# VPC BPA の影響を評価し、VPC BPA をモニタリングする
このセクションには、VPC BPA をオンにする前に VPC BPA の影響を評価する方法に関する情報と、VPC BPA をオンにした後にトラフィックがブロックされるかどうかをモニタリングする方法に関する情報が含まれています。
**Topics**
+ [Network Access Analyzer を使用して VPC BPA の影響を評価する](#security-vpc-bpa-assess-impact)
+ [フローログを使用して VPC BPA の影響をモニタリングする](#security-vpc-bpa-fl)
+ [CloudTrail を使用して除外の削除を追跡する](#security-vpc-bpa-cloudtrail)
+ [Reachability Analyzer を使用して接続がブロックされていることを検証する](#security-vpc-bpa-verify-RA)
## Network Access Analyzer を使用して VPC BPA の影響を評価する
このセクションでは、VPC BPA を有効にしてアクセスをブロックする*前*に、Network Access Analyzer を使用して、インターネットゲートウェイを使用するアカウントのリソースを表示します。この分析を使用して、アカウントで VPC BPA をオンにし、トラフィックをブロックした場合の影響を理解します。
**注記**
Network Access Analyzer は IPv6 をサポートしていないため、Egress-Only インターネットゲートウェイのアウトバウンド IPv6 トラフィックに対する VPC BPA の潜在的な影響を表示するために使用することはできません。
Network Access Analyzer で実行する分析には料金がかかります。詳細については、「*Network Access Analyzer ガイド*」の「[料金](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-network-access-analyzer.html#pricing)」を参照してください。
Network Access Analyzer が利用できるリージョンについては、「*Network Access Analyzer ガイド*」の「[Limitations](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/how-network-access-analyzer-works.html#analyzer-limitations)」を参照してください。
------
#### [ AWS マネジメントコンソール ]
1. [https://console.aws.amazon.com/networkinsights/](https://console.aws.amazon.com/networkinsights/) で AWS Network Insights コンソールを開きます。
1. **[Network Access Analyzer]** を選択します。
1. **[ネットワークアクセススコープを作成]** を選択します。
1. **[Assess impact of VPC Block Public Access]** を選択し、**[次へ]**を選択します。
1. テンプレートは、アカウントのインターネットゲートウェイとの間のトラフィックを分析するように既に設定されています。これは、**[ソース]** と **[宛先]** で確認できます。
1. [**次へ**] を選択します。
1. **[ネットワークアクセススコープを作成]** を選択します。
1. 先ほど作成したスコープを選択し、**[分析]** を選択します。
1. 分析が完了するまで待ちます。
1. 分析の検出結果を表示します。**[検出結果]** の各行には、アカウントのインターネットゲートウェイとの間のネットワーク内でパケットが沿うことができるネットワークパスが表示されます。この場合、VPC BPA をオンにし、これらの検出結果に表示される VPC やサブネットのいずれも VPC BPA の除外として設定されていない場合、それらの VPC やサブネットに対するトラフィックは制限されます。
1. 各検出結果を分析して、VPC 内のリソースに対する VPC BPA の影響を理解します。
影響分析が完了しました。
------
#### [ AWS CLI ]
1. ネットワークアクセススコープを作成します:
```
aws ec2 create-network-insights-access-scope --region us-east-2 --match-paths "Source={ResourceStatement={ResourceTypes=["AWS::EC2::InternetGateway"]}}" "Destination={ResourceStatement={ResourceTypes=["AWS::EC2::InternetGateway"]}}"
```
1. スコープ分析を開始します:
```
aws ec2 start-network-insights-access-scope-analysis --region us-east-2 --network-insights-access-scope-id nis-id
```
1. 分析の結果を取得します:
```
aws ec2 get-network-insights-access-scope-analysis-findings --region us-east-2 --network-insights-access-scope-analysis-id nisa-0aa383a1938f94cd1 --max-items 1
```
その結果、アカウント内のすべての VPC のインターネットゲートウェイとの間のトラフィックが表示されます。結果は「検出結果」として整理されます。"FindingId": "AnalysisFinding-1" は、これが分析の最初の結果であることを示します。複数の検出結果があり、それぞれが VPC BPA をオンにすることで影響を受けるトラフィックフローを示しています。最初の検出結果は、トラフィックがインターネットゲートウェイ ("SequenceNumber": 1) で開始され、NACL ("SequenceNumber": 2)、セキュリティグループ ("SequenceNumber": 3) の順に渡され、インスタンス ("SequenceNumber": 4) で終了したことを示しています。
1. 検出結果を分析して、VPC 内のリソースに対する VPC BPA の影響を理解します。
影響分析が完了しました。
------
## フローログを使用して VPC BPA の影響をモニタリングする
VPC フローログは、VPC の Elastic Network Interface との間で行き来する IP トラフィックに関する情報をキャプチャできるようにする機能です。この機能を使用して、インスタンスのネットワークインターフェイスに到達しないように VPC BPA によってブロックされたトラフィックをモニタリングできます。
[フローログの使用](working-with-flow-logs.md) のステップを使用して、VPC のフローログを作成します。
フローログを作成する際には、フィールド `reject-reason` を含むカスタム形式を使用してください。
フローログを表示する際に、VPC BPA が原因で ENI に対するトラフィックが拒否された場合、フローログエントリに `BPA` の `reject-reason` が表示されます。
VPC フローログについての標準の[制限](flow-logs-limitations.md)に加えて、VPC BPA に固有の次の制限に留意してください。
+ VPC BPA のフローログには、[スキップされたレコード](flow-logs-records-examples.md#flow-log-example-no-data)は含まれません。
+ VPC BPA のフローログには、フローログに `bytes` フィールドを含めた場合であっても、[`bytes`](flow-log-records.md#flow-logs-fields) は含まれません。
## CloudTrail を使用して除外の削除を追跡する
このセクションでは、AWS CloudTrail を使用して VPC BPA の除外の削除をモニタリングおよび追跡する方法について説明します。
------
#### [ AWS マネジメントコンソール ]
[https://console.aws.amazon.com/cloudtrailv2/](https://console.aws.amazon.com/cloudtrailv2/) の AWS CloudTrail コンソールの **[リソースタイプ]** > `AWS::EC2::VPCBlockPublicAccessExclusion` にアクセスして、**[CloudTrail イベント履歴]** で、削除された除外を確認できます。
------
#### [ AWS CLI ]
除外の削除に関連するイベントを表示するには、`lookup-events` コマンドを使用します:
```
aws cloudtrail lookup-events --lookup-attributes AttributeKey=ResourceType,AttributeValue=AWS::EC2::VPCBlockPublicAccessExclusion
```
------
## Reachability Analyzer を使用して接続がブロックされていることを検証する
[VPC Reachability Analyzer](https://docs.aws.amazon.com/vpc/latest/reachability/what-is-reachability-analyzer.html) を使用して、VPC BPA の設定を含むネットワーク設定を踏まえて、特定のネットワークパスに到達できるかどうかを評価できます。
Reachability Analyzer を利用できるリージョンについては、「*Reachability Analyzer ガイド*」の「[Considerations](https://docs.aws.amazon.com/vpc/latest/reachability/how-reachability-analyzer-works.html#considerations)」を参照してください。
------
#### [ AWS マネジメントコンソール ]
1. [https://console.aws.amazon.com/networkinsights/home#ReachabilityAnalyzer](https://console.aws.amazon.com/networkinsights/home#ReachabilityAnalyzer) で AWS Network Insights コンソールを開きます。
1. **[パスを作成および分析]** をクリックします。
1. **[ソースタイプ]** で、**[インターネットゲートウェイ]** を選択し、**[ソースドロップダウン]** からトラフィックをブロックするインターネットゲートウェイを選択します。
1. **[宛先タイプ]** で、**[インスタンス]** を選択し、**[宛先]** ドロップダウンからトラフィックをブロックするインスタンスを選択します。
1. **[パスを作成および分析]** をクリックします。
1. 分析が完了するまで待ちます。数分かかる場合があります。
1. 完了すると、**[可達のステータス]** が **[到達不可能]** となり、**[パスの詳細]** に `VPC_BLOCK_PUBLIC_ACCESS_ENABLED ` がこの到達可能性に関する問題の原因であることが示されます。
------
#### [ AWS CLI ]
1. トラフィックをブロックするインターネットゲートウェイの ID (ソース) と、トラフィックをブロックするインスタンスの ID (宛先) を使用してネットワークパスを作成します。
```
aws ec2 --region us-east-2 create-network-insights-path --source igw-id --destination instance-id --protocol TCP
```
1. ネットワークパスで分析を開始します:
```
aws ec2 --region us-east-2 start-network-insights-analysis --network-insights-path-id nip-id
```
1. 分析の結果を取得します:
```
aws ec2 --region us-east-2 describe-network-insights-analyses --network-insights-analysis-ids nia-id
```
1. 到達可能性の欠如について、`VPC_BLOCK_PUBLIC_ACCESS_ENABLED` が `ExplanationCode` であることを確認します。
------