View a markdown version of this page

Nozioni di base su VPC BPA - Amazon Virtual Private Cloud
Disponibilità regionaleAWS impatto e supporto del servizioLimitazioni di VPC BPAControllo dell'accesso a VPC BPA con una policy IAMAbilitazione della modalità bidirezionale VPC BPA per l’accountModifica della modalità VPC BPA in ingress-onlyCreazione ed eliminazione di esclusioniAbilitazione di VPC BPA a livello di organizzazione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Nozioni di base su VPC BPA

Questa sezione contiene dettagli importanti su VPC BPA, inclusi i servizi che lo supportano e come utilizzarlo.

Disponibilità regionale

VPC BPA è disponibile in tutte le AWS regioni commerciali, comprese le regioni GovCloud della Cina.

In questa guida, troverai anche informazioni sull'utilizzo dello Strumento di analisi degli accessi alla rete e di Reachability Analyzer con VPC BPA. Lo Strumento di analisi degli accessi alla rete e Reachability Analyzer non sono disponibili in tutte le Regioni commerciali. Per informazioni sulla disponibilità regionale dello Strumento di analisi degli accessi alla rete e di Reachability Analyzer, consulta Limitazioni nella Guida dello Strumento di analisi degli accessi alla rete e Considerazioni nella Guida di Reachability Analyzer.

AWS impatto e supporto del servizio

Le risorse e i servizi seguenti supportano VPC BPA e il traffico verso questi servizi e risorse è influenzato da VPC BPA:

  • Gateway Internet: tutto il traffico in entrata e in uscita è bloccato.

  • Egress-only gateway internet: tutto il traffico in uscita è bloccato. Egress-only i gateway Internet non consentono il traffico in entrata.

  • Gateway Load Balancer (GWLB): tutto il traffico in entrata e in uscita viene bloccato a meno che non venga esclusa la sottorete contenente gli endpoint GWLB.

  • Gateway NAT: tutto il traffico in entrata e in uscita è bloccato. I gateway NAT richiedono un gateway Internet per la connettività Internet.

  • Internet-facing Network Load Balancer: tutto il traffico in entrata e in uscita è bloccato. Internet-facing I Network Load Balancer richiedono un gateway Internet per la connettività Internet.

  • Internet-facing Application Load Balancer: tutto il traffico in entrata e in uscita è bloccato. Internet-facing Gli Application Load Balancer richiedono un gateway Internet per la connettività Internet.

  • Amazon CloudFront VPC Origins: tutto il traffico in entrata e in uscita è bloccato.

  • Direct Connect: tutto il traffico in entrata e in uscita che utilizza interfacce virtuali pubbliche (indirizzi IPv4 pubblici o indirizzi IPv6 unicast globali) è bloccato. Questo traffico utilizza il gateway Internet (o gateway Internet egress-only) per la connettività.

  • AWS Global Accelerator: il traffico in entrata verso i VPC viene bloccato, indipendentemente dal fatto che la destinazione sia altrimenti accessibile da Internet.

  • AWS Network Firewall: tutto il traffico in entrata e in uscita è bloccato anche se la sottorete che contiene gli endpoint del firewall è esclusa.

  • AWS Wavelength carrier gateway: tutto il traffico in entrata e in uscita è bloccato.

Il traffico relativo alla connettività privata, come il traffico per i seguenti servizi e risorse, non viene bloccato o influenzato da VPC BPA:

  • AWS Client VPN

  • AWS CloudWAN

  • AWS Outposts gateway locale

  • AWS Site-to-Site VPN

  • Transit Gateway

  • Accesso verificato da AWS

Importante

  • Se devi indirizzare il traffico in entrata e in uscita attraverso un’appliance (ad esempio, uno strumento di sicurezza o monitoraggio di terzi) in esecuzione su un’istanza EC2 in una sottorete quando utilizzi VPC BPA, questa sottorete deve essere un’esclusione per abilitare il traffico in entrata e in uscita. Non è necessario aggiungere come esclusioni altre sottoreti che indirizzano traffico alla sottorete dell’appliance e non al gateway Internet.

