Esta sección contiene un ejemplo avanzado que lo ayudará a entender cómo funciona la característica de bloqueo del acceso público de la VPC en diferentes situaciones. Cada situación se basa en la anterior, por eso es importante completar los pasos en orden.
importante
No utilice este ejemplo en una cuenta de producción. Se recomienda que revise detenidamente las cargas de trabajo que requieren acceso a Internet antes de habilitar el BPA de la VPC en sus cuentas de producción.
nota
Para comprender por completo la característica del BPA de la VPC, necesitará disponer de determinados recursos en la cuenta. En esta sección, proporcionamos una plantilla de AWS CloudFormation que puede utilizar para aprovisionar los recursos que necesita para comprender bien el funcionamiento de esta característica. Hay costos asociados a los recursos que aprovisiona con la plantilla de CloudFormation y a los análisis que realiza con el Analizador de acceso a la red y el Analizador de accesibilidad. Si usa la plantilla de esta sección, asegúrese de completar los pasos de limpieza cuando termine con este ejemplo.
Contenido
- Implementar plantillas de CloudFormation
- Ver el impacto del BPA de la VPC con el analizador de acceso a la red
- Escenario 1: conexión a instancias sin el BPA activado
- Escenario 2: activación del BPA
- Escenario 3: modificación del modo de BPA
- Escenario 4: creación de una exclusión
- Escenario 5: modificación del modo de exclusión
- Escenario 6: modificación del modo del BPA
- Limpieza
Implementar plantillas de CloudFormation
Para demostrar cómo funciona esta característica, necesita una VPC, subredes, instancias y otros recursos. Para facilitar la realización de esta demostración, a continuación incluimos una plantilla de AWS CloudFormation que puede utilizar para disponer rápidamente de los recursos necesarios para las situaciones de esta demostración.
nota
Hay costos asociados a los recursos que cree en esta sección con la plantilla de CloudFormation, como el costo de la puerta de enlace NAT y las direcciones IPv4 públicas. Para evitar costos excesivos, asegúrese de completar los pasos de limpieza para eliminar todos los recursos creados para los fines de este ejemplo.
La plantilla crea los siguientes recursos en su cuenta:
-
Gateway de Internet de solo salida
-
Puerta de enlace de Internet
-
Puerta de enlace de NAT
-
Dos subredes públicas
-
Una subred privada
-
Dos instancias EC2 con direcciones IPv4 privadas y públicas
-
Una instancia EC2 con una dirección IPv6 y una dirección IPv4 privada
-
Una instancia EC2 con una dirección IPv4 privada únicamente
-
Se permite un grupo de seguridad con tráfico entrante SSH e ICMP y se permite TODO el tráfico saliente
-
Registro de flujo de VPC
-
Un punto de conexión de EC2 Instance Connect en la subred B
Copie la siguiente plantilla y guárdela en un archivo .yaml.
AWSTemplateFormatVersion: '2010-09-09' Description: Creates a VPC with public and private subnets, NAT gateway, and EC2 instances for VPC BPA. Parameters: InstanceAMI: Description: ID of the Amazone Machine Image (AMI) to use with the instances launched by this template Type: AWS::EC2::Image::Id InstanceType: Description: EC2 Instance type to use with the instances launched by this template Type: String Default: t2.micro Resources: # VPC VPCBPA: Type: AWS::EC2::VPC Properties: CidrBlock: 10.0.0.0/16 EnableDnsHostnames: true EnableDnsSupport: true InstanceTenancy: default Tags: - Key: Name Value: VPC BPA # VPC IPv6 CIDR VPCBPAIpv6CidrBlock: Type: AWS::EC2::VPCCidrBlock Properties: VpcId: !Ref VPCBPA AmazonProvidedIpv6CidrBlock: true # EC2 Key Pair VPCBPAKeyPair: Type: AWS::EC2::KeyPair Properties: KeyName: vpc-bpa-key # Internet Gateway VPCBPAInternetGateway: Type: AWS::EC2::InternetGateway Properties: Tags: - Key: Name Value: VPC BPA Internet Gateway VPCBPAInternetGatewayAttachment: Type: AWS::EC2::VPCGatewayAttachment Properties: VpcId: !Ref VPCBPA InternetGatewayId: !Ref VPCBPAInternetGateway # Egress-Only Internet Gateway VPCBPAEgressOnlyInternetGateway: Type: AWS::EC2::EgressOnlyInternetGateway Properties: VpcId: !Ref VPCBPA # Subnets VPCBPAPublicSubnetA: Type: AWS::EC2::Subnet Properties: VpcId: !Ref VPCBPA CidrBlock: 10.0.1.0/24 MapPublicIpOnLaunch: true Tags: - Key: Name Value: VPC BPA Public Subnet A VPCBPAPublicSubnetB: Type: AWS::EC2::Subnet Properties: VpcId: !Ref VPCBPA CidrBlock: 10.0.2.0/24 MapPublicIpOnLaunch: true Tags: - Key: Name Value: VPC BPA Public Subnet B VPCBPAPrivateSubnetC: Type: AWS::EC2::Subnet Properties: VpcId: !Ref VPCBPA CidrBlock: 10.0.3.0/24 MapPublicIpOnLaunch: false Ipv6CidrBlock: !Select [0, !GetAtt VPCBPA.Ipv6CidrBlocks] AssignIpv6AddressOnCreation: true Tags: - Key: Name Value: VPC BPA Private Subnet C # NAT Gateway VPCBPANATGateway: Type: AWS::EC2::NatGateway Properties: AllocationId: !GetAtt VPCBPANATGatewayEIP.AllocationId SubnetId: !Ref VPCBPAPublicSubnetB Tags: - Key: Name Value: VPC BPA NAT Gateway VPCBPANATGatewayEIP: Type: AWS::EC2::EIP Properties: Domain: vpc Tags: - Key: Name Value: VPC BPA NAT Gateway EIP # Route Tables VPCBPAPublicRouteTable: Type: AWS::EC2::RouteTable Properties: VpcId: !Ref VPCBPA Tags: - Key: Name Value: VPC BPA Public Route Table VPCBPAPublicRoute: Type: AWS::EC2::Route DependsOn: VPCBPAInternetGatewayAttachment Properties: RouteTableId: !Ref VPCBPAPublicRouteTable DestinationCidrBlock: 0.0.0.0/0 GatewayId: !Ref VPCBPAInternetGateway VPCBPAPublicSubnetARouteTableAssoc: Type: AWS::EC2::SubnetRouteTableAssociation Properties: SubnetId: !Ref VPCBPAPublicSubnetA RouteTableId: !Ref VPCBPAPublicRouteTable VPCBPAPublicSubnetBRouteTableAssoc: Type: AWS::EC2