# Conceitos básicos do BPA da VPC
<a name="security-vpc-bpa-basics"></a>

Esta seção aborda detalhes importantes sobre o BPA da VPC, incluindo quais são os serviços compatíveis e como você pode trabalhar com ele.

**Topics**
+ [Disponibilidade regional](#security-vpc-bpa-reg-avail)
+ [Impacto e compatibilidade dos serviços da AWS](#security-vpc-bpa-service-support)
+ [Limitações do BPA da VPC](#security-vpc-bpa-limits)
+ [Controle do acesso ao BPA da VPC com uma política do IAM](#security-vpc-bpa-iam-example)
+ [Habilitar o modo bidirecional do BPA da VPC para sua conta](#security-vpc-bpa-enable-bidir)
+ [Alterar o modo do BPA da VPC para somente de entrada](#security-vpc-bpa-ingress-only)
+ [Criar e excluir exclusões](#security-vpc-bpa-exclusions)
+ [Habilite o BPA da VPC no nível da organização](#security-vpc-bpa-exclusions-orgs)

## Disponibilidade regional
<a name="security-vpc-bpa-reg-avail"></a>

O BPA da VPC está disponível em todas as [regiões comerciais da AWS](https://aws.amazon.com//about-aws/global-infrastructure/regions_az/), inclusive GovCloud e China.

Neste guia, você também encontrará informações sobre como usar o Analisador de Acesso à Rede e o Analisador de Acessibilidade com o BPA da VPC. Observe que o Analisador de Acesso à Rede e o Analisador de Acessibilidade não estão disponíveis em todas as regiões comerciais. Para obter informações sobre a disponibilidade regional do Analisador de Acesso à Rede e do Analisador de Acessibilidade, consulte [Limitations](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/how-network-access-analyzer-works.html#analyzer-limitations) no *Network Access Analyzer Guide* e [Considerations](https://docs.aws.amazon.com/vpc/latest/reachability/how-reachability-analyzer-works.html#considerations) no *Reachability Analyzer Guide*.

## Impacto e compatibilidade dos serviços da AWS
<a name="security-vpc-bpa-service-support"></a>

Os seguintes recursos e serviços são compatíveis com o BPA da VPC e o tráfego para esses serviços e recursos é afetado pelo BPA da VPC:
+ **Gateway da Internet**: todo o tráfego de entrada e saída é bloqueado.
+ **Gateway da Internet somente de saída**: todo o tráfego de saída é bloqueado. Os gateways da Internet somente de saída não permitem tráfego de entrada.
+ **Gateway Load Balancer (GWLB)**: todo o tráfego de entrada e saída será bloqueado mesmo que a sub-rede contendo endpoints de GWLB seja excluída.
+ **Gateway NAT**: todo o tráfego de entrada e saída é bloqueado. Os gateways NAT exigem um gateway da Internet para conectividade com a Internet.
+ **Network Load Balancer voltado para a Internet**: todo o tráfego de entrada e saída é bloqueado. Os Network Load Balancers de rede voltados para a Internet exigem um gateway da Internet para conectividade com a Internet.
+ **Application Load Balancer voltado para a Internet**: todo o tráfego de entrada e saída é bloqueado. Os Application Load Balancers voltados para a Internet exigem um gateway da Internet para conectividade com a Internet.
+ **Amazon CloudFront VPC Origins**: o tráfego de entrada e de saída é totalmente bloqueado.
+ **Direct Connect**: todo o tráfego de entrada e saída que usa interfaces virtuais públicas (endereços IPv4 públicos ou endereços IPv6 unicast globais) é bloqueado. Esse tráfego usa o gateway da Internet (ou gateway da Internet somente de saída) para conectividade. 
+ **AWS Global Accelerator**: o tráfego de entrada para as VPCs é bloqueado, independentemente de o destino estar ou não acessível pela Internet.
+ **AWS Network Firewall**: todo o tráfego de entrada e saída será bloqueado mesmo que a sub-rede contendo endpoints de firewall seja excluída.
+ **Gateways da operadora do AWS Wavelength**: o tráfego de entrada e de saída é totalmente bloqueado.

