# Evaluación del impacto y monitoreo del BPA de la VPC
<a name="security-vpc-bpa-assess-impact-main"></a>

Esta sección contiene información sobre cómo evaluar el impacto del BPA de la VPC antes de activarla y cómo supervisar si el tráfico se bloquea después de activarla.

**Topics**
+ [Evaluación del impacto del BPA de la VPC con el Analizador de acceso a la red](#security-vpc-bpa-assess-impact)
+ [Monitoreo del impacto del BPA de la VPC con registros de flujo](#security-vpc-bpa-fl)
+ [Seguimiento de la eliminación de exclusiones con CloudTrail](#security-vpc-bpa-cloudtrail)
+ [Verificar que la conectividad esté bloqueada con el Analizador de accesibilidad](#security-vpc-bpa-verify-RA)

## Evaluación del impacto del BPA de la VPC con el Analizador de acceso a la red
<a name="security-vpc-bpa-assess-impact"></a>

En esta sección, utilizará el Analizador de acceso a la red para ver los recursos de su cuenta que utilizan una puerta de enlace de Internet *antes* de habilitar el BPA de la VPC y bloquear el acceso. Utilice este análisis para comprender el impacto de activar el BPA de la VPC en su cuenta y bloquear el tráfico.

**nota**  
El Analizador de acceso a la red no es compatible con IPv6, por lo que no podrá utilizarlo para ver el posible impacto del BPA de la VPC en el tráfico de IPv6 saliente de las puertas de enlace de Internet de solo salida.
Se le cobrará por los análisis que realice con el analizador de acceso a la red. Para obtener más información, consulte la sección [Pricing](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-network-access-analyzer.html#pricing) en la *Guía del usuario del Analizador de acceso a la red*.
Para obtener información sobre la disponibilidad regional del analizador de acceso a la red, consulte [Limitaciones](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/how-network-access-analyzer-works.html#analyzer-limitations) en la *Guía del analizador de acceso a la red*.

------
#### [ Consola de administración de AWS ]

1. Abra la consola de AWS Network Insights en [https://console.aws.amazon.com/networkinsights/](https://console.aws.amazon.com/networkinsights/).

1. Seleccione **Analizador de acceso a la red**.

1. Seleccione **Crear alcance de acceso a la red**.

1. Seleccione **Evaluar el impacto del bloqueo de acceso público de la VPC** y, a continuación, **Siguiente**.

1. La plantilla ya está configurada para analizar el tráfico hacia y desde las puertas de enlace de Internet de su cuenta. Puede verlo en **Origen** y **Destino.**

1. Elija **Siguiente**.

1. Seleccione **Crear alcance de acceso a la red**.

1. Elija el alcance que acaba de crear y seleccione **Analizar**.

1. Espere a que el análisis finalice.

1. Visualice los resultados del análisis. Cada fila de la sección **Resultados** muestra la ruta de red que un paquete puede recorrer en una red hacia o desde una puerta de enlace de Internet de su cuenta. En este caso, si activa el BPA de la VPC y ninguna de las VPC ni subredes que aparecen en estos resultados está configurada como exclusión del BPA de la VPC, se restringirá el tráfico a esas VPC y subredes.

1. Analice cada resultado para comprender el impacto del BPA de la VPC en los recursos de sus VPC.

El análisis de impacto está completo.

------
#### [ AWS CLI ]

1. Crear un alcance de acceso a la red:

   ```
   aws ec2 create-network-insights-access-scope --region us-east-2 --match-paths "Source={ResourceStatement={ResourceTypes=["AWS::EC2::InternetGateway"]}}" "Destination={ResourceStatement={ResourceTypes=["AWS::EC2::InternetGateway"]}}"
   ```

1. Comenzar el análisis del alcance:

   ```
   aws ec2 start-network-insights-access-scope-analysis  --region us-east-2 --network-insights-access-scope-id nis-id
   ```

1. Obtener los resultados del análisis:

   ```
   aws ec2 get-network-insights-access-scope-analysis-findings  --region us-east-2 --network-insights-access-scope-analysis-id nisa-0aa383a1938f94cd1 --max-items 1
   ```

   Los resultados muestran el tráfico hacia y desde las puertas de enlace de Internet en todas las VPC de su cuenta. Los resultados se organizan como “hallazgos”. “FindingID”: “AnalysisFinding-1” indica que este es el primer resultado del análisis. Tenga en cuenta que hay varios resultados y cada uno indica un flujo de tráfico que se verá afectado por la activación del BPA de la VPC. El primer resultado mostrará que el tráfico comenzó en una puerta de enlace de Internet (“SequenceNumber”: 1), pasó a una NACL (“SequenceNumber”: 2) a un grupo de seguridad (“SequenceNumber”: 3) y terminó en una instancia (“SequenceNumber”: 4).

1. Analice los resultados para comprender el impacto del BPA de la VPC en los recursos de sus VPC.

El análisis de impacto está completo.

