本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# VPC BPA 基礎知識
本節涵蓋 VPC BPA 的重要詳細資訊,包括哪些服務支援它,以及如何使用它。
**Topics**
+ [區域可用性](#security-vpc-bpa-reg-avail)
+ [AWS 服務影響和支援](#security-vpc-bpa-service-support)
+ [VPC BPA 的限制](#security-vpc-bpa-limits)
+ [使用 IAM 政策控制對 VPC BPA 的存取](#security-vpc-bpa-iam-example)
+ [為您的帳戶啟用 VPC BPA 雙向模式](#security-vpc-bpa-enable-bidir)
+ [將 VPC BPA 模式變更為僅輸入](#security-vpc-bpa-ingress-only)
+ [建立和刪除排除項目](#security-vpc-bpa-exclusions)
+ [在組織層級啟用 VPC BPA](#security-vpc-bpa-exclusions-orgs)
## 區域可用性
VPC BPA 適用於所有商業 [AWS 區域](https://aws.amazon.com//about-aws/global-infrastructure/regions_az/),包括 GovCloud 和中國區域。
在本指南中,您還可以找到有關將網路存取分析器和 Reachability Analyzer 與 VPC BPA 搭配使用的資訊。請注意,並非所有商業區域都提供網路存取分析器和 Reachability Analyzer。如需有關網路存取分析器和 Reachability Analyzer 區域可用性的資訊,請參閱*《網路存取分析器指南》*中的[限制](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/how-network-access-analyzer-works.html#analyzer-limitations)和*《Reachability Analyzer 指南》*中的[考量](https://docs.aws.amazon.com/vpc/latest/reachability/how-reachability-analyzer-works.html#considerations)。
## AWS 服務影響和支援
下列資源和服務支援 VPC BPA,而這些服務和資源的流量會受到 VPC BPA 的影響:
+ **網際網路閘道**:會封鎖所有傳入和傳出流量。
+ **僅輸出網際網路閘道**:封鎖所有傳出流量。僅輸出網際網路閘道不允許傳入流量。
+ **Gateway Load Balancer (GWLB)**:除非排除包含 GWLB 端點的子網路,否則會封鎖所有傳入和傳出流量。
+ **NAT 閘道**:會封鎖所有傳入和傳出流量。NAT 閘道需要網際網路閘道才能進行網際網路連線。
+ **面向網際網路的 Network Load Balancer**:會封鎖所有傳入和傳出流量。面向網際網路的 Network Load Balancer 需要網際網路閘道才能進行網際網路連線。
+ **面向網際網路的 Application Load Balancer**:會封鎖所有傳入和傳出流量。面向網際網路的 Application Load Balancer 需要網際網路閘道才能進行網際網路連線。
+ **Amazon CloudFront VPC 來源**:所有傳入與傳出流量都會遭到封鎖。
+ **Direct Connect**:使用公有虛擬介面 (公有 IPv4 位址或全域單播 IPv6 位址) 的所有傳入與傳出流量都會遭到封鎖。此流量會使用網際網路閘道 (或僅限輸出網際網路閘道) 進行連線。
+ **AWS Global Accelerator**:無論目標是否可從網際網路存取,都會封鎖傳入 VPCs 的流量。
+ **AWS Network Firewall**:即使排除包含防火牆端點的子網路,也會封鎖所有傳入與傳出流量。
+ **AWS Wavelength 電信業者閘道**:所有傳入和傳出流量都會遭到封鎖。
VPC BPA 不會封鎖或影響與私有連線相關的流量,例如下列服務和資源的流量:
+ AWS Client VPN
+ AWS CloudWAN
+ AWS Outposts 本機閘道
+ AWS Site-to-Site VPN
+ Transit Gateway
+ AWS Verified Access
**重要**
如果您要透過子網路中 EC2 執行個體上執行的設備 (例如第三方安全或監控工具) 路由傳入與傳出流量,則使用 VPC BPA 時,該子網路需要設定為排除項目,以確保流量能順利進出。將流量傳送至設備子網路而非網際網路閘道的其他子網路,不需要新增為排除項目。
即使 VPC BPA 未透過 VPC 中的網際網路閘道開啟,也允許從 VPC 中的資源私下傳送至 VPC 中執行之其他服務的流量,例如 Route 53 Resolver。這些服務可能會代表您向 VPC 外部的資源提出請求,例如,為了解決 DNS 查詢,如果未透過其他安全控制緩解,則可能會公開 VPC 內資源活動的相關資訊。
如果您有面向網際網路的負載平衡器,而且只為其其中一個子網路建立 VPC BPA 排除,則負載平衡器仍然可以在排除的子網路中接收公有流量,並將其私下路由到未排除的子網路中的目標。為了確保 VPC BPA 完全封鎖對目標的公開存取,請確保不會排除任何負載平衡器子網路。
## VPC BPA 的限制
不允許 NAT 閘道和僅輸出網際網路閘道的 Local Zones (LZ) 不支援 VPC BPA 僅輸入模式。
## 使用 IAM 政策控制對 VPC BPA 的存取
如需允許/拒絕存取 VPC BPA 功能的 IAM 政策範例,請參閱 [封鎖對 VPC 和子網路的公開存取](vpc-policy-examples.md#vpc-bpa-example-iam)。
## 為您的帳戶啟用 VPC BPA 雙向模式
VPC BPA 雙向模式會封鎖此區域中往返網際網路閘道和僅輸出網際網路閘道的所有流量 (排除 VPC 和子網路除外)。如需排除的更多相關資訊,請參閱[建立和刪除排除項目](#security-vpc-bpa-exclusions)。
**重要**
強烈建議您在生產帳戶中啟用 VPC BPA 之前,先徹底檢閱需要網際網路存取的工作負載。