Tráfego relacionado com conectividade privada, como o tráfego dos seguintes serviços e recursos, não é bloqueado nem afetado pelo BPA da VPC:
+ AWS Client VPN
+ AWS CloudWAN
+ Gateway local do AWS Outposts
+ AWS Site-to-Site VPN
+ Transit gateway
+ Acesso Verificado pela AWS

  

**Importante**  
Se você estiver roteando tráfego de entrada e saída por meio de um dispositivo (como uma ferramenta de monitoramento ou segurança de terceiros) executado em uma instância do EC2 em uma sub-rede, ao usar o BPA da VPC, essa sub-rede precisará ser uma exclusão para que o tráfego entre e saia dela. As demais sub-redes que enviam tráfego para a sub-rede do dispositivo, e não para o gateway da Internet, não precisam ser adicionadas como exclusões.
O tráfego enviado de forma privada e proveniente dos recursos na sua VPC para outros serviços em execução na mesma VPC, como o Resolvedor de Rota 53, é permitido mesmo quando o BPA da VPC está ativado, pois não passa por um gateway da Internet na sua VPC. É possível que esses serviços façam solicitações a recursos fora da VPC em seu nome, por exemplo, para resolver uma consulta ao DNS, e podem expor informações sobre as atividades dos recursos da VPC, se isso não for mitigado por outros controles de segurança.

## Limitações do BPA da VPC
<a name="security-vpc-bpa-limits"></a>

O modo somente de entrada do BPA da VPC não é compatível com zonas locais (LZs) onde gateways NAT e gateways da Internet somente de saída não são permitidos.

## Controle do acesso ao BPA da VPC com uma política do IAM
<a name="security-vpc-bpa-iam-example"></a>

Para obter exemplos de políticas do IAM que permitem/negam acesso ao atributo BPA da VPC, consulte [Bloquear o acesso público a VPCs e sub-redes](vpc-policy-examples.md#vpc-bpa-example-iam).

## Habilitar o modo bidirecional do BPA da VPC para sua conta
<a name="security-vpc-bpa-enable-bidir"></a>

O modo bidirecional do BPA da VPC bloqueia todo o tráfego de e para os gateways da Internet e os gateways da Internet somente de saída nessa região (exceto em VPCs e sub-redes excluídas). Para obter mais informações sobre exclusões, consulte [Criar e excluir exclusões](#security-vpc-bpa-exclusions).

**Importante**  
É extremamente recomendável analisar cuidadosamente as workloads que exigem acesso à Internet antes de habilitar o BPA da VPC em contas de produção.

**nota**  
Para habilitar o BPA da VPC nas VPCs e sub-redes da sua conta, você deve ser o proprietário das VPCs e das sub-redes.
Se você estiver compartilhando sub-redes da VPC com outras contas, o modo do BPA da VPC imposto pelo proprietário da sub-rede também se aplicará ao tráfego de participantes, mas os participantes não poderão controlar as configurações do BPA da VPC que afetam a sub-rede compartilhada.

------
#### [ Console de gerenciamento da AWS ]

1. Abra o console da Amazon VPC, em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. No painel de navegação esquerdo, escolha **Configurações**.

1. Escolha **Editar configurações de acesso público**.

1. Escolha **Ativar bloquear acesso público** e **Bidirecional** e depois escolha **Salvar alterações**.

1. Aguarde até que **Status** mude para **Ativado**. Talvez demore alguns minutos para as configurações do BPA da VPC terem efeito e o status ser atualizado.

O modo bidirecional do BPA da VPC agora está ativado.

------
#### [ AWS CLI ]

1. Ativar o BPA da VPC:

   ```
   aws ec2 --region us-east-2 modify-vpc-block-public-access-options --internet-gateway-block-mode block-bidirectional
   ```

   Talvez demore alguns minutos para as configurações do BPA da VPC terem efeito e o status ser atualizado.

1. Visualize o status do BPA da VPC:

   ```
   aws ec2 --region us-east-2 describe-vpc-block-public-access-options
   ```

------

## Alterar o modo do BPA da VPC para somente de entrada
<a name="security-vpc-bpa-ingress-only"></a>

O modo somente de entrada do BPA da VPC bloqueia todo o tráfego de Internet para as VPCs dessa região (exceto para VPCs ou sub-redes excluídas). Apenas o tráfego de e para gateways NAT e gateways da Internet somente de saída é permitido porque esses gateways só permitem o estabelecimento de conexões de saída.

------
#### [ Console de gerenciamento da AWS ]

1. Abra o console da Amazon VPC, em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. No painel de navegação esquerdo, escolha **Configurações**.