  • Il traffico inviato privatamente dalle risorse del VPC ad altri servizi in esecuzione nel VPC, ad esempio Route 53 Resolver, è abilitato anche quando la funzionalità VPC BPA è attiva perché non passa attraverso un gateway Internet nel VPC. È possibile che questi servizi effettuino richieste a risorse esterne al VPC per tuo conto, ad esempio per risolvere una query DNS, e possano esporre informazioni sull'attività delle risorse all'interno del VPC se non mitigate da altri controlli di sicurezza.

  • Se disponi di un sistema di bilanciamento del carico con connessione a Internet e crei un'esclusione VPC BPA solo per una delle relative sottoreti, il sistema di bilanciamento del carico può comunque ricevere traffico pubblico nella sottorete esclusa e indirizzarlo privatamente verso destinazioni in sottoreti che non sono escluse. Per garantire che VPC BPA blocchi completamente l'accesso pubblico ai tuoi obiettivi, assicurati che nessuna delle sottoreti del load balancer sia esclusa.

Limitazioni di VPC BPA

La modalità VPC BPA ingress-only non è supportata nelle zone locali (LZ) in cui i gateway NAT e i gateway Internet egress-only non sono consentiti.

Controllo dell'accesso a VPC BPA con una policy IAM

Per esempi di policy IAM che allow/deny accedono alla funzionalità VPC BPA, consulta. Blocco dell'accesso pubblico a VPC e sottoreti

Abilitazione della modalità bidirezionale VPC BPA per l’account

La modalità bidirezionale VPC BPA blocca tutto il traffico da e verso i gateway Internet e i gateway Internet egress-only in questa Regione (a eccezione dei VPC e delle sottoreti esclusi). Per ulteriori informazioni sulle esclusioni, consulta Creazione ed eliminazione di esclusioni.

Importante

Ti consigliamo di esaminare attentamente i carichi di lavoro che richiedono l'accesso a Internet prima di abilitare VPC BPA nei tuoi account di produzione.

Nota

  • Per abilitare VPC BPA sui VPC e sulle sottoreti del tuo account, devi possedere i VPC e le sottoreti.

  • Se attualmente condividi sottoreti VPC con altri account, la modalità VPC BPA applicata dal proprietario della sottorete si applica anche al traffico dei partecipanti, ma questi ultimi non possono controllare le impostazioni VPC BPA che influiscono sulla sottorete condivisa.

Console di gestione AWS

  1. Apri la console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nel riquadro di navigazione a sinistra, scegli Impostazioni.

  3. Scegli Modifica impostazioni di accesso pubblico.

  4. Scegli Attiva il blocco dell'accesso pubblico e Bidirezionale, quindi scegli Salva modifiche.

  5. Attendi che lo stato passi su Abilitato. Potrebbero essere necessari alcuni minuti prima che le impostazioni VPC BPA si attivino e lo stato venga aggiornato.

La modalità bidirezionale VPC BPA è ora attiva.

AWS CLI

  1. Attiva VPC BPA:

    aws ec2 --region us-east-2 modify-vpc-block-public-access-options --internet-gateway-block-mode block-bidirectional

    Potrebbero essere necessari alcuni minuti prima che le impostazioni VPC BPA si attivino e lo stato venga aggiornato.

  2. Visualizza lo stato di VPC BPA:

    aws ec2 --region us-east-2 describe-vpc-block-public-access-options

Modifica della modalità VPC BPA in ingress-only

La modalità ingress-only di VPC BPA blocca tutto il traffico Internet verso i VPC di questa Regione (a eccezione dei VPC o delle sottoreti esclusi). È consentito solo il traffico da e verso i gateway NAT e i gateway Internet egress-only, poiché questi gateway consentono solo di stabilire connessioni in uscita.

Console di gestione AWS

  1. Apri la console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nel riquadro di navigazione a sinistra, scegli Impostazioni.

  3. Scegli Modifica impostazioni di accesso pubblico.

  4. Cambia la direzione in. Ingress-only

  5. Salva le modifiche e attendi che lo stato venga aggiornato. Potrebbero essere necessari alcuni minuti prima che le impostazioni VPC BPA si attivino e lo stato venga aggiornato.

