本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 評估 VPC BPA 的影響並監控 VPC BPA
<a name="security-vpc-bpa-assess-impact-main"></a>

本節包含有關您可以在開啟 VPC BPA 之前評估其影響的資訊，以及如何在開啟流量之後監控流量是否遭到封鎖的資訊。

**Topics**
+ [使用網路存取分析器評估 VPC BPA 的影響](#security-vpc-bpa-assess-impact)
+ [使用流量日誌監控 VPC BPA 影響](#security-vpc-bpa-fl)
+ [使用 CloudTrail 追蹤排除刪除](#security-vpc-bpa-cloudtrail)
+ [使用 Reachability Analyzer 確認連線已封鎖](#security-vpc-bpa-verify-RA)

## 使用網路存取分析器評估 VPC BPA 的影響
<a name="security-vpc-bpa-assess-impact"></a>

在本節中，您將使用網路存取分析器檢視帳戶中使用網際網路閘道的資源，*然後再*啟用 VPC BPA 和封鎖存取。使用此分析來了解在帳戶中開啟 VPC BPA 並封鎖流量的影響。

**注意**  
網路存取分析器不支援 IPv6；因此您將無法使用它來檢視 VPC BPA 對僅限輸出網際網路閘道傳出 IPv6 流量的潛在影響。
您需要為使用網路存取分析器執行的分析付費。如需詳細資訊，請參閱《網路存取分析器指南》**中的[定價](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-network-access-analyzer.html#pricing)。
如需有關網路存取分析器區域可用性的資訊，請參閱*《網路存取分析器指南》*中的[限制](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/how-network-access-analyzer-works.html#analyzer-limitations)。

------
#### [ AWS 管理主控台 ]

1. 在 開啟 AWS Network Insights 主控台[https://console.aws.amazon.com/networkinsights/](https://console.aws.amazon.com/networkinsights/)。

1. 選擇**網路存取分析器**。

1. 選擇**建立網路存取範圍**。

1. 選擇**評估 VPC 封鎖公開存取的影響**，然後選擇**下一步**。

1. 範本已設定為分析您帳戶中網際網路閘道的往返流量。您可以在**來源**和**目的地**下檢視。

1. 選擇**下一步**。

1. 選擇**建立網路存取範圍**。

1. 選擇您剛建立的範圍，然後選擇**分析**。

1. 等候分析完成。

1. 檢視分析的調查結果。**調查結果**下的每一列都顯示了封包在網路中往返於您帳戶中的網際網路閘道的網路路徑。在此情況下，如果您開啟 VPC BPA，且這些調查結果中出現的任何 VPC 和/或子網路都未設定為 VPC BPA 排除項目，則流向這些 VPC 和子網路的流量將受到限制。

1. 分析每個調查結果，了解 VPC BPA 對您 VPC 資源的影響。

影響分析已完成。

------
#### [ AWS CLI ]

1. 建立網路存取範圍：

   ```
   aws ec2 create-network-insights-access-scope --region us-east-2 --match-paths "Source={ResourceStatement={ResourceTypes=["AWS::EC2::InternetGateway"]}}" "Destination={ResourceStatement={ResourceTypes=["AWS::EC2::InternetGateway"]}}"
   ```

1. 開始範圍分析：

   ```
   aws ec2 start-network-insights-access-scope-analysis  --region us-east-2 --network-insights-access-scope-id nis-id
   ```

1. 取得分析的結果：

   ```
   aws ec2 get-network-insights-access-scope-analysis-findings  --region us-east-2 --network-insights-access-scope-analysis-id nisa-0aa383a1938f94cd1 --max-items 1
   ```

   結果會顯示您帳戶中所有 VPC 中往返網際網路閘道的流量。結果會組織為「調查結果」。"FindingId": "AnalysisFinding-1" 表示這是分析中的第一個調查結果。請注意，有多個調查結果，每個調查結果都表示流量流程會因為開啟 VPC BPA 而受到影響。第一個調查結果會顯示從網際網路閘道 ("SequenceNumber": 1) 開始的流量，傳遞至 NACL ("SequenceNumber": 2) 給安全群組 ("SequenceNumber"： 3)，並在執行個體 ("SequenceNumber": 4) 結束。

