Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Valuta l’impatto di VPC BPA e monitora i VPC BPA
Questa sezione contiene informazioni su come valutare l'impatto di VPC BPA prima di attivarlo e su come monitorare se il traffico viene bloccato dopo l'attivazione.
**Topics**
+ [Valuta l’impatto di VPC BPA con lo Strumento di analisi degli accessi alla rete](#security-vpc-bpa-assess-impact)
+ [Monitoraggio dell’impatto di VPC BPA con log di flusso](#security-vpc-bpa-fl)
+ [Tieni traccia dell'eliminazione delle esclusioni con CloudTrail](#security-vpc-bpa-cloudtrail)
+ [Verifica del blocco della connettività con Reachability Analyzer](#security-vpc-bpa-verify-RA)
## Valuta l’impatto di VPC BPA con lo Strumento di analisi degli accessi alla rete
In questa sezione, userai lo Strumento di analisi degli accessi alla rete per visualizzare le risorse del tuo account che utilizzano un gateway Internet *prima* di abilitare VPC BPA e bloccare l’accesso. Utilizza questa analisi per comprendere l'impatto dell'attivazione di VPC BPA nel tuo account e del blocco del traffico.
**Nota**
Network Access Analyzer non supporta IPv6, quindi non sarà possibile utilizzarlo per visualizzare il potenziale impatto di VPC BPA sul traffico in uscita del gateway Internet solo in uscita. IPv6
Ti vengono addebitati i costi delle analisi eseguite con Strumento di analisi degli accessi alla rete. Per ulteriori informazioni, consulta la sezione [Prezzi](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-network-access-analyzer.html#pricing) nella *Guida dello Strumento di analisi degli accessi alla rete*.
Per informazioni sulla disponibilità regionale dello Strumento di analisi degli accessi alla rete, consulta [Limitazioni](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/how-network-access-analyzer-works.html#analyzer-limitations) nella *Guida dello Strumento di analisi degli accessi alla rete*.
------
#### [ Console di gestione AWS ]
1. Apri la console di Network Insights all'indirizzo. AWS [https://console.aws.amazon.com/networkinsights/](https://console.aws.amazon.com/networkinsights/)
1. Scegli **Strumento di analisi degli accessi alla rete**.
1. Scegli **Crea ambito di accesso alla rete**.
1. Scegli **Valuta l'impatto di Blocco dell'accesso pubblico VPC** e scegli **Avanti**.
1. Il modello è già configurato per analizzare il traffico da e verso i gateway Internet del tuo account. Puoi visualizzarlo in **Origine** e **Destinazione**.
1. Scegli **Next (Successivo)**.
1. Scegli **Crea ambito di accesso alla rete**.
1. Scegli l'ambito che hai appena creato e scegli **Analizza**.
1. Attendi il completamento del processo.
1. Visualizza gli esiti dell'analisi. Ogni riga in **Esiti** mostra un percorso di rete che un pacchetto può percorrere in una rete da o verso un gateway Internet del tuo account. In questo caso, se attivi VPC BPA e nessuna delle e/o o sottoreti che appaiono in questi risultati è configurata come esclusioni VPC BPA, il traffico verso quelle VPCs e le sottoreti sarà limitato. VPCs
1. Analizza ogni risultato per comprendere l'impatto del VPC BPA sulle risorse del tuo. VPCs
L'analisi dell'impatto è completa.
------
#### [ AWS CLI ]
1. Crea un ambito di accesso alla rete:
```
aws ec2 create-network-insights-access-scope --region us-east-2 --match-paths "Source={ResourceStatement={ResourceTypes=["AWS::EC2::InternetGateway"]}}" "Destination={ResourceStatement={ResourceTypes=["AWS::EC2::InternetGateway"]}}"
```
1. Inizia l'analisi dell'ambito:
```
aws ec2 start-network-insights-access-scope-analysis --region us-east-2 --network-insights-access-scope-id nis-id
```
1. Ottieni i risultati dell'analisi:
```
aws ec2 get-network-insights-access-scope-analysis-findings --region us-east-2 --network-insights-access-scope-analysis-id nisa-0aa383a1938f94cd1 --max-items 1
```
I risultati mostrano il traffico da e verso i gateway Internet in tutto il tuo account VPCs . I risultati sono organizzati come «risultati». "FindingId«:" AnalysisFinding -1" indica che questo è il primo risultato dell'analisi. Tieni presente che esistono diversi esiti e ognuno indica un flusso di traffico che verrà influenzato dall'attivazione di VPC BPA. Il primo risultato mostrerà che il traffico è iniziato da un gateway Internet (» SequenceNumber «: 1), è passato a un NACL (» SequenceNumber «: 2) a un gruppo di sicurezza (» SequenceNumber «: 3) e è terminato in un'istanza (» SequenceNumber «: 4).