1. Escolha **Editar configurações de acesso público**.

1. Altere a direção como **Somente entrada**.

1. Salve as alterações e aguarde a atualização do status. Talvez demore alguns minutos para as configurações do BPA da VPC terem efeito e o status ser atualizado.

------
#### [ AWS CLI ]

1. Modifique a direção do bloqueio do BPA da VPC:

   ```
   aws ec2 --region us-east-2 modify-vpc-block-public-access-options --internet-gateway-block-mode block-ingress
   ```

   Talvez demore alguns minutos para as configurações do BPA da VPC terem efeito e o status ser atualizado.

1. Visualize o status do BPA da VPC:

   ```
   aws ec2 --region us-east-2 describe-vpc-block-public-access-options
   ```

------

## Criar e excluir exclusões
<a name="security-vpc-bpa-exclusions"></a>

A exclusão do BPA da VPC é um modo que pode ser aplicado a uma única VPC ou sub-rede que a isenta do modo de BPA da VPC da conta e permite acesso bidirecional ou somente de saída. É possível criar exclusões do BPA da VPC para VPCs e sub-redes mesmo quando o BPA da VPC não está habilitado na conta para garantir que não haja interrupção do tráfego para as exclusões quando o BPA da VPC estiver ativado. Se uma VPC for excluída, essa exclusão será automaticamente aplicada a todas as suas sub-redes.

Você pode criar até 50 exclusões. Para obter informações sobre solicitação de aumento de limite, consulte *VPC BPA exclusions per account* em [Cotas da Amazon VPC](amazon-vpc-limits.md).

------
#### [ Console de gerenciamento da AWS ]

1. Abra o console da Amazon VPC, em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. No painel de navegação esquerdo, escolha **Configurações**.

1. Acesse a guia **Bloquear acesso público** e, em **Exclusões**, realize uma das seguintes ações:
   + Para excluir uma exclusão, selecione-a e, em seguida, escolha **Ações** > **Excluir exclusões**.
   + Para criar uma exclusão, selecione **Criar exclusões** e prossiga com as próximas etapas.

1. Escolha uma direção para o bloqueio: 
   + **Bidirecional**: permite todo o tráfego de Internet de e para as VPCs e sub-redes excluídas.
   + **Somente de saída**: permite o tráfego de Internet de saída das VPC e sub-redes excluídas. Bloqueia o tráfego de Internet de entrada para as VPCs e sub-redes excluídas. Essa configuração se aplica quando o BPA da VPC é definido como **Bidirecional**.

1. Escolha uma VPC ou uma sub-rede.

1. Escolha **Criar exclusões.**

1. Aguarde até que o status de **Exclusão** mude para **Ativo**. Pode ser necessário atualizar a tabela de exclusão para ver a alteração.

A exclusão foi criada.

------
#### [ AWS CLI ]

1. Modifique a direção de permissão da exclusão:

   ```
   aws ec2 --region us-east-2 create-vpc-block-public-access-exclusion --subnet-id subnet-id --internet-gateway-exclusion-mode allow-bidirectional
   ```

1. Pode levar algum tempo para o status da exclusão ser atualizado. Para visualizar o status da exclusão:

   ```
   aws ec2 --region us-east-2 describe-vpc-block-public-access-exclusions --exclusion-ids exclusion-id
   ```

------

## Habilite o BPA da VPC no nível da organização
<a name="security-vpc-bpa-exclusions-orgs"></a>

Se você estiver usando o AWS Organizations para gerenciar contas na sua organização, poderá usar uma [política declarativa do AWS Organizations](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_declarative.html) para aplicar o BPA da VPC nas contas da organização. Para obter mais informações sobre a política declarativa do BPA da VPC, consulte [Supported declarative policies](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_declarative_syntax.html#declarative-policy-vpc-block-public-access) no *Guia do usuário do AWS Organizations*.

**nota**  
É possível usar a política declarativa do BPA da VPC para configurar se as exclusões são permitidas, mas não é possível criar exclusões com a política. Para criar exclusões, é necessário fazê-lo na conta proprietária da VPC. Para obter mais informações sobre como criar exclusões do BPA da VPC, consulte [Criar e excluir exclusões](#security-vpc-bpa-exclusions).
Caso a política declarativa do BPA da VPC esteja habilitada, nas configurações de **bloqueio de acesso público**, será exibido **Gerenciado por política declarativa** e você não poderá modificar as configurações do BPA da VPC no nível da conta.