Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Rete in AWS Control Tower
AWS Control Tower fornisce supporto di base per il networking tramite VPCs.
Se la configurazione o le funzionalità predefinite del VPC AWS Control Tower non soddisfano le tue esigenze, puoi utilizzare altri AWS servizi per configurare il tuo VPC. Per ulteriori informazioni su come lavorare con VPCs AWS Control Tower, consulta [Creazione di un'infrastruttura di rete multi-VPC AWS scalabile e sicura](https://d1.awsstatic.com/whitepapers/building-a-scalable-and-secure-multi-vpc-aws-network-infrastructure.pdf).
Supporti IPv4 e IPv6 protocolli AWS Control Tower, tramite indirizzi IP dual-stack. Per ulteriori informazioni, consulta [Endpoint e quote di AWS Control Catalog e Endpoint e quote](https://docs.aws.amazon.com//general/latest/gr/controlcatalog.html) [AWS Control Tower](https://docs.aws.amazon.com//general/latest/gr/controltower.html).
**Argomenti correlati**
+ Per informazioni su come funziona AWS Control Tower quando registri account esistenti VPCs, consulta[Registra gli account esistenti con VPCs](enroll-account.md#enroll-existing-accounts-with-vpcs).
+ Con Account Factory, puoi effettuare il provisioning di account che includono un VPC AWS Control Tower oppure puoi effettuare il provisioning di account senza un VPC. Per informazioni su come eliminare il VPC AWS Control Tower o configurare gli account AWS Control Tower senza un VPC, consulta. [Procedura dettagliata: configura AWS Control Tower senza un VPC](configure-without-vpc.md)
+ Per informazioni su come modificare le impostazioni dell'account VPCs, consulta la [documentazione di Account Factory](https://docs.aws.amazon.com//controltower/latest/userguide/account-factory.html#configuring-account-factory-with-VPC-settings) sull'aggiornamento di un account.
+ Per ulteriori informazioni sull'utilizzo delle reti e VPCs su AWS Control Tower, consulta la sezione sulle [reti](https://docs.aws.amazon.com//controltower/latest/userguide/related-information.html#networking) nella pagina di *informazioni correlate* di questa *Guida per l'utente*.
## VPCs e AWS regioni in AWS Control Tower
Come parte standard della creazione dell'account, AWS crea un VPC AWS predefinito in ogni regione, anche nelle regioni che non gestisci con AWS Control Tower. Questo VPC predefinito non è lo stesso di un VPC creato da AWS Control Tower per un account fornito, ma il AWS VPC predefinito in una regione non governata può essere accessibile agli utenti IAM.
Gli amministratori possono abilitare la Region Deny Control, in modo che gli utenti finali non abbiano il permesso di connettersi a un VPC in *una regione supportata da AWS Control Tower* ma al di fuori delle regioni governate. **Per configurare il Region Deny Control, vai alla pagina delle impostazioni della zona di **destinazione** e seleziona Modifica impostazioni.**
La Region deny control blocca le chiamate API verso la maggior parte dei servizi non governati. Regioni AWS Per ulteriori informazioni, consulta [Negare l'accesso a in AWS base alla richiesta](https://docs.aws.amazon.com//controltower/latest/userguide/primary-region-deny-policy.html). Regione AWS.
**Nota**
Il Region Deny Control potrebbe non impedire agli utenti IAM di connettersi a un VPC AWS predefinito in una regione in cui AWS Control Tower non è supportato.
Facoltativamente, puoi rimuovere l' AWS impostazione predefinita VPCs nelle regioni non governate. Per elencare il VPC predefinito in una regione puoi usare un comando CLI simile a questo esempio:
```
aws ec2 --region us-west-1 describe-vpcs --filter Name=isDefault,Values=true
```
# Panoramica di AWS Control Tower e VPCs
Ecco alcuni dati essenziali su AWS Control Tower VPCs:
+ Il VPC creato da AWS Control Tower quando si effettua il provisioning di un account in Account Factory non è lo stesso del AWS VPC predefinito.
+ Quando AWS Control Tower configura un nuovo account in una AWS regione supportata, AWS Control Tower elimina automaticamente il AWS VPC predefinito e configura un nuovo VPC configurato da AWS Control Tower.
+ A ogni account AWS Control Tower è consentito un VPC creato da AWS Control Tower. Un account può averne altri AWS VPCs entro il limite dell'account.
+ Ogni VPC AWS Control Tower ha tre zone di disponibilità in tutte le regioni ad eccezione della regione Stati Uniti occidentali (California settentrionale) e due zone di disponibilità all'interno. `us-west-1` `us-west-1` Per impostazione predefinita, a ogni zona di disponibilità è assegnata una sottorete pubblica e due sottoreti private. Pertanto, nelle regioni ad eccezione degli Stati Uniti occidentali (California settentrionale), ogni VPC AWS Control Tower contiene nove sottoreti per impostazione predefinita, suddivise in tre zone di disponibilità. Negli Stati Uniti occidentali (California settentrionale), sei sottoreti sono suddivise in due zone di disponibilità.
