Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Nozioni di base su VPC BPA
<a name="security-vpc-bpa-basics"></a>

Questa sezione contiene dettagli importanti su VPC BPA, inclusi i servizi che lo supportano e come utilizzarlo.

**Topics**
+ [Disponibilità regionale](#security-vpc-bpa-reg-avail)
+ [AWS impatto e supporto del servizio](#security-vpc-bpa-service-support)
+ [Limitazioni di VPC BPA](#security-vpc-bpa-limits)
+ [Controllo dell'accesso a VPC BPA con una policy IAM](#security-vpc-bpa-iam-example)
+ [Abilitazione della modalità bidirezionale VPC BPA per l’account](#security-vpc-bpa-enable-bidir)
+ [Modifica della modalità VPC BPA in ingress-only](#security-vpc-bpa-ingress-only)
+ [Creazione ed eliminazione di esclusioni](#security-vpc-bpa-exclusions)
+ [Abilitazione di VPC BPA a livello di organizzazione](#security-vpc-bpa-exclusions-orgs)

## Disponibilità regionale
<a name="security-vpc-bpa-reg-avail"></a>

VPC BPA è disponibile in tutte le [AWS regioni commerciali, comprese le regioni](https://aws.amazon.com//about-aws/global-infrastructure/regions_az/) GovCloud della Cina.

In questa guida, troverai anche informazioni sull'utilizzo dello Strumento di analisi degli accessi alla rete e di Reachability Analyzer con VPC BPA. Lo Strumento di analisi degli accessi alla rete e Reachability Analyzer non sono disponibili in tutte le Regioni commerciali. Per informazioni sulla disponibilità regionale dello Strumento di analisi degli accessi alla rete e di Reachability Analyzer, consulta [Limitazioni](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/how-network-access-analyzer-works.html#analyzer-limitations) nella *Guida dello Strumento di analisi degli accessi alla rete* e [Considerazioni](https://docs.aws.amazon.com/vpc/latest/reachability/how-reachability-analyzer-works.html#considerations) nella *Guida di Reachability Analyzer*.

## AWS impatto e supporto del servizio
<a name="security-vpc-bpa-service-support"></a>

Le risorse e i servizi seguenti supportano VPC BPA e il traffico verso questi servizi e risorse è influenzato da VPC BPA:
+ **Gateway Internet**: tutto il traffico in entrata e in uscita è bloccato.
+ **Egress-only gateway internet**: tutto il traffico in uscita è bloccato. Egress-only i gateway Internet non consentono il traffico in entrata.
+ **Gateway Load Balancer (GWLB)**: tutto il traffico in entrata e in uscita viene bloccato a meno che non venga esclusa la sottorete contenente gli endpoint GWLB.
+ **Gateway NAT**: tutto il traffico in entrata e in uscita è bloccato. I gateway NAT richiedono un gateway Internet per la connettività Internet.
+ **Internet-facing Network Load Balancer**: tutto il traffico in entrata e in uscita è bloccato. Internet-facing I Network Load Balancer richiedono un gateway Internet per la connettività Internet.
+ **Internet-facing Application Load Balancer**: tutto il traffico in entrata e in uscita è bloccato. Internet-facing Gli Application Load Balancer richiedono un gateway Internet per la connettività Internet.
+ **Amazon CloudFront VPC Origins**: tutto il traffico in entrata e in uscita è bloccato.
+ **Direct Connect**: tutto il traffico in entrata e in uscita che utilizza interfacce virtuali pubbliche (indirizzi IPv4 pubblici o indirizzi IPv6 unicast globali) è bloccato. Questo traffico utilizza il gateway Internet (o gateway Internet egress-only) per la connettività. 
+ **AWS Global Accelerator**: il traffico in entrata verso i VPC viene bloccato, indipendentemente dal fatto che la destinazione sia altrimenti accessibile da Internet.
+ **AWS Network Firewall**: tutto il traffico in entrata e in uscita è bloccato anche se la sottorete che contiene gli endpoint del firewall è esclusa.
+ **AWS Wavelength carrier gateway**: tutto il traffico in entrata e in uscita è bloccato.