1. 分析調查結果，了解 VPC BPA 對 VPC 資源的影響。

影響分析已完成。

------

## 使用流量日誌監控 VPC BPA 影響
<a name="security-vpc-bpa-fl"></a>

VPC 流程日誌是一項可讓您擷取傳入及傳出您 VPC 中彈性網路介面之 IP 流量相關資訊的功能。您可以使用此功能來監控 VPC BPA 封鎖到達執行個體網路介面的流量。

使用 [使用流量日誌工作](working-with-flow-logs.md) 中的步驟為您的 VPC 建立流程日誌。

當您建立流程日誌時，請務必使用包含欄位 `reject-reason` 的自訂格式。

當您檢視流量日誌時，如果流向 ENI 的流量因 VPC BPA 而遭到拒絕，您會在流量日誌項目中看到 `BPA` 的 `reject-reason`。

除了 VPC 流程日誌的標準[限制](flow-logs-limitations.md)之外，請注意 VPC BPA 特有的下列限制：
+ VPC BPA 的流量日誌不包含[跳過的記錄](flow-logs-records-examples.md#flow-log-example-no-data)。
+ 即使您在流量日誌中包含 `bytes` 欄位，VPC BPA 的流量日誌也不會包含 [`bytes`](flow-log-records.md#flow-logs-fields)。

## 使用 CloudTrail 追蹤排除刪除
<a name="security-vpc-bpa-cloudtrail"></a>

本節說明如何使用 AWS CloudTrail 來監控和追蹤 VPC BPA 排除的刪除。

------
#### [ AWS 管理主控台 ]

您可以在透過 [https://console.aws.amazon.com/cloudtrailv2/](https://console.aws.amazon.com/cloudtrailv2/) 存取 AWS CloudTrail 主控台，在其中查詢**資源類型** > `AWS::EC2::VPCBlockPublicAccessExclusion`，以檢視 **CloudTrail 事件歷史記錄**中任何已刪除的排除。

------
#### [ AWS CLI ]

您可以使用 `lookup-events` 命令來檢視與刪除排除項目相關的事件：

```
aws cloudtrail lookup-events --lookup-attributes AttributeKey=ResourceType,AttributeValue=AWS::EC2::VPCBlockPublicAccessExclusion
```

------

## 使用 Reachability Analyzer 確認連線已封鎖
<a name="security-vpc-bpa-verify-RA"></a>

[VPC Reachability Analyzer](https://docs.aws.amazon.com/vpc/latest/reachability/what-is-reachability-analyzer.html) 可用來評估是否可以根據您的網路組態達到特定網路路徑，包括 VPC BPA 設定。

如需 Reachability Analyzer 區域可用性的相關資訊，請參閱*《Reachability Analyzer 指南》*中的[考量](https://docs.aws.amazon.com/vpc/latest/reachability/how-reachability-analyzer-works.html#considerations)。

------
#### [ AWS 管理主控台 ]

1. 在 開啟 AWS Network Insights 主控台[https://console.aws.amazon.com/networkinsights/home#ReachabilityAnalyzer](https://console.aws.amazon.com/networkinsights/home#ReachabilityAnalyzer)。

1. 按一下**建立並分析路徑**。

1. 針對**來源類型**，選擇**網際網路閘道**，然後從**來源**下拉式清單中選擇您要封鎖流量的網際網路閘道。

1. 針對**目的地類型**，選擇**執行個體**，然後從**目的地**下拉式清單中選擇您要封鎖流量的執行個體。

1. 按一下**建立並分析路徑**。

1. 等候分析完成。這可能需要幾分鐘的時間。

1. 完成後，您應該會看到**連線性狀態**為**無法連線**，而且**路徑詳細資訊**顯示 `VPC_BLOCK_PUBLIC_ACCESS_ENABLED ` 是造成此連線能力問題的原因。

------
#### [ AWS CLI ]

1. 使用您要封鎖來自 (來源) 的流量的網際網路閘道 ID 和您要封鎖流向 (目的地) 執行個體的 ID 建立網路路徑：

   ```
   aws ec2 --region us-east-2 create-network-insights-path --source igw-id --destination instance-id --protocol TCP
   ```

1. 在網路路徑上開始分析：

   ```
   aws ec2 --region us-east-2 start-network-insights-analysis --network-insights-path-id nip-id
   ```

1. 檢索分析的結果：

   ```
   aws ec2 --region us-east-2 describe-network-insights-analyses --network-insights-analysis-ids nia-id
   ```

1. 確認 `VPC_BLOCK_PUBLIC_ACCESS_ENABLED` 為 `ExplanationCode`，無法連線。

------