+ A ciascuna delle sottoreti del tuo VPC AWS Control Tower viene assegnato un intervallo univoco, di uguali dimensioni.
+ Il numero di sottoreti in un VPC è configurabile. Per ulteriori informazioni su come modificare la configurazione delle sottoreti del VPC, consulta [l'argomento Account Factory](https://docs.aws.amazon.com//controltower/latest/userguide/account-factory.html).
+ Poiché gli indirizzi IP non si sovrappongono, le sei o nove sottoreti all'interno del tuo VPC AWS Control Tower possono comunicare tra loro senza restrizioni.
Quando si lavora con VPCs, AWS Control Tower non fa distinzioni a livello di regione. Ogni sottorete viene allocata secondo l'esatto intervallo CIDR specificato. Le sottoreti VPC possono esistere in qualsiasi regione.
**Note**
**Gestisci i costi del VPC**
Se imposti la configurazione VPC di Account Factory in modo che le sottoreti pubbliche siano abilitate durante il provisioning di un nuovo account, Account Factory configura VPC per creare un gateway NAT. Ti verrà addebitato l’utilizzo da parte di Amazon VPC.
**VPC e impostazioni di controllo**
Se esegui il provisioning di account Account Factory con le impostazioni di accesso a Internet VPC abilitate, tale impostazione Account Factory ha la precedenza sul controllo Impedisci l'[accesso a Internet per un'istanza Amazon VPC gestita](https://docs.aws.amazon.com//controltower/latest/controlreference/data-residency-controls.html#disallow-vpc-internet-access) da un cliente. Per evitare di abilitare l'accesso a Internet per gli account appena assegnati, è necessario modificare l'impostazione in Account Factory. Per ulteriori informazioni, consulta [Procedura dettagliata: Configurazione di AWS Control Tower senza un VPC](https://docs.aws.amazon.com//controltower/latest/userguide/configure-without-vpc.html).
# CIDR e peering per VPC e AWS Control Tower
Questa sezione è destinata principalmente agli amministratori di rete. L'amministratore di rete della tua azienda di solito è la persona che seleziona l'intervallo CIDR complessivo per la tua organizzazione AWS Control Tower. L'amministratore di rete alloca quindi le sottoreti a partire da tale intervallo per scopi specifici.
Quando scegli un intervallo CIDR per il tuo VPC, AWS Control Tower convalida gli intervalli di indirizzi IP in base alla specifica RFC 1918. Account Factory consente un blocco CIDR fino `/16` a un massimo di intervalli di:
+ `10.0.0.0/8`
+ `172.16.0.0/12`
+ `192.168.0.0/16`
+ `100.64.0.0/10`(solo se il tuo provider Internet consente l'utilizzo di questo intervallo)
Il delimitatore `/16` consente fino a 65.536 indirizzi IP distinti.
È possibile assegnare qualsiasi indirizzo IP valido dai seguenti intervalli:
+ `10.0.x.x to 10.255.x.x`
+ `172.16.x.x – 172.31.x.x`
+ `192.168.0.0 – 192.168.255.255`(non IPs al di fuori dell'`192.168`intervallo)
Se l'intervallo specificato non rientra in questi valori, AWS Control Tower fornisce un messaggio di errore.
L'intervallo CIDR predefinito è `172.31.0.0/16`.
Quando AWS Control Tower crea un VPC utilizzando l'intervallo CIDR selezionato, assegna lo stesso intervallo CIDR a ogni *VPC* per ogni account creato all'interno dell'unità organizzativa (OU). A causa della sovrapposizione predefinita degli indirizzi IP, questa implementazione inizialmente non consente il peering tra nessuna delle tue AWS Control Tower VPCs nell'unità organizzativa.
**Sottoreti**
All'interno di ogni VPC, AWS Control Tower divide l'intervallo CIDR specificato in modo uniforme in nove sottoreti (tranne negli Stati Uniti occidentali (California settentrionale), dove è composto da sei sottoreti). Nessuna delle sottoreti all'interno di un VPC si sovrappone. Pertanto, tutti possono comunicare tra loro, all'interno del VPC.
In sintesi, per impostazione predefinita, la comunicazione tra sottoreti all'interno del VPC è illimitata. La best practice per controllare la comunicazione tra le sottoreti VPC, se necessario, è quella di configurare liste di controllo degli accessi con regole che definiscono il flusso di traffico consentito. Per il controllo del traffico tra istanze specifiche, utilizza i gruppi di sicurezza. Per ulteriori informazioni sulla configurazione di gruppi di sicurezza e firewall in AWS Control Tower, consulta [Walkthrough: Configurare i gruppi di sicurezza in AWS Control Tower With Firewall Manager AWS](https://docs.aws.amazon.com//controltower/latest/userguide/firewall-setup-walkthrough.html).
