As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Redes no AWS Control Tower
O AWS Control Tower fornece suporte básico para redes por meio de VPCs.
Se a configuração ou os recursos padrão da VPC do AWS Control Tower não atenderem às suas necessidades, você poderá usar outros AWS serviços para configurar sua VPC. Para obter mais informações sobre como trabalhar com VPCs o AWS Control Tower, consulte [Criação de uma infraestrutura de rede multi-VPC AWS escalável e segura](https://d1.awsstatic.com/whitepapers/building-a-scalable-and-secure-multi-vpc-aws-network-infrastructure.pdf).
Suportes IPv4 e IPv6 protocolos do AWS Control Tower, por meio de endereços IP de pilha dupla. Para obter mais informações, consulte [Endpoints e cotas do AWS Control Catalog](https://docs.aws.amazon.com//general/latest/gr/controlcatalog.html) e [Endpoints e cotas do AWS Control Tower](https://docs.aws.amazon.com//general/latest/gr/controltower.html).
**Tópicos relacionados**
+ Para obter informações sobre como o AWS Control Tower funciona quando você inscreve contas existentes VPCs, consulte[Inscreva contas existentes com VPCs](enroll-account.md#enroll-existing-accounts-with-vpcs).
+ Com o Account Factory, é possível provisionar contas que incluem uma VPC do AWS Control Tower ou provisionar contas sem uma VPC. Consulte informações sobre como excluir a VPC do AWS Control Tower ou configurar contas do AWS Control Tower sem uma VPC em [Demonstração: configure o AWS Control Tower sem uma VPC](configure-without-vpc.md).
+ Para obter informações sobre como alterar as configurações da conta VPCs, consulte a [documentação do Account Factory](https://docs.aws.amazon.com//controltower/latest/userguide/account-factory.html#configuring-account-factory-with-VPC-settings) sobre como atualizar uma conta.
+ Para obter mais informações sobre como trabalhar com redes e VPCs no AWS Control Tower, consulte a seção sobre [redes](https://docs.aws.amazon.com//controltower/latest/userguide/related-information.html#networking) na página de *informações relacionadas* deste *Guia do usuário*.
## VPCs e AWS regiões na AWS Control Tower
Como parte padrão da criação da conta,AWS cria uma VPC AWS padrão em todas as regiões, até mesmo nas regiões que você não governa com o AWS Control Tower. Essa VPC padrão não é a mesma que uma VPC que o AWS Control Tower cria para uma conta provisionada, mas a AWS VPC padrão em uma região não governada pode estar acessível aos usuários do IAM.
Os administradores podem habilitar o controle de negação da região, para que os usuários finais não tenham permissão para se conectar a uma VPC em *uma região compatível com o AWS Control Tower*, mas fora de suas regiões administradas. Para configurar o controle de negação de região, acesse a página **Configurações de zona inicial** e selecione **Modificar configurações**.
O controle de negação de região bloqueia as chamadas de API para a maioria dos serviços em Regiões da AWS não administradas. Para obter mais informações, consulte [Negar acesso a AWS com base na solicitação Região da AWS.](https://docs.aws.amazon.com//controltower/latest/userguide/primary-region-deny-policy.html) .
**nota**
O controle de negação da região não pode impedir que os usuários do IAM se conectem a uma VPC padrão da AWS em uma região onde o AWS Control Tower não é compatível.
Opcionalmente, você pode remover o AWS padrão VPCs em regiões não governadas. Para listar a VPC padrão em uma região, é possível usar um comando da CLI semelhante a este exemplo:
```
aws ec2 --region us-west-1 describe-vpcs --filter Name=isDefault,Values=true
```
# Visão geral do AWS Control Tower e VPCs
Aqui estão alguns fatos essenciais sobre o AWS Control Tower VPCs:
+ A VPC criada pelo AWS Control Tower quando você provisiona uma conta no Account Factory não é a mesma que a AWS VPC padrão.
+ Quando a AWS Control Tower configura uma nova conta em uma AWS região compatível, a AWS Control Tower exclui automaticamente a AWS VPC padrão e configura uma nova VPC configurada pela AWS Control Tower.
+ Cada conta do AWS Control Tower pode ter uma VPC criada pelo AWS Control Tower. Uma conta pode ter mais AWS VPCs dentro do limite da conta.
