# VPC BPA의 영향 평가 및 VPC BPA 모니터링
이 섹션에는 VPC BPA를 켜기 전에 VPC BPA의 영향을 평가하고 VPC BPA를 켠 후에 트래픽이 차단되는지 모니터링하는 방법에 대한 정보가 포함되어 있습니다.
**Topics**
+ [Network Access Analyzer를 사용하여 VPC BPA의 영향 평가](#security-vpc-bpa-assess-impact)
+ [흐름 로그를 사용하여 VPC BPA 영향 모니터링](#security-vpc-bpa-fl)
+ [CloudTrail을 사용하여 제외 항목 삭제 추적](#security-vpc-bpa-cloudtrail)
+ [Reachability Analyzer를 사용하여 연결이 차단되었는지 확인](#security-vpc-bpa-verify-RA)
## Network Access Analyzer를 사용하여 VPC BPA의 영향 평가
이 섹션에서는 VPC BPA를 활성화하여 액세스를 차단하기 *전*에 Network Access Analyzer를 사용하여 인터넷 게이트웨이를 사용하는 계정의 리소스를 확인하는 방법을 살펴봅니다. 이 분석을 사용하여 계정에서 VPC BPA를 켜고 트래픽을 차단할 때의 영향을 파악할 수 있습니다.
**참고**
Network Access Analyzer는 IPv6을 지원하지 않으므로 송신 전용 인터넷 게이트웨이 아웃바운드 IPv6 트래픽에 대한 VPC BPA의 잠재적 영향 확인에 사용할 수 없습니다.
Network Access Analyzer를 사용하여 수행하는 분석에는 요금이 부과됩니다. 자세한 내용을 알아보려면 *Network Access Analyzer Guide(Network Access Analyzer 설명서)*의 [가격](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-network-access-analyzer.html#pricing)을 참조하세요.
Network Access Analyzer의 리전별 가용성에 대한 자세한 내용은 *Network Access Analyzer 설명서*의 [제한 사항](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/how-network-access-analyzer-works.html#analyzer-limitations)을 참조하세요.
------
#### [ AWS Management Console ]
1. [https://console.aws.amazon.com/networkinsights/](https://console.aws.amazon.com/networkinsights/)에서 AWS Network Insights 콘솔을 엽니다.
1. **Network Access Analyzer**를 선택합니다.
1. **네트워크 액세스 범위 생성**을 선택합니다.
1. **VPC 퍼블릭 액세스 차단의 영향 평가**를 선택하고 **다음**을 선택합니다.
1. 템플릿은 이미 계정의 인터넷 게이트웨이를 오가는 트래픽을 분석하도록 구성되어 있습니다. **소스** 및 **대상**에서 이를 확인할 수 있습니다.
1. **다음**을 선택합니다.
1. **네트워크 액세스 범위 생성**을 선택합니다.
1. 방금 생성한 범위를 선택하고 **분석**을 선택합니다.
1. 분석이 완료될 때까지 기다립니다.
1. 분석 결과를 확인합니다. **분석 결과** 아래의 각 행에는 패킷이 네트워크에서 계정의 인터넷 게이트웨이를 들어오고 나갈 때 거칠 수 있는 네트워크 경로가 표시됩니다. 이 경우 VPC BPA를 켜고 이러한 분석 결과에 나타나는 VPC 및/또는 서브넷 중 VPC BPA 제외 항목으로 구성된 것이 없는 경우 해당 VPC 및 서브넷으로의 트래픽이 제한됩니다.
1. 각 분석 결과를 확인하여 VPC BPA가 VPC의 리소스에 미치는 영향을 파악합니다.
영향 분석이 완료되었습니다.
------
#### [ AWS CLI ]
1. 네트워크 액세스 범위 생성:
```
aws ec2 create-network-insights-access-scope --region us-east-2 --match-paths "Source={ResourceStatement={ResourceTypes=["AWS::EC2::InternetGateway"]}}" "Destination={ResourceStatement={ResourceTypes=["AWS::EC2::InternetGateway"]}}"
```
1. 범위 분석 시작:
```
aws ec2 start-network-insights-access-scope-analysis --region us-east-2 --network-insights-access-scope-id nis-id
```
1. 분석 결과 가져오기:
```
aws ec2 get-network-insights-access-scope-analysis-findings --region us-east-2 --network-insights-access-scope-analysis-id nisa-0aa383a1938f94cd1 --max-items 1
```
결과는 계정의 모든 VPC에서 인터넷 게이트웨이를 들어오고 나가는 트래픽을 보여줍니다. 결과는 "분석 결과"로 구성됩니다. "FindingId": "AnalysisFinding-1"은 이것이 분석의 첫 번째 결과임을 나타냅니다. 여러 분석 결과가 있는 경우 각 분석 결과는 VPC BPA를 켜면 영향을 받는 트래픽 흐름을 나타냅니다. 첫 번째 분석 결과는 인터넷 게이트웨이("SequenceNumber": 1)에서 시작된 트래픽이 NACL("SequenceNumber": 2)을 거쳐 보안 그룹("SequenceNumber": 3)으로 전달되고 인스턴스("SequenceNumber": 4)에서 종료된 것을 보여줍니다.
