# Avaliar o impacto e monitorar o BPA da VPC
<a name="security-vpc-bpa-assess-impact-main"></a>

Esta seção contém informações sobre como avaliar o impacto do BPA da VPC antes de ativá-lo e como monitorar se o tráfego está sendo bloqueado depois de ativá-lo.

**Topics**
+ [Avaliar o impacto do BPA da VPC usando o Analisador de Acesso à Rede](#security-vpc-bpa-assess-impact)
+ [Monitorar o impacto do BPA da VPC com logs de fluxo](#security-vpc-bpa-fl)
+ [Rastrear a remoção de exclusões com o CloudTrail](#security-vpc-bpa-cloudtrail)
+ [Verificar se a conectividade é bloqueada com o Analisador de Acessibilidade](#security-vpc-bpa-verify-RA)

## Avaliar o impacto do BPA da VPC usando o Analisador de Acesso à Rede
<a name="security-vpc-bpa-assess-impact"></a>

Nesta seção, você usará o Analisador de Acesso à Rede para visualizar os recursos da sua conta que usam um gateway da Internet *antes* de habilitar o BPA da VPC e bloquear o acesso. Use essa análise para entender o impacto de ativar o BPA da VPC em sua conta e de bloquear o tráfego.

**nota**  
O Analisador de Acesso à Rede não é compatível com IPv6; portanto, você não poderá usá-lo para visualizar o impacto potencial do BPA da VPC no tráfego IPv6 de saída do gateway da Internet somente de saída.
As análises realizadas com o Analisador de Acesso à Rede são cobradas. Para obter mais informações, consulte [Preços](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-network-access-analyzer.html#pricing) no *Guia do Analisador de Acesso à Rede*.
Para obter informações sobre a disponibilidade regional do Analisador de Acesso à Rede, consulte [Limitations](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/how-network-access-analyzer-works.html#analyzer-limitations) no *Network Access Analyzer Guide*.

------
#### [ Console de gerenciamento da AWS ]

1. Abra o console do AWS Network Insights em [https://console.aws.amazon.com/networkinsights/](https://console.aws.amazon.com/networkinsights/).

1. Escolha **Analisador de Acesso à Rede**.

1. Escolha **Criar escopo de acesso à rede**.

1. Escolha **Avaliar o impacto do Bloqueio de Acesso Público da VPC** e clique em **Próximo**.

1. O modelo já está configurado para analisar o tráfego de e para os gateways da Internet da sua conta. Você pode visualizar isso em **Origem** e **Destino**.

1. Escolha **Próximo**.

1. Escolha **Criar escopo de acesso à rede**.

1. Escolha o escopo que você acabou de criar e escolha **Analisar**.

1. Aguarde a conclusão da análise.

1. Visualizar as descobertas da análise. Cada linha em **Descobertas** mostra um caminho de rede que um pacote pode percorrer em uma rede de ou para um gateway da Internet na sua conta. Nesse caso, se você ativar o BPA da VPC e nenhuma das VPCs e/ou sub-redes que aparecerem nessas descobertas estiverem configuradas como exclusões do BPA da VPC, o tráfego para essas VPCs e sub-redes será restringido.

1. Analise cada descoberta para entender o impacto do BPA da VPC nos recursos das VPCs.

A análise de impacto foi concluída.

------
#### [ AWS CLI ]

1. Crie um escopo de acesso à rede:

   ```
   aws ec2 create-network-insights-access-scope --region us-east-2 --match-paths "Source={ResourceStatement={ResourceTypes=["AWS::EC2::InternetGateway"]}}" "Destination={ResourceStatement={ResourceTypes=["AWS::EC2::InternetGateway"]}}"
   ```

1. Inicie a análise do escopo:

   ```
   aws ec2 start-network-insights-access-scope-analysis  --region us-east-2 --network-insights-access-scope-id nis-id
   ```

1. Obtenha os resultados da análise:

   ```
   aws ec2 get-network-insights-access-scope-analysis-findings  --region us-east-2 --network-insights-access-scope-analysis-id nisa-0aa383a1938f94cd1 --max-items 1
   ```

   Os resultados mostram o tráfego de e para os gateways da Internet em todas as VPCs da sua conta. Os resultados são organizados como "descobertas". "FindingId": "AnalysisFinding-1" indica que essa é a primeira descoberta da análise. Observe que há várias descobertas e cada uma indica um fluxo de tráfego que será afetado pela ativação do BPA da VPC. A primeira descoberta mostrará que o tráfego começou em um gateway da Internet ("SequenceNumber": 1), passou para uma NACL ("SequenceNumber": 2), para um grupo de segurança ("SequenceNumber": 3) e terminou em uma instância ("SequenceNumber": 4).

1. Analise as descobertas para entender o impacto do BPA da VPC nos recursos das VPCs.

A análise de impacto foi concluída.