+ Cada VPC do AWS Control Tower tem três zonas de disponibilidade em todas as regiões, exceto na região Oeste dos EUA (N. da Califórnia), `us-west-1`, e duas zonas de disponibilidade em `us-west-1`. Por padrão, a cada zona de disponibilidade são atribuídas uma sub-rede pública e duas sub-redes privadas. Portanto, nas regiões, exceto no Oeste dos EUA (N. da Califórnia), cada VPC do AWS Control Tower contém nove sub-redes por padrão, divididas em três zonas de disponibilidade. Na região Oeste dos EUA (N. da Califórnia), seis sub-redes são divididas em duas zonas de disponibilidade.
+ Um intervalo exclusivo, de mesmo tamanho é atribuído a cada uma das sub-redes na VPC do AWS Control Tower.
+ O número de sub-redes em uma VPC é configurável. Para obter mais informações sobre como alterar a configuração da sub-rede da VPC, consulte [o tópico Fábrica de contas](https://docs.aws.amazon.com//controltower/latest/userguide/account-factory.html).
+ Como os endereços IP não se sobrepõem, as seis ou nove sub-redes na VPC do AWS Control Tower podem se comunicar entre si de forma irrestrita.
Ao trabalhar com VPCs, o AWS Control Tower não faz distinção no nível da região. Cada sub-rede é alocada do intervalo CIDR exato que você especificar. As sub-redes da VPC podem existir em qualquer região.
**Observações**
**Gerenciar custos da VPC**
Se você definir a configuração da VPC do Account Factory para que as sub-redes públicas sejam habilitadas ao provisionar uma nova conta, o Account Factory configurará a VPC para criar um gateway NAT. Você será cobrado pelo uso da Amazon VPC.
**Configurações de VPC e controles**
Se você provisionar contas do Account Factory com as configurações de acesso à internet da VPC habilitadas, essa configuração do Account Factory substituirá o controle [Proibir o acesso à internet para uma instância da Amazon VPC gerenciada por um cliente](https://docs.aws.amazon.com//controltower/latest/controlreference/data-residency-controls.html#disallow-vpc-internet-access). Para evitar a habilitação do acesso à internet para contas recém-provisionadas, você deve alterar a configuração no Account Factory. Consulte mais informações em [Walkthrough: Configure AWS Control Tower Without a VPC](https://docs.aws.amazon.com//controltower/latest/userguide/configure-without-vpc.html).
# CIDR e emparelhamento para VPC e AWS Control Tower
Esta seção destina-se principalmente a administradores de rede. O administrador de rede da sua empresa geralmente é a pessoa que seleciona o intervalo CIDR geral para a sua organização do AWS Control Tower. Depois, o administrador da rede aloca sub-redes dentro desse intervalo para fins específicos.
Quando você escolhe um intervalo CIDR para a VPC, o AWS Control Tower valida os intervalos de endereços IP de acordo com a especificação RFC 1918. O Account Factory permite um bloco CIDR de até `/16` em intervalos de:
+ `10.0.0.0/8`
+ `172.16.0.0/12`
+ `192.168.0.0/16`
+ `100.64.0.0/10` (somente se o seu provedor de internet permitir o uso desse intervalo)
O delimitador `/16` permite até 65.536 endereços IP distintos.
É possível atribuir qualquer endereço IP válido dos seguintes intervalos:
+ `10.0.x.x to 10.255.x.x`
+ `172.16.x.x – 172.31.x.x`
+ `192.168.0.0 – 192.168.255.255`(não IPs fora do `192.168` alcance)
Se o intervalo especificado estiver fora desses, o AWS Control Tower exibirá uma mensagem de erro.
O intervalo CIDR padrão é `172.31.0.0/16`.
Quando o AWS Control Tower cria uma VPC usando o intervalo CIDR selecionado, ele atribui o intervalo CIDR idêntico a *cada VPC* de cada conta criada dentro da unidade organizacional (UO). Devido à sobreposição padrão de endereços IP, essa implementação não permite inicialmente o emparelhamento entre nenhuma das suas AWS Control Tower VPCs na OU.
**Sub-redes**
Dentro de cada VPC, o AWS Control Tower divide seu intervalo de CIDR especificado uniformemente em nove sub-redes (exceto no Oeste dos EUA (N. da Califórnia), onde são seis sub-redes). Nenhuma das sub-redes se sobrepõe dentro de uma VPC. Portanto, todas podem se comunicar entre si dentro da VPC.
Em resumo, por padrão, a comunicação de sub-redes dentro da VPC é irrestrita. A melhor prática para controlar a comunicação entre as sub-redes da VPC, se necessário, é configurar listas de controle de acesso com regras que definem o fluxo de tráfego permitido. Use grupos de segurança para controlar o tráfego entre instâncias específicas. Para obter mais informações sobre a configuração de grupos de segurança e firewalls no AWS Control Tower, consulte [Passo a passo: Configurar grupos de segurança no AWS Control Tower com o Firewall Manager AWS](https://docs.aws.amazon.com//controltower/latest/userguide/firewall-setup-walkthrough.html).