Il traffico relativo alla connettività privata, come il traffico per i seguenti servizi e risorse, non viene bloccato o influenzato da VPC BPA:
+ AWS Client VPN
+ AWS CloudWAN
+ AWS Outposts gateway locale
+ AWS Site-to-Site VPN
+ Transit Gateway
+ Accesso verificato da AWS

  

**Importante**  
Se devi indirizzare il traffico in entrata e in uscita attraverso un’appliance (ad esempio, uno strumento di sicurezza o monitoraggio di terzi) in esecuzione su un’istanza EC2 in una sottorete quando utilizzi VPC BPA, questa sottorete deve essere un’esclusione per abilitare il traffico in entrata e in uscita. Non è necessario aggiungere come esclusioni altre sottoreti che indirizzano traffico alla sottorete dell’appliance e non al gateway Internet.
Il traffico inviato privatamente dalle risorse del VPC ad altri servizi in esecuzione nel VPC, ad esempio Route 53 Resolver, è abilitato anche quando la funzionalità VPC BPA è attiva perché non passa attraverso un gateway Internet nel VPC. È possibile che questi servizi effettuino richieste a risorse esterne al VPC per tuo conto, ad esempio per risolvere una query DNS, e possano esporre informazioni sull'attività delle risorse all'interno del VPC se non mitigate da altri controlli di sicurezza.
Se disponi di un sistema di bilanciamento del carico con connessione a Internet e crei un'esclusione VPC BPA solo per una delle relative sottoreti, il sistema di bilanciamento del carico può comunque ricevere traffico pubblico nella sottorete esclusa e indirizzarlo privatamente verso destinazioni in sottoreti che non sono escluse. Per garantire che VPC BPA blocchi completamente l'accesso pubblico ai tuoi obiettivi, assicurati che nessuna delle sottoreti del load balancer sia esclusa.

## Limitazioni di VPC BPA
<a name="security-vpc-bpa-limits"></a>

La modalità VPC BPA ingress-only non è supportata nelle zone locali (LZ) in cui i gateway NAT e i gateway Internet egress-only non sono consentiti.

## Controllo dell'accesso a VPC BPA con una policy IAM
<a name="security-vpc-bpa-iam-example"></a>

Per esempi di policy IAM che allow/deny accedono alla funzionalità VPC BPA, consulta. [Blocco dell'accesso pubblico a VPC e sottoreti](vpc-policy-examples.md#vpc-bpa-example-iam)

## Abilitazione della modalità bidirezionale VPC BPA per l’account
<a name="security-vpc-bpa-enable-bidir"></a>

La modalità bidirezionale VPC BPA blocca tutto il traffico da e verso i gateway Internet e i gateway Internet egress-only in questa Regione (a eccezione dei VPC e delle sottoreti esclusi). Per ulteriori informazioni sulle esclusioni, consulta [Creazione ed eliminazione di esclusioni](#security-vpc-bpa-exclusions).

**Importante**  
Ti consigliamo di esaminare attentamente i carichi di lavoro che richiedono l'accesso a Internet prima di abilitare VPC BPA nei tuoi account di produzione.

**Nota**  
Per abilitare VPC BPA sui VPC e sulle sottoreti del tuo account, devi possedere i VPC e le sottoreti.
Se attualmente condividi sottoreti VPC con altri account, la modalità VPC BPA applicata dal proprietario della sottorete si applica anche al traffico dei partecipanti, ma questi ultimi non possono controllare le impostazioni VPC BPA che influiscono sulla sottorete condivisa.

------
#### [ Console di gestione AWS ]

1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Nel riquadro di navigazione a sinistra, scegli **Impostazioni**.

1. Scegli **Modifica impostazioni di accesso pubblico**.

1. Scegli **Attiva il blocco dell'accesso pubblico** e **Bidirezionale**, quindi scegli **Salva modifiche**.

1. Attendi che lo **stato** passi su **Abilitato**. Potrebbero essere necessari alcuni minuti prima che le impostazioni VPC BPA si attivino e lo stato venga aggiornato.

La modalità bidirezionale VPC BPA è ora attiva.

------
#### [ AWS CLI ]

1. Attiva VPC BPA:

   ```
   aws ec2 --region us-east-2 modify-vpc-block-public-access-options --internet-gateway-block-mode block-bidirectional
   ```

   Potrebbero essere necessari alcuni minuti prima che le impostazioni VPC BPA si attivino e lo stato venga aggiornato.

1. Visualizza lo stato di VPC BPA:

   ```
   aws ec2 --region us-east-2 describe-vpc-block-public-access-options
   ```

------

## Modifica della modalità VPC BPA in ingress-only
<a name="security-vpc-bpa-ingress-only"></a>

La modalità ingress-only di VPC BPA blocca tutto il traffico Internet verso i VPC di questa Regione (a eccezione dei VPC o delle sottoreti esclusi). È consentito solo il traffico da e verso i gateway NAT e i gateway Internet egress-only, poiché questi gateway consentono solo di stabilire connessioni in uscita.

------
#### [ Console di gestione AWS ]

1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Nel riquadro di navigazione a sinistra, scegli **Impostazioni**.