------

## Monitorar o impacto do BPA da VPC com logs de fluxo
<a name="security-vpc-bpa-fl"></a>

Os logs de fluxo da VPC são um atributo que permite capturar informações sobre o tráfego de e para as interfaces de rede elásticas da VPC. Você pode usar esse atributo para monitorar o tráfego que é impedido pelo BPA da VPC de chegar às interfaces de rede da sua instância.

Crie um log de fluxo para a VPC usando as etapas em [Trabalhar com logs de fluxo](working-with-flow-logs.md). 

Quando você criar o log de fluxo, certifique-se de usar um formato personalizado que inclua o campo `reject-reason`.

Quando visualizar os logs de fluxo, se o tráfego para uma ENI for rejeitado devido ao BPA da VPC, você verá um `reject-reason` de `BPA` na entrada do log de fluxo.

Além das [limitações](flow-logs-limitations.md) padrão dos logs de fluxo da VPC, observe as seguintes limitações específicas do BPA da VPC:
+ Os logs de fluxo para o BPA da VPC não incluem os [registros ignorados](flow-logs-records-examples.md#flow-log-example-no-data).
+ Os logs de fluxo para o BPA da VPC não incluem [`bytes`](flow-log-records.md#flow-logs-fields) mesmo que você inclua o campo `bytes` no log de fluxo.

## Rastrear a remoção de exclusões com o CloudTrail
<a name="security-vpc-bpa-cloudtrail"></a>

Esta seção explica como você pode usar o AWS CloudTrail para monitorar e rastrear a remoção de exclusões do BPA da VPC.

------
#### [ Console de gerenciamento da AWS ]

Você pode visualizar todas as exclusões removidas no **histórico de eventos do CloudTrail** consultando **Tipo de recurso** > `AWS::EC2::VPCBlockPublicAccessExclusion` > no console do AWS CloudTrail em [https://console.aws.amazon.com/cloudtrailv2/](https://console.aws.amazon.com/cloudtrailv2/).

------
#### [ AWS CLI ]

Você pode usar o comando `lookup-events` para visualizar os eventos relacionados com remoção de exclusões:

```
aws cloudtrail lookup-events --lookup-attributes AttributeKey=ResourceType,AttributeValue=AWS::EC2::VPCBlockPublicAccessExclusion
```

------

## Verificar se a conectividade é bloqueada com o Analisador de Acessibilidade
<a name="security-vpc-bpa-verify-RA"></a>

O [Analisador de Acessibilidade da VPC](https://docs.aws.amazon.com/vpc/latest/reachability/what-is-reachability-analyzer.html) pode ser usado para avaliar se determinados caminhos de rede podem ou não ser acessados de acordo com sua configuração de rede, incluindo as configurações do BPA da VPC.

Para obter informações sobre a disponibilidade regional do Analisador de Acessibilidade, consulte [Considerations](https://docs.aws.amazon.com/vpc/latest/reachability/how-reachability-analyzer-works.html#considerations) no *Reachability Analyzer Guide*.

------
#### [ Console de gerenciamento da AWS ]

1. Abra o console do AWS Network Insights em [https://console.aws.amazon.com/networkinsights/home#ReachabilityAnalyzer](https://console.aws.amazon.com/networkinsights/home#ReachabilityAnalyzer).

1. Clique em **Criar e analisar caminho**.

1. Em **Tipo de origem**, escolha **Gateways da Internet** e selecione o gateway da Internet do qual você deseja bloquear tráfego na lista suspensa **Origem**.

1. Em **Tipo de destino**, escolha **Instâncias** e selecione a instância para a qual você deseja bloquear tráfego no menu suspenso **Destino**.

1. Clique em **Criar e analisar caminho**.

1. Aguarde a conclusão da análise. Pode levar alguns minutos.

1. Após a conclusão, você verá que o **Reachability Status** (Status de acessibilidade) é **Not reachable** (Não acessível) e que os **Path details** (Detalhes do caminho) mostram que `VPC_BLOCK_PUBLIC_ACCESS_ENABLED ` é a causa desse problema de acessibilidade.

------
#### [ AWS CLI ]

1. Crie um caminho de rede usando o ID do gateway da Internet do qual você deseja bloquear tráfego (origem) e o ID da instância para a qual você deseja bloquear tráfego (destino):

   ```
   aws ec2 --region us-east-2 create-network-insights-path --source igw-id --destination instance-id --protocol TCP
   ```

1. Inicie uma análise no caminho da rede:

   ```
   aws ec2 --region us-east-2 start-network-insights-analysis --network-insights-path-id nip-id
   ```

1. Recupere os resultados da análise:

   ```
   aws ec2 --region us-east-2 describe-network-insights-analyses --network-insights-analysis-ids nia-id
   ```

1. Verifique se `VPC_BLOCK_PUBLIC_ACCESS_ENABLED` é o `ExplanationCode` para a falta de acessibilidade.

------