**Emparelhamento**
O AWS Control Tower não restringe o VPC-to-VPC peering para comunicação entre vários VPCs. No entanto, por padrão, todas as AWS Control Tower VPCs têm o mesmo intervalo CIDR padrão. Para permitir o emparelhamento, você pode modificar o intervalo CIDR nas configurações do Account Factory para que os endereços IP não se sobreponham.
Se você alterar o intervalo CIDR nas configurações do Account Factory, todas as novas contas que forem criadas posteriormente pelo AWS Control Tower (usando o Account Factory) receberão o novo intervalo CIDR. As contas antigas não são atualizadas. Por exemplo, você pode criar uma conta, alterar o intervalo de CIDR e criar uma nova conta, e as VPCs alocadas para essas duas contas podem ser pareadas. O emparelhamento é possível porque os intervalos de endereços IP não são idênticos.
# Acessar o AWS Control Tower usando um endpoint de interface (AWS PrivateLink)
Você pode usar AWS PrivateLink para criar uma conexão privada entre sua VPC e o AWS Control Tower. Você pode acessar o AWS Control Tower como se estivesse em sua VPC, sem o uso de um gateway de internet, dispositivo NAT, conexão VPN ou conexão. Direct Connect As instâncias na sua VPC não precisam de endereços IP públicos para acessar o AWS Control Tower.
Estabeleça essa conectividade privada criando um *endpoint de interface*, habilitado pelo AWS PrivateLink. Criaremos um endpoint de interface de rede em cada sub-rede que você habilitar para o endpoint de interface. Estas são interfaces de rede gerenciadas pelo solicitante que servem como ponto de entrada para o tráfego destinado ao AWS Control Tower.
Para obter mais informações, consulte [Acesso Serviços da AWS por meio AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html) do *AWS PrivateLink Guia*.
## Considerações para o AWS Control Tower
Antes de configurar um endpoint de interface para o AWS Control Tower, revise as [Considerações](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints) no *Guia do AWS PrivateLink *.
O AWS Control Tower suporta fazer chamadas para todas as suas ações de API por meio do endpoint da interface.
## Criar um endpoint de interface para o AWS Control Tower
Você pode criar um endpoint de interface para o AWS Control Tower usando o console Amazon VPC ou AWS Command Line Interface o AWS CLI(). Para obter mais informações, consulte [Criar um endpoint de interface](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) no *Guia do usuário do AWS PrivateLink *.
Crie um endpoint para o AWS Control Tower usando os seguintes nomes de serviço:
```
com.amazonaws.region.controltower
com.amazonaws.region.controltower-fips
```
Se você habilitar o DNS privado para o endpoint da interface, poderá fazer solicitações de API para o AWS Control Tower usando seu nome DNS regional padrão. Por exemplo, .`controltower.us-east-1.amazonaws.com`
## Crie uma política de endpoint para seu endpoint de interface.
Uma política de endpoint é um recurso do IAM que pode ser anexado ao endpoint de interface. A política de endpoint padrão permite acesso total ao AWS Control Tower por meio do endpoint de interface. Para controlar o acesso permitido ao AWS Control Tower pela VPC, anexe uma política de endpoint personalizada ao endpoint de interface.
Uma política de endpoint especifica as seguintes informações:
+ As entidades principais que podem realizar ações (Contas da AWS, usuários do IAM e perfis do IAM).
+ As ações que podem ser realizadas.
+ Os recursos nos quais as ações podem ser executadas.
Para obter mais informações, consulte [Controlar o acesso aos serviços usando políticas de endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) no *Guia do AWS PrivateLink *.
**Exemplo: política de endpoint da VPC para ações do AWS Control Tower**
Veja a seguir um exemplo de uma política de endpoint personalizado. Quando anexada ao endpoint da sua interface, essa política concede acesso às ações do AWS Control Tower listadas para todas as entidades principais em todos os recursos.
```
{
"Statement": [
{
"Principal": "*",
"Effect": "Allow",
"Action": [
"controltower:ListEnabledControls",
"controltower:ListLandingZones"
],
"Resource":"*"
}
]
}
```
**nota**
Consulte uma lista das operações da API do AWS Control Tower na [Referência de API do AWS Control Tower](https://docs.aws.amazon.com//controltower/latest/APIReference/Welcome.html).