1. Scegli **Modifica impostazioni di accesso pubblico**.

1. Cambia la direzione in. **Ingress-only**

1. Salva le modifiche e attendi che lo stato venga aggiornato. Potrebbero essere necessari alcuni minuti prima che le impostazioni VPC BPA si attivino e lo stato venga aggiornato.

------
#### [ AWS CLI ]

1. Modifica la direzione del blocco VPC BPA:

   ```
   aws ec2 --region us-east-2 modify-vpc-block-public-access-options --internet-gateway-block-mode block-ingress
   ```

   Potrebbero essere necessari alcuni minuti prima che le impostazioni VPC BPA si attivino e lo stato venga aggiornato.

1. Visualizza lo stato di VPC BPA:

   ```
   aws ec2 --region us-east-2 describe-vpc-block-public-access-options
   ```

------

## Creazione ed eliminazione di esclusioni
<a name="security-vpc-bpa-exclusions"></a>

Un’esclusione VPC BPA è una modalità che può essere applicata a un singolo VPC o a una singola sottorete che lo esenta dalla modalità VPC BPA dell’account e consente l’accesso bidirezionale o egress-only. È possibile creare esclusioni VPC BPA per VPC e sottoreti anche quando la funzionalità VPC BPA non è abilitata sull’account, per garantire che non vi siano interruzioni del traffico verso le esclusioni quando la funzionalità VPC BPA è attivata. Un'esclusione per un VPC si applica automaticamente a tutte le sottoreti del VPC.

È possibile creare un massimo di 50 esclusioni. Per informazioni su come richiedere un aumento dei limiti, consulta *Esclusioni di VPC BPA per account* in [Quote Amazon VPC](amazon-vpc-limits.md).

------
#### [ Console di gestione AWS ]

1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Nel riquadro di navigazione a sinistra, scegli **Impostazioni**.

1. Nella scheda **Blocca accesso pubblico**, in **Esclusioni**, esegui una delle seguenti operazioni:
   + Per eliminare un’esclusione, seleziona l’esclusione, quindi seleziona **Operazioni** > **Elimina esclusioni**.
   + Per creare un’esclusione, seleziona **Crea esclusioni** e continua segieuendo i passaggi successivi.

1. Scegli la direzione del blocco: 
   + **Bidirezionale**: consente tutto il traffico Internet da e verso le sottoreti e i VPC esclusi.
   + **Egress-only**: consente il traffico Internet in uscita dai VPC e dalle sottoreti esclusi. Blocca il traffico Internet in entrata verso le sottoreti e i VPC esclusi. Questa impostazione si applica solo quando la funzionalità VPC BPA è impostata su **Bidirezionale**.

1. Scegli un VPC o una sottorete

1. Scegli **Crea esclusioni**.

1. Attendi che lo **Stato dell'esclusione** passi su **Attivo**. Potrebbe essere necessario aggiornare la tabella di esclusione per visualizzare la modifica.

L'esclusione è stata creata.

------
#### [ AWS CLI ]

1. Modifica la direzione di autorizzazione dell'esclusione:

   ```
   aws ec2 --region us-east-2 create-vpc-block-public-access-exclusion --subnet-id subnet-id --internet-gateway-exclusion-mode allow-bidirectional
   ```

1. L'aggiornamento dello stato dell'esclusione può richiedere del tempo. Per visualizzare lo stato dell'esclusione:

   ```
   aws ec2 --region us-east-2 describe-vpc-block-public-access-exclusions --exclusion-ids exclusion-id
   ```

------

## Abilitazione di VPC BPA a livello di organizzazione
<a name="security-vpc-bpa-exclusions-orgs"></a>

Se utilizzi AWS Organizations per gestire gli account della tua organizzazione, puoi utilizzare una [policy dichiarativa di AWS Organizations](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_declarative.html) per applicare il VPC BPA agli account dell'organizzazione. Per ulteriori informazioni sulla policy dichiarativa di VPC BPA, consulta [Policy dichiarative supportate](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_declarative_syntax.html#declarative-policy-vpc-block-public-access) nella *Guida per l'utente di AWS Organizations*.

**Nota**  
Puoi utilizzare la policy dichiarativa di VPC BPA per configurare se le esclusioni sono consentite, ma non puoi creare esclusioni con la policy. Per creare esclusioni, devi comunque crearle nell'account che possiede il VPC. Per ulteriori informazioni sulla creazione di esclusioni di VPC BPA, consulta [Creazione ed eliminazione di esclusioni](#security-vpc-bpa-exclusions).
Se la policy dichiarativa di VPC BPA è abilitata, in **Blocca impostazioni di accesso pubblico** vedrai **Gestito da policy dichiarativa** e non potrai modificare le impostazioni di VPC BPA a livello di account.