AWS CLI

  1. Modifica la direzione del blocco VPC BPA:

    aws ec2 --region us-east-2 modify-vpc-block-public-access-options --internet-gateway-block-mode block-ingress

    Potrebbero essere necessari alcuni minuti prima che le impostazioni VPC BPA si attivino e lo stato venga aggiornato.

  2. Visualizza lo stato di VPC BPA:

    aws ec2 --region us-east-2 describe-vpc-block-public-access-options

Creazione ed eliminazione di esclusioni

Un’esclusione VPC BPA è una modalità che può essere applicata a un singolo VPC o a una singola sottorete che lo esenta dalla modalità VPC BPA dell’account e consente l’accesso bidirezionale o egress-only. È possibile creare esclusioni VPC BPA per VPC e sottoreti anche quando la funzionalità VPC BPA non è abilitata sull’account, per garantire che non vi siano interruzioni del traffico verso le esclusioni quando la funzionalità VPC BPA è attivata. Un'esclusione per un VPC si applica automaticamente a tutte le sottoreti del VPC.

È possibile creare un massimo di 50 esclusioni. Per informazioni su come richiedere un aumento dei limiti, consulta Esclusioni di VPC BPA per account in Quote Amazon VPC.

Console di gestione AWS

  1. Apri la console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nel riquadro di navigazione a sinistra, scegli Impostazioni.

  3. Nella scheda Blocca accesso pubblico, in Esclusioni, esegui una delle seguenti operazioni:

    • Per eliminare un’esclusione, seleziona l’esclusione, quindi seleziona Operazioni > Elimina esclusioni.

    • Per creare un’esclusione, seleziona Crea esclusioni e continua segieuendo i passaggi successivi.

  4. Scegli la direzione del blocco:

    • Bidirezionale: consente tutto il traffico Internet da e verso le sottoreti e i VPC esclusi.

    • Egress-only: consente il traffico Internet in uscita dai VPC e dalle sottoreti esclusi. Blocca il traffico Internet in entrata verso le sottoreti e i VPC esclusi. Questa impostazione si applica solo quando la funzionalità VPC BPA è impostata su Bidirezionale.

  5. Scegli un VPC o una sottorete

  6. Scegli Crea esclusioni.

  7. Attendi che lo Stato dell'esclusione passi su Attivo. Potrebbe essere necessario aggiornare la tabella di esclusione per visualizzare la modifica.

L'esclusione è stata creata.

AWS CLI

  1. Modifica la direzione di autorizzazione dell'esclusione:

    aws ec2 --region us-east-2 create-vpc-block-public-access-exclusion --subnet-id subnet-id --internet-gateway-exclusion-mode allow-bidirectional

  2. L'aggiornamento dello stato dell'esclusione può richiedere del tempo. Per visualizzare lo stato dell'esclusione:

    aws ec2 --region us-east-2 describe-vpc-block-public-access-exclusions --exclusion-ids exclusion-id

Abilitazione di VPC BPA a livello di organizzazione

Se utilizzi AWS Organizations per gestire gli account della tua organizzazione, puoi utilizzare una policy dichiarativa di AWS Organizations per applicare il VPC BPA agli account dell'organizzazione. Per ulteriori informazioni sulla policy dichiarativa di VPC BPA, consulta Policy dichiarative supportate nella Guida per l'utente di AWS Organizations.

Nota

  • Puoi utilizzare la policy dichiarativa di VPC BPA per configurare se le esclusioni sono consentite, ma non puoi creare esclusioni con la policy. Per creare esclusioni, devi comunque crearle nell'account che possiede il VPC. Per ulteriori informazioni sulla creazione di esclusioni di VPC BPA, consulta Creazione ed eliminazione di esclusioni.

  • Se la policy dichiarativa di VPC BPA è abilitata, in Blocca impostazioni di accesso pubblico vedrai Gestito da policy dichiarativa e non potrai modificare le impostazioni di VPC BPA a livello di account.