuito prima del modello naa-execrole.yaml.**
**Nota**  
Se questo stack viene eliminato e ridistribuito, è necessario ricostruire il set di stack per ricostruire le dipendenze tra account tra i `NAAExecRole` ruoli IAM.
+ **naa-execrole.yaml**: utilizzi questo CloudFormation modello per creare un set di stack che distribuisce il ruolo IAM in tutti gli account dell'organizzazione, incluso l'account di gestione. `NAAExecRole`
+ **naa-processfindings.py** — Lo script **naa-script.sh** chiama automaticamente questo script Python per elaborare gli output JSON di Network Access Analyzer, escludere eventuali risorse note valide nel file **naa-exclusions.csv** e quindi generare un file CSV dei risultati consolidati o importare i risultati in Security Hub CSPM.

## Epiche
<a name="create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts-epics"></a>

### Preparati per l'implementazione
<a name="prepare-for-deployment"></a>


| Operazione | Description | Competenze richieste | 
| --- | --- | --- | 
| Clona il repository del codice. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps | 
| Esamina i modelli. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps | 

### Crea gli CloudFormation stack
<a name="create-the-cfnshort-stacks"></a>


| Operazione | Description | Competenze richieste | 
| --- | --- | --- | 
| Fornisci risorse nell'account di sicurezza. | Utilizzando il modello **naa-resources.yaml**, crei uno CloudFormation stack che distribuisce tutte le risorse richieste nell'account di sicurezza. [Per istruzioni, consulta Creazione di uno stack nella documentazione.](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html) CloudFormation Tieni presente quanto segue durante la distribuzione di questo modello:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps | 
| Fornisci il ruolo IAM negli account dei membri. | Nell'account di AWS Organizations gestione o in un account con autorizzazioni di amministratore delegato per CloudFormation, utilizza il modello **naa-execrole.yaml** per creare un set di stack. CloudFormation Il set di stack implementa il ruolo IAM in tutti gli account membri dell'organizzazione. `NAAExecRole` Per istruzioni, consulta [Creare un set di stack con autorizzazioni gestite dal servizio](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-getting-started-create.html#stacksets-orgs-associate-stackset-with-org) nella documentazione. CloudFormation Tieni presente quanto segue durante la distribuzione di questo modello:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps | 
| Fornisci il ruolo IAM nell'account di gestione. | Utilizzando il modello **naa-execrole.yaml**, crei uno CloudFormation stack che distribuisce il ruolo IAM nell'account di gestione dell'`NAAExecRole`organizzazione. Lo stack set creato in precedenza non distribuisce il ruolo IAM nell'account di gestione. Per istruzioni, consulta [Creazione di uno stack nella documentazione](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html). CloudFormation Tieni presente quanto segue durante la distribuzione di questo modello:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps | 

### Esegui l'analisi
<a name="perform-the-analysis"></a>


| Operazione | Description | Competenze richieste | 
| --- | --- | --- | 
| Personalizza lo script della shell. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps | 
| Analizza gli account target. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps | 
| Opzione 1: recupera i risultati dal bucket Amazon S3. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps | 
| Opzione 2: rivedi i risultati in Security Hub CSPM. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps | 

### Correggi ed escludi i risultati
<a name="remediate-and-exclude-findings"></a>


| Operazione | Description | Competenze richieste | 
| --- | --- | --- | 
| Correggere i risultati. | Correggi i risultati che desideri correggere. Per ulteriori informazioni e best practice su come creare un perimetro attorno a AWS identità, risorse e reti, consulta [Building a data perimeter on (Whitepaper](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/building-a-data-perimeter-on-aws.html)). AWSAWS  | AWS DevOps | 
| Escludi risorse con percorsi di rete noti e validi. | Se Network Access Analyzer genera risultati relativi a risorse che dovrebbero essere accessibili da Internet, puoi aggiungere tali risorse a un elenco di esclusione. La prossima volta che Network Access Analyzer verrà eseguito, non genererà alcun risultato per quella risorsa.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps | 

### (Facoltativo) Aggiorna lo script naa-script.sh
<a name="optional-update-the-naa-script-sh-script"></a>


| Operazione | Description | Competenze richieste | 
| --- | --- | --- | 
| Aggiornare lo script naa-script.sh. | Se desideri aggiornare lo script **naa-script.sh** all'ultima versione del repository, procedi come segue:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps | 