**注意**
若要在帳戶中的 VPC 和子網路上啟用 VPC BPA,您必須擁有 VPC 和子網路。
如果您目前與其他帳戶共用 VPC 子網路,子網路擁有者強制執行的 VPC BPA 模式也適用於參與者流量,但參與者無法控制影響共用子網路的 VPC BPA 設定。
------
#### [ AWS 管理主控台 ]
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在左側的導覽窗格中,選擇**設定**。
1. 選擇**編輯公開存取設定**。
1. 選擇**開啟「封鎖公開存取」**和**雙向**,然後選擇**儲存變更**。
1. 等待**狀態**變更為**開啟**。VPC BPA 設定可能需要幾分鐘的時間才會生效,並更新狀態。
VPC BPA 雙向模式現已開啟。
------
#### [ AWS CLI ]
1. 開啟 VPC BPA:
```
aws ec2 --region us-east-2 modify-vpc-block-public-access-options --internet-gateway-block-mode block-bidirectional
```
VPC BPA 設定可能需要幾分鐘的時間才會生效,並更新狀態。
1. 檢視 VPC BPA 的狀態:
```
aws ec2 --region us-east-2 describe-vpc-block-public-access-options
```
------
## 將 VPC BPA 模式變更為僅輸入
VPC BPA 僅輸入模式會封鎖此區域中 VPC 的所有網際網路流量 (排除 VPC 或子網路除外)。僅允許進出 NAT 閘道和僅輸出網際網路閘道的流量,因為這些閘道僅允許建立傳出連線。
------
#### [ AWS 管理主控台 ]
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在左側的導覽窗格中,選擇**設定**。
1. 選擇**編輯公開存取設定**。
1. 將方向變更為**僅限輸入**。
1. 儲存變更並等待狀態更新。VPC BPA 設定可能需要幾分鐘的時間才會生效,並更新狀態。
------
#### [ AWS CLI ]
1. 修改 VPC BPA 區塊方向:
```
aws ec2 --region us-east-2 modify-vpc-block-public-access-options --internet-gateway-block-mode block-ingress
```
VPC BPA 設定可能需要幾分鐘的時間才會生效,並更新狀態。
1. 檢視 VPC BPA 的狀態:
```
aws ec2 --region us-east-2 describe-vpc-block-public-access-options
```
------
## 建立和刪除排除項目
VPC BPA 排除項目是可套用至單一 VPC 或子網路的模式,其會將其從帳戶的 VPC BPA 模式排除,並允許雙向或僅限輸出存取。即使帳戶未啟用 VPC BPA,您也可以為 VPC 和子網路建立 VPC BPA 排除項目,以確保在開啟 VPC BPA 時,排除項目不會發生流量中斷。VPC 的排除會自動套用至 VPC 中的所有子網路。
您最多可以建立 50 個排除。如需有關請求提高限制的資訊,請參閱 [Amazon VPC 配額](amazon-vpc-limits.md) 中*每個帳戶的 VPC BPA 排除*。
------
#### [ AWS 管理主控台 ]
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在左側的導覽窗格中,選擇**設定**。
1. 在**封鎖公開存取**索引標籤的**排除項目**下,執行下列其中一項動作:
+ 若要刪除排除項目,請選取排除項目,然後選擇**動作** > **刪除排除項目**。
+ 若要建立排除項目,請選擇**建立排除項目**並繼續後續步驟。
1. 選擇區塊方向:
+ **雙向**:允許所有往返排除 VPC 和子網路的網際網路流量。
+ **僅輸出**:允許來自排除 VPC 和子網路的傳出網際網路流量。封鎖對排除 VPC 和子網路的傳入網際網路流量。當 VPC BPA 設定為**雙向**時,此設定適用。
1. 選擇 VPC 或子網路。
1. 選擇**建立排除**。
1. 等待**排除狀態**變更為**作用中**。您可能需要重新整理排除資料表才能查看變更。
已建立排除。
------
#### [ AWS CLI ]
1. 修改排除允許方向:
```
aws ec2 --region us-east-2 create-vpc-block-public-access-exclusion --subnet-id subnet-id --internet-gateway-exclusion-mode allow-bidirectional
```
1. 可能需要一些時間才能更新排除狀態。檢視排除的狀態:
```
aws ec2 --region us-east-2 describe-vpc-block-public-access-exclusions --exclusion-ids exclusion-id
```
------
## 在組織層級啟用 VPC BPA
如果您使用 AWS Organizations 來管理組織中的帳戶,則可以使用 [AWS Organizations 宣告政策](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_declarative.html)在組織中的帳戶強制執行 VPC BPA。如需 VPC BPA 宣告政策的詳細資訊,請參閱*《AWS Organizations 使用者指南》*中的[支援宣告政策](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_declarative_syntax.html#declarative-policy-vpc-block-public-access)。
**注意**
您可以使用 VPC BPA 宣告政策來設定是否允許排除,但無法使用政策建立排除。若要建立排除,您仍然必須在擁有 VPC 的帳戶中建立排除。如需有關建立 VPC BPA 排除的詳細資訊,請參閱[建立和刪除排除項目](#security-vpc-bpa-exclusions)。
如果已啟用 VPC BPA 宣告政策,則在**封鎖公開存取**設定中,您會看到**依宣告政策管理**,而且您將無法在帳戶層級修改 VPC BPA 設定。