------

## Monitoreo del impacto del BPA de la VPC con registros de flujo
<a name="security-vpc-bpa-fl"></a>

Los registros de flujo de la VPC son una característica que permite capturar información acerca del tráfico de la IP que entra y sale de las interfaces de red Elastic en la VPC. Puede usar esta característica para supervisar el tráfico que el BPA de la VPC bloquea para que no llegue a las interfaces de red de la instancia.

Cree un registro de flujo para su VPC siguiendo los pasos que se indican en [Trabajo con registros de flujo](working-with-flow-logs.md). 

Al crear el registro de flujo, asegúrese de utilizar un formato personalizado que incluya el campo `reject-reason`.

Al ver los registros de flujo, si el tráfico a una ENI se rechaza por el BPA de la VPC, verá una `reject-reason` del `BPA` en la entrada del registro de flujo.

Además de las [limitaciones](flow-logs-limitations.md) estándar para los registros de flujo de la VPC, tenga en cuenta las siguientes limitaciones específicas del BPA de la VPC:
+ Los registros de flujo del BPA de la VPC no incluyen los [registros omitidos](flow-logs-records-examples.md#flow-log-example-no-data).
+ Los registros de flujo del BPA de la VPC no incluyen [`bytes`](flow-log-records.md#flow-logs-fields) incluso si incorpora el campo `bytes` en el registro de flujo.

## Seguimiento de la eliminación de exclusiones con CloudTrail
<a name="security-vpc-bpa-cloudtrail"></a>

En esta sección, se explica cómo puede usar AWS CloudTrail para supervisar y realizar un seguimiento de la eliminación de las exclusiones del BPA de la VPC.

------
#### [ Consola de administración de AWS ]

Para ver las exclusiones eliminadas en el **historial de eventos de CloudTrail**, consulte **Tipo de recurso** > `AWS::EC2::VPCBlockPublicAccessExclusion` en la consola de AWS CloudTrail, en [https://console.aws.amazon.com/cloudtrailv2/](https://console.aws.amazon.com/cloudtrailv2/).

------
#### [ AWS CLI ]

Puede usar el comando `lookup-events` para ver los eventos relacionados con la eliminación de exclusiones:

```
aws cloudtrail lookup-events --lookup-attributes AttributeKey=ResourceType,AttributeValue=AWS::EC2::VPCBlockPublicAccessExclusion
```

------

## Verificar que la conectividad esté bloqueada con el Analizador de accesibilidad
<a name="security-vpc-bpa-verify-RA"></a>

El [Analizador de accesibilidad de la VPC](https://docs.aws.amazon.com/vpc/latest/reachability/what-is-reachability-analyzer.html) se puede utilizar para evaluar si se puede acceder o no a determinadas rutas de red según la configuración de la red, incluida la configuración del BPA de la VPC.

Para obtener información sobre la disponibilidad regional del Analizador de accesibilidad, consulte *Consideraciones* en la [Guía del Analizador de accesibilidad](https://docs.aws.amazon.com/vpc/latest/reachability/how-reachability-analyzer-works.html#considerations).

------
#### [ Consola de administración de AWS ]

1. Abra la consola de AWS Network Insights en [https://console.aws.amazon.com/networkinsights/home#ReachabilityAnalyzer](https://console.aws.amazon.com/networkinsights/home#ReachabilityAnalyzer).

1. Haga clic en **Crear y analizar la ruta**.

1. Para el **Tipo de origen**, elija **Puertas de enlace de Internet** y seleccione la puerta de enlace de Internet en la que desea bloquear el tráfico en el **menú desplegable Origen**.

1. Para el **Tipo de destino**, elija **Instancias** y seleccione la instancia desde la que quiere bloquear el tráfico en el menú desplegable **Destino**.

1. Haga clic en **Crear y analizar la ruta**.

1. Espere a que el análisis finalice. Puede demorar unos minutos.

1. Una vez completado, verá que el **Estado de accesibilidad** es **No alcanzable** y que los **Detalles de la ruta** muestran que `VPC_BLOCK_PUBLIC_ACCESS_ENABLED ` es la causa de este problema de accesibilidad.

------
#### [ AWS CLI ]

1. Cree una ruta de red con el ID de la puerta de enlace de Internet desde la que desea bloquear el tráfico (origen) y el ID de la instancia a la que desea bloquear el tráfico (destino):

   ```
   aws ec2 --region us-east-2 create-network-insights-path --source igw-id --destination instance-id --protocol TCP
   ```

1. Iniciar un análisis de la ruta de la red:

   ```
   aws ec2 --region us-east-2 start-network-insights-analysis --network-insights-path-id nip-id
   ```

1. Recuperar los resultados del análisis:

   ```
   aws ec2 --region us-east-2 describe-network-insights-analyses --network-insights-analysis-ids nia-id
   ```

1. Compruebe que `VPC_BLOCK_PUBLIC_ACCESS_ENABLED` es el `ExplanationCode` por la falta de accesibilidad.

------