# VPC BPA の基本
このセクションでは、VPC BPA をサポートするサービスや、VPC BPA の使用方法など、VPC BPA に関する重要な詳細について説明します。
**Topics**
+ [リージョナルな可用性](#security-vpc-bpa-reg-avail)
+ [AWS サービスへの影響とサポート](#security-vpc-bpa-service-support)
+ [VPC BPA の制限事項](#security-vpc-bpa-limits)
+ [IAM ポリシーを使用して VPC BPA に対するアクセスを制御する](#security-vpc-bpa-iam-example)
+ [アカウントのために VPC BPA 双方向モードを有効にする](#security-vpc-bpa-enable-bidir)
+ [VPC BPA モードをイングレスのみに変更する](#security-vpc-bpa-ingress-only)
+ [除外を作成および削除する](#security-vpc-bpa-exclusions)
+ [組織レベルで VPC BPA を有効にする](#security-vpc-bpa-exclusions-orgs)
## リージョナルな可用性
VPC BPA は、GovCloud および中国リージョンを含むすべての商用 [AWS リージョン](https://aws.amazon.com//about-aws/global-infrastructure/regions_az/)で利用できます。
また、このガイドでは、Network Access Analyzer および Reachability Analyzer と VPC BPA の併用についても説明します。Network Access Analyzer と Reachability Analyzer は、すべての商用リージョンで利用できるわけではありません。Network Access Analyzer と Reachability Analyzer を利用できるリージョンについては、「*Network Access Analyzer ガイド*」の「[Limitations](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/how-network-access-analyzer-works.html#analyzer-limitations)」と「*Reachability Analyzer ガイド*」の「[Considerations](https://docs.aws.amazon.com/vpc/latest/reachability/how-reachability-analyzer-works.html#considerations)」を参照してください。
## AWS サービスへの影響とサポート
次のリソースとサービスは VPC BPA をサポートし、これらのサービスとリソースに対するトラフィックは VPC BPA の影響を受けます。
+ **[インターネットゲートウェイ]**: すべてのインバウンドトラフィックとアウトバウンドトラフィックがブロックされます。
+ **[エグレスのみのインターネットゲートウェイ]**: すべてのアウトバウンドトラフィックがブロックされます。エグレスのみのインターネットゲートウェイは、インバウンドトラフィックを許可しません。
+ **Gateway Load Balancer (GWLB)**: GWLB エンドポイントを含むサブネットが除外されていても、インバウンドトラフィックとアウトバウンドトラフィックはすべてブロックされます。
+ **[NAT ゲートウェイ]**: すべてのインバウンドトラフィックとアウトバウンドトラフィックがブロックされます。NAT ゲートウェイには、インターネット接続のためのインターネットゲートウェイが必要です。
+ **[インターネット向け Network Load Balancer]**: すべてのインバウンドトラフィックとアウトバウンドトラフィックがブロックされます。インターネット向け Network Load Balancer には、インターネット接続のためのインターネットゲートウェイが必要です。
+ **[インターネット向け Application Load Balancer]**: すべてのインバウンドトラフィックとアウトバウンドトラフィックがブロックされます。インターネット向け Application Load Balancer には、インターネット接続のためのインターネットゲートウェイが必要です。
+ **Amazon CloudFront VPC オリジン**: すべてのインバウンドトラフィックとアウトバウンドトラフィックがブロックされます。
+ **Direct Connect**: パブリック仮想インターフェイス (パブリック IPv4 またはグローバルユニキャスト IPv6 アドレス) を使用するすべてのインバウンドトラフィックとアウトバウンドトラフィックはブロックされます。このトラフィックは、接続にインターネットゲートウェイ (または Egress-Only インターネットゲートウェイ) を使用します。
+ **AWS Global Accelerator**: ターゲットがインターネットからアクセス可能かどうかにかかわらず、VPC へのインバウンドトラフィックはブロックされます。
+ **AWS Network Firewall**: ファイアウォールエンドポイントを含むサブネットが除外されていても、インバウンドトラフィックとアウトバウンドトラフィックはすべてブロックされます。