1. 분석 결과를 확인하여 VPC BPA가 VPC의 리소스에 미치는 영향을 파악합니다.
영향 분석이 완료되었습니다.
------
## 흐름 로그를 사용하여 VPC BPA 영향 모니터링
VPC 흐름 로그는 VPC의 탄력적 네트워크 인터페이스에서 전송되고 수신되는 IP 트래픽에 대한 정보를 수집할 수 있는 기능입니다. 이 기능을 사용하여 VPC BPA가 인스턴스 네트워크 인터페이스에 도달하지 못하도록 차단한 트래픽을 모니터링할 수 있습니다.
[흐름 로그 작업](working-with-flow-logs.md)의 단계에 따라 VPC에 대한 흐름 로그를 생성합니다.
흐름 로그를 생성할 때 `reject-reason` 필드가 포함된 사용자 지정 형식을 사용해야 합니다.
흐름 로그를 볼 때 VPC BPA로 인해 ENI에 대한 트래픽이 거부된 경우 흐름 로그 항목에 `reject-reason`이 `BPA`로 표시됩니다.
VPC 흐름 로그의 표준 [제한 사항](flow-logs-limitations.md) 외에도 VPC BPA와 관련된 다음 제한 사항에 유의하세요.
+ VPC BPA의 흐름 로그에는 [건너뛴 레코드](flow-logs-records-examples.md#flow-log-example-no-data)가 포함되지 않습니다.
+ 흐름 로그에 `bytes` 필드를 포함하더라도 VPC BPA의 흐름 로그에는 [`bytes`](flow-log-records.md#flow-logs-fields)가 포함되지 않습니다.
## CloudTrail을 사용하여 제외 항목 삭제 추적
이 섹션에서는 AWS CloudTrail을 사용하여 VPC BPA 제외 항목 삭제를 모니터링하고 추적하는 방법을 설명합니다.
------
#### [ AWS Management Console ]
[https://console.aws.amazon.com/cloudtrailv2/](https://console.aws.amazon.com/cloudtrailv2/)의 AWS CloudTrail 콘솔에서 **리소스 유형** > `AWS::EC2::VPCBlockPublicAccessExclusion`을 조회하면 **CloudTrail 이벤트 기록**의 삭제된 제외 항목을 볼 수 있습니다.
------
#### [ AWS CLI ]
`lookup-events` 명령을 사용하여 제외 항목 삭제와 관련된 이벤트를 볼 수 있습니다.
```
aws cloudtrail lookup-events --lookup-attributes AttributeKey=ResourceType,AttributeValue=AWS::EC2::VPCBlockPublicAccessExclusion
```
------
## Reachability Analyzer를 사용하여 연결이 차단되었는지 확인
[VPC Reachability Analyzer](https://docs.aws.amazon.com/vpc/latest/reachability/what-is-reachability-analyzer.html)를 사용하면 VPC BPA 설정을 포함한 지정된 네트워크 구성에서 특정 네트워크 경로에 도달할 수 있는지 여부를 평가할 수 있습니다.
Reachability Analyzer의 리전별 가용성에 대한 자세한 내용은 *Reachability Analyzer 설명서*의 [고려 사항](https://docs.aws.amazon.com/vpc/latest/reachability/how-reachability-analyzer-works.html#considerations)을 참조하세요.
------
#### [ AWS Management Console ]
1. [https://console.aws.amazon.com/networkinsights/home#ReachabilityAnalyzer](https://console.aws.amazon.com/networkinsights/home#ReachabilityAnalyzer)에서 AWS Network Insights 콘솔을 엽니다.
1. **경로 생성 및 분석**을 클릭합니다.
1. **소스 유형**에서 **인터넷 게이트웨이**를 선택하고 **소스 드롭다운**에서 트래픽을 차단할 인터넷 게이트웨이를 선택합니다.
1. **대상 유형**에서 **인스턴스**를 선택하고 **대상** 드롭다운에서 트래픽을 차단할 인스턴스를 선택합니다.
1. **경로 생성 및 분석**을 클릭합니다.
1. 분석이 완료될 때까지 기다립니다. 몇 분 정도 걸릴 수 있습니다.
1. 완료되면 **연결성 상태**가 **연결할 수 없음**으로 나타나야 하고 **경로 세부 정보**에 이 연결성 문제의 원인이 `VPC_BLOCK_PUBLIC_ACCESS_ENABLED `로 표시됩니다.
------
#### [ AWS CLI ]
1. 소스의 트래픽을 차단하려는 인터넷 게이트웨이의 ID와 대상의 트래픽을 차단하려는 인스턴스의 ID를 사용하여 네트워크 경로를 생성합니다.
```
aws ec2 --region us-east-2 create-network-insights-path --source igw-id --destination instance-id --protocol TCP
```
1. 네트워크 경로에 대한 분석 시작:
```
aws ec2 --region us-east-2 start-network-insights-analysis --network-insights-path-id nip-id
```
1. 분석 결과 검색:
```
aws ec2 --region us-east-2 describe-network-insights-analyses --network-insights-analysis-ids nia-id
```
1. 연결성이 부족한 경우 `VPC_BLOCK_PUBLIC_ACCESS_ENABLED`가 `ExplanationCode`인지 확인합니다.
------