1. Analizza i risultati per comprendere l'impatto del VPC BPA sulle risorse del tuo. VPCs
L'analisi dell'impatto è completa.
------
## Monitoraggio dell’impatto di VPC BPA con log di flusso
Log di flusso VPC è una funzionalità che consente di acquisire informazioni sul traffico IP da e verso le interfacce di rete elastiche nel VPC. Puoi utilizzare questa funzionalità per monitorare il traffico bloccato da VPC BPA e impedirgli di raggiungere le interfacce di rete dell'istanza.
Crea un log di flusso per il tuo VPC utilizzando i passaggi in [Utilizzo dei log di flusso](working-with-flow-logs.md).
Quando crei il log di flusso, assicurati di utilizzare un formato personalizzato che includa il campo `reject-reason`.
Quando visualizzi i log di flusso, se il traffico verso un ENI viene rifiutato a causa di VPC BPA, viene visualizzato un `reject-reason` di `BPA` nella voce del log di flusso.
Oltre alle [limitazioni](flow-logs-limitations.md) standard per i log di flusso VPC, tieni presente le seguenti limitazioni specifiche di VPC BPA:
+ I log di flusso per BPA VPC non includono i [record ignorati](flow-logs-records-examples.md#flow-log-example-no-data).
+ I log di flusso per BPA VPC non includono [`bytes`](flow-log-records.md#flow-logs-fields) anche se includi il campo `bytes` nel log di flusso.
## Tieni traccia dell'eliminazione delle esclusioni con CloudTrail
Questa sezione spiega come monitorare e tenere traccia dell'eliminazione delle esclusioni VPC BPA. AWS CloudTrail
------
#### [ Console di gestione AWS ]
Puoi visualizzare tutte le esclusioni eliminate nella **cronologia degli CloudTrail eventi** cercando **Tipo di risorsa** > `AWS::EC2::VPCBlockPublicAccessExclusion` nella console all'indirizzo. AWS CloudTrail [https://console.aws.amazon.com/cloudtrailv2/](https://console.aws.amazon.com/cloudtrailv2/)
------
#### [ AWS CLI ]
Puoi utilizzare il comando `lookup-events` per visualizzare gli eventi relativi all'eliminazione di esclusioni:
```
aws cloudtrail lookup-events --lookup-attributes AttributeKey=ResourceType,AttributeValue=AWS::EC2::VPCBlockPublicAccessExclusion
```
------
## Verifica del blocco della connettività con Reachability Analyzer
[VPC Reachability Analyzer](https://docs.aws.amazon.com/vpc/latest/reachability/what-is-reachability-analyzer.html) può essere utilizzato per valutare se determinati percorsi di rete possono essere raggiunti o meno in base alla configurazione di rete, incluse le impostazioni VPC BPA.
*Per informazioni sulla disponibilità regionale di Reachability Analyzer, consulta [Considerazioni](https://docs.aws.amazon.com/vpc/latest/reachability/how-reachability-analyzer-works.html#considerations) nella Guida di Reachability Analyzer*.
------
#### [ Console di gestione AWS ]
1. Apri la console AWS Network Insights all'indirizzo[https://console.aws.amazon.com/networkinsights/home#ReachabilityAnalyzer](https://console.aws.amazon.com/networkinsights/home#ReachabilityAnalyzer).
1. Fai clic su **Crea e analizza il percorso**.
1. Per **Tipo di origine**, scegli **Gateway Internet** e seleziona il gateway Internet per il quale desideri bloccare il traffico dal **menu a discesa Origine**.
1. Per **Tipo di destinazione**, scegli **Istanze** e seleziona l'istanza verso cui desideri bloccare il traffico dal menu a discesa **Destinazione**.
1. Fai clic su **Crea e analizza il percorso**.
1. Attendi il completamento del processo. Il processo può richiedere alcuni minuti.
1. Una volta completato, dovresti vedere che lo **stato di raggiungibilità** è **non raggiungibile** e che i **dettagli del percorso** indicano che `VPC_BLOCK_PUBLIC_ACCESS_ENABLED ` è la causa di questo problema di raggiungibilità.
------
#### [ AWS CLI ]
1. Crea un percorso di rete utilizzando l'ID del gateway Internet da cui desideri bloccare il traffico (origine) e l'ID dell'istanza verso cui desideri bloccare il traffico (destinazione):
```
aws ec2 --region us-east-2 create-network-insights-path --source igw-id --destination instance-id --protocol TCP
```
1. Avvia un'analisi sul percorso di rete:
```
aws ec2 --region us-east-2 start-network-insights-analysis --network-insights-path-id nip-id
```
1. Richiama i risultati dell'analisi:
```
aws ec2 --region us-east-2 describe-network-insights-analyses --network-insights-analysis-ids nia-id
```
1. Verifica che `VPC_BLOCK_PUBLIC_ACCESS_ENABLED` sia il `ExplanationCode` della mancanza di raggiungibilità.
------