**Peering**
AWS Control Tower non limita il VPC-to-VPC peering per la comunicazione tra più VPCs utenti. Tuttavia, per impostazione predefinita, tutte le AWS Control Tower VPCs hanno lo stesso intervallo CIDR predefinito. Per supportare il peering, è possibile modificare l'intervallo CIDR nelle impostazioni di Account Factory in modo che gli indirizzi IP non si sovrappongano.
Se modifichi l'intervallo CIDR nelle impostazioni di Account Factory, a tutti i nuovi account che vengono successivamente creati da AWS Control Tower (utilizzando Account Factory) viene assegnato il nuovo intervallo CIDR. I vecchi account non vengono aggiornati. Ad esempio, puoi creare un account, quindi modificare l'intervallo CIDR e creare un nuovo account, e gli account VPCs allocati a questi due account possono essere sottoposti a peering. Il peering è possibile perché i relativi intervalli di indirizzi IP non sono identici.
# Accedi ad AWS Control Tower utilizzando un endpoint di interfaccia ()AWS PrivateLink
Puoi usarlo AWS PrivateLink per creare una connessione privata tra il tuo VPC e AWS Control Tower. Puoi accedere ad AWS Control Tower come se fosse nel tuo VPC, senza l'uso di un gateway Internet, un dispositivo NAT, una connessione VPN o una connessione. Direct Connect Le istanze nel tuo VPC non necessitano di indirizzi IP pubblici per accedere ad AWS Control Tower.
Stabilisci questa connessione privata creando un *endpoint di interfaccia* attivato da AWS PrivateLink. In ciascuna sottorete viene creata un'interfaccia di rete endpoint da abilitare per l'endpoint di interfaccia. Si tratta di interfacce di rete gestite dai richiedenti che fungono da punto di ingresso per il traffico destinato ad AWS Control Tower.
*Per ulteriori informazioni, consulta [Access Servizi AWS through AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html) nella Guida.AWS PrivateLink *
## Considerazioni per AWS Control Tower
*Prima di configurare un endpoint di interfaccia per AWS Control Tower, consulta [le considerazioni](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints) nella AWS PrivateLink Guida.*
AWS Control Tower supporta l'esecuzione di chiamate a tutte le sue azioni API tramite l'endpoint dell'interfaccia.
## Crea un endpoint di interfaccia per AWS Control Tower
Puoi creare un endpoint di interfaccia per AWS Control Tower utilizzando la console Amazon VPC o AWS Command Line Interface ().AWS CLI Per ulteriori informazioni, consulta la sezione [Creazione di un endpoint di interfaccia](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) nella *Guida per l'utente di AWS PrivateLink *.
Crea un endpoint di interfaccia per AWS Control Tower utilizzando i seguenti nomi di servizio:
```
com.amazonaws.region.controltower
com.amazonaws.region.controltower-fips
```
Se abiliti il DNS privato per l'endpoint dell'interfaccia, puoi effettuare richieste API ad AWS Control Tower utilizzando il nome DNS regionale predefinito. Ad esempio, `controltower.us-east-1.amazonaws.com`.
## Creazione di una policy dell' endpoint per l'endpoint dell'interfaccia
Una policy dell'endpoint è una risorsa IAM che è possibile allegare all'endpoint dell'interfaccia. La policy predefinita per gli endpoint consente l'accesso completo a AWS Control Tower tramite l'endpoint dell'interfaccia. Per controllare l'accesso consentito ad AWS Control Tower dal tuo VPC, collega una policy personalizzata per gli endpoint all'endpoint dell'interfaccia.
Una policy di endpoint specifica le informazioni riportate di seguito:
+ I principali che possono eseguire azioni (Account AWS, utenti IAM e ruoli IAM).
+ Le azioni che possono essere eseguite.
+ Le risorse in cui è possibile eseguire le operazioni.
Per ulteriori informazioni, consulta la sezione [Controllo dell'accesso ai servizi con policy di endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) nella *Guida di AWS PrivateLink *.
**Esempio: policy sugli endpoint VPC per le azioni di AWS Control Tower**
Di seguito è riportato l'esempio di una policy dell'endpoint personalizzata. Quando colleghi questa policy all'endpoint dell'interfaccia, concede l'accesso alle azioni AWS Control Tower elencate per tutti i principali su tutte le risorse.
```
{
"Statement": [
{
"Principal": "*",
"Effect": "Allow",
"Action": [
"controltower:ListEnabledControls",
"controltower:ListLandingZones"
],
"Resource":"*"
}
]
}
```
**Nota**
Per un elenco completo delle operazioni dell'API AWS Control Tower, consulta l'[AWS Control Tower API Reference](https://docs.aws.amazon.com//controltower/latest/APIReference/Welcome.html).