+ **AWS Wavelength キャリア ゲートウェイ**: すべてのインバウンドトラフィックとアウトバウンドトラフィックがブロックされます。
次のサービスやリソースについてのトラフィックなど、プライベート接続に関連するトラフィックは、VPC BPA によってブロックされず、影響も受けません。
+ AWS Client VPN
+ AWS CloudWAN
+ AWS Outposts ローカルゲートウェイ
+ AWS Site-to-Site VPN
+ トランジットゲートウェイ
+ AWS Verified Access
**重要**
サブネット内の EC2 インスタンスで実行されているアプライアンス (サードパーティーのセキュリティやモニタリングツールなど) を通じて送受信トラフィックをルーティングする場合、VPC BPA を使用すると、トラフィックが送受信されるようにそのサブネットを除外する必要があります。インターネットゲートウェイではなくアプライアンスサブネットにトラフィックを送信する他のサブネットは、追加で除外に設定する必要はありません。
VPC 内のリソースから Route 53 Resolver など、VPC で実行されている他のサービスにプライベートに送信されるトラフィックは、VPC 内のインターネットゲートウェイを通過しないため、VPC BPA がオンになっている場合でも許可されます。これらのサービスは、DNS クエリを解決するためなど、ユーザーに代わって VPC 外のリソースに対してリクエストを実行し、VPC 内のリソースのアクティビティに関する情報を公開する可能性があります (他のセキュリティコントロールを通じて緩和されない場合)。
## VPC BPA の制限事項
VPC BPA のイングレスのみのモードは、NAT ゲートウェイとエグレスのみのインターネットゲートウェイが許可されていないローカルゾーン (LZ) ではサポートされていません。
## IAM ポリシーを使用して VPC BPA に対するアクセスを制御する
VPC BPA 機能に対するアクセスを許可/拒否する IAM ポリシーの例については、「[VPC とサブネットへのパブリックアクセスをブロックする](vpc-policy-examples.md#vpc-bpa-example-iam)」を参照してください。
## アカウントのために VPC BPA 双方向モードを有効にする
VPC BPA 双方向モードは、このリージョンのインターネットゲートウェイとエグレスのみのインターネットゲートウェイとの間のすべてのトラフィックをブロックします (除外された VPC とサブネットを除く)。除外の詳細については、「[除外を作成および削除する](#security-vpc-bpa-exclusions)」を参照してください。
**重要**
本番アカウントで VPC BPA を有効にする前に、インターネットアクセスを必要とするワークロードを徹底的に確認することを強くお勧めします。
**注記**
アカウントの VPC とサブネットで VPC BPA を有効にするには、その VPC とサブネットを所有している必要があります。
現在 VPC サブネットを他のアカウントと共有している場合、サブネット所有者によって強制適用される VPC BPA モードも参加者のトラフィックに適用されますが、参加者は共有サブネットに影響を及ぼす VPC BPA の設定を制御することはできません。
------
#### [ AWS マネジメントコンソール ]
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. 左のナビゲーションペインで、**[設定]** を選択します。
1. **[パブリックアクセスの設定を編集]** を選択します。
1. **[ブロックパブリックアクセスをオンにする]** と **[双方向]** を選択し、**[変更を保存]** を選択します。
1. **[ステータス]** が **[オン]** に変わるまで待ちます。VPC BPA の設定が有効になり、ステータスが更新されるまでに数分かかる場合があります。
VPC BPA の [双方向] モードがオンになりました。
------
#### [ AWS CLI ]
1. VPC BPA をオンにします。
```
aws ec2 --region us-east-2 modify-vpc-block-public-access-options --internet-gateway-block-mode block-bidirectional
```
VPC BPA の設定が有効になり、ステータスが更新されるまでに数分かかる場合があります。
1. VPC BPA のステータスを表示します。
```
aws ec2 --region us-east-2 describe-vpc-block-public-access-options
```
------
## VPC BPA モードをイングレスのみに変更する
VPC BPA のイングレスのみのモードは、このリージョンの VPC に対するすべてのインターネットトラフィックをブロックします (除外される VPC またはサブネットを除く)。NAT ゲートウェイとエグレスのみのインターネットゲートウェイとの間のトラフィックのみが許可されます。なぜなら、これらのゲートウェイはアウトバウンド接続の確立のみを許可するからです。
------
#### [ AWS マネジメントコンソール ]
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. 左のナビゲーションペインで、**[設定]** を選択します。
1. **[パブリックアクセスの設定を編集]** を選択します。
1. 方向を **Ingress-only** に変更します。