### (Facoltativo) Pulizia
<a name="optional-clean-up"></a>


| Operazione | Description | Competenze richieste | 
| --- | --- | --- | 
| Eliminare tutte le risorse distribuite. | È possibile lasciare le risorse distribuite negli account.Se desideri eseguire il deprovisioning di tutte le risorse, procedi come segue:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps | 

## risoluzione dei problemi
<a name="create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts-troubleshooting"></a>


| Problema | Soluzione | 
| --- | --- | 
| Impossibile connettersi all' EC2 istanza Amazon utilizzando Session Manager. | L'agente SSM deve essere in grado di comunicare con l'endpoint Systems Manager. Esegui questa operazione:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | 
| Quando distribuisci lo stack set, la CloudFormation console ti chiede di farlo. `Enable trusted access with AWS Organizations to use service-managed permissions` | Ciò indica che l'accesso affidabile non è stato abilitato tra e. AWS Organizations CloudFormation È necessario un accesso affidabile per distribuire il set di stack gestito dai servizi. Scegli il pulsante per abilitare l'accesso affidabile. Per ulteriori informazioni, consulta [Abilitare l'accesso affidabile](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-enable-trusted-access.html) nella CloudFormation documentazione. | 

## Risorse correlate
<a name="create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts-resources"></a>
+ [Novità: Amazon VPC Network Access Analyzer](https://aws.amazon.com/blogs/aws/new-amazon-vpc-network-access-analyzer/) (AWS post di blog)
+ [AWS re:Inforce 2022 - Convalida controlli efficaci di accesso alla rete su AWS](https://youtu.be/aN2P2zeQek0) (02) (video) NIS2
+ [Demo - Analisi del percorso dei dati di accesso a Internet a livello di organizzazione mediante Network Access Analyzer](https://youtu.be/1IFNZWy4iy0) (video)

## Informazioni aggiuntive
<a name="create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts-additional"></a>

**Esempio di output da console**

L'esempio seguente mostra il risultato della generazione dell'elenco degli account di destinazione e dell'analisi degli account di destinazione.

```
[root@ip-10-10-43-82 naa]# ./naa-script.sh
download: s3://naa-<account ID>-us-east-1/naa-exclusions.csv to ./naa-exclusions.csv

AWS Management Account: <Management account ID>

AWS Accounts being processed...
<Account ID 1> <Account ID 2> <Account ID 3>

Assessing AWS Account: <Account ID 1>, using Role: NAAExecRole
Assessing AWS Account: <Account ID 2>, using Role: NAAExecRole
Assessing AWS Account: <Account ID 3>, using Role: NAAExecRole
Processing account: <Account ID 1> / Region: us-east-1
Account: <Account ID 1> / Region: us-east-1 – Detecting Network Analyzer scope...
Processing account: <Account ID 2> / Region: us-east-1
Account: <Account ID 2> / Region: us-east-1 – Detecting Network Analyzer scope...
Processing account: <Account ID 3> / Region: us-east-1
Account: <Account ID 3> / Region: us-east-1 – Detecting Network Analyzer scope...
Account: <Account ID 1> / Region: us-east-1 – Network Access Analyzer scope detected.
Account: <Account ID 1> / Region: us-east-1 – Continuing analyses with Scope ID. Accounts with many resources may take up to one hour
Account: <Account ID 2> / Region: us-east-1 – Network Access Analyzer scope detected.
Account: <Account ID 2> / Region: us-east-1 – Continuing analyses with Scope ID. Accounts with many resources may take up to one hour
Account: <Account ID 3> / Region: us-east-1 – Network Access Analyzer scope detected.
Account: <Account ID 3> / Region: us-east-1 – Continuing analyses with Scope ID. Accounts with many resources may take up to one hour
```

**Esempi di report CSV**

Le immagini seguenti sono esempi dell'output CSV.

![\[Esempio 1 del rapporto CSV generato da questa soluzione.\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/images/pattern-img/eda6abba-632a-4e3d-92b9-31848fa6dead/images/55e02e61-054e-4da6-aaae-c9a8b6f4f272.png)


![\[Esempio 2 del report CSV generato da questa soluzione.\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/images/pattern-img/eda6abba-632a-4e3d-92b9-31848fa6dead/images/95f980ad-92c1-4392-92d4-9c742755aab2.png)