1. 変更を保存し、ステータスが更新されるまで待ちます。VPC BPA の設定が有効になり、ステータスが更新されるまでに数分かかる場合があります。
------
#### [ AWS CLI ]
1. VPC BPA ブロックの方向を変更します:
```
aws ec2 --region us-east-2 modify-vpc-block-public-access-options --internet-gateway-block-mode block-ingress
```
VPC BPA の設定が有効になり、ステータスが更新されるまでに数分かかる場合があります。
1. VPC BPA のステータスを表示します。
```
aws ec2 --region us-east-2 describe-vpc-block-public-access-options
```
------
## 除外を作成および削除する
VPC BPA の除外は、単一の VPC またはサブネットに適用できるモードであり、アカウントの VPC BPA モードから除外し、双方向または Egress-Only のアクセスを許可します。アカウントで VPC BPA が有効になっていない場合でも VPC とサブネットのために VPC BPA の除外を作成して、VPC BPA がオンになっているときに除外に対するトラフィックの中断が発生しないようにできます。VPC の除外は、VPC 内のすべてのサブネットに自動的に適用されます。
最大 50 個の除外を作成できます。制限の引き上げをリクエストする方法については、「[Amazon VPC クォータ](amazon-vpc-limits.md)」の「*VPC BPA exclusions per account*」を参照してください。
------
#### [ AWS マネジメントコンソール ]
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. 左のナビゲーションペインで、**[設定]** を選択します。
1. **[パブリックアクセスをブロックする]** タブの **[除外]** で、次のいずれかを実行します。
+ 除外を削除するには、削除する除外項目を選択し、**[アクション]** > **[除外の削除]** を選択します。
+ 除外を作成するには、**[除外を作成]** を選択し、次のステップに進みます。
1. ブロック方向を選択します。
+ **[双方向]**: 除外された VPC とサブネットとの間のすべてのインターネットトラフィックを許可します。
+ **[エグレスのみ]**: 除外された VPCとサブネットからのアウトバウンドインターネットトラフィックを許可します。除外された VPC とサブネットに対するインバウンドインターネットトラフィックをブロックします。この設定は、VPC BPA が **[双方向]** に設定されている場合に適用されます。
1. [VPC] または [サブネット] を選択します。
1. **[除外を作成]** を選択します。
1. **[除外ステータス]** が **[アクティブ]** に変わるまで待ちます。変更を確認するには、除外テーブルを更新する必要がある場合があります。
除外が作成されました。
------
#### [ AWS CLI ]
1. 除外の許可の方向を変更します:
```
aws ec2 --region us-east-2 create-vpc-block-public-access-exclusion --subnet-id subnet-id --internet-gateway-exclusion-mode allow-bidirectional
```
1. 除外ステータスが更新されるまでに時間がかかる場合があります。除外のステータスを表示するには:
```
aws ec2 --region us-east-2 describe-vpc-block-public-access-exclusions --exclusion-ids exclusion-id
```
------
## 組織レベルで VPC BPA を有効にする
AWS Organizations を使用して組織内のアカウントを管理している場合は、[AWSOrganizations 宣言型ポリシー](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_declarative.html)を使用して、組織内のアカウントに VPC BPA を適用できます。VPC BPA 宣言型ポリシーの詳細については、「*AWS Organizations ユーザーガイド*」の「[サポートされている宣言型ポリシー](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_declarative_syntax.html#declarative-policy-vpc-block-public-access)」を参照してください。
**注記**
VPC BPA 宣言型ポリシーを使用して、除外を許可するかどうかを設定できますが、ポリシーを使用して除外を作成することはできません。除外を作成するには、VPC を所有するアカウントで除外を作成する必要があります。VPC BPA の除外の作成方法の詳細については、「[除外を作成および削除する](#security-vpc-bpa-exclusions)」を参照してください。
VPC BPA 宣言型ポリシーが有効になっている場合、**[パブリックアクセスをブロックする]** では、**[宣言型ポリシーによる管理]** と表示され、アカウントレベルで VPC BPA 設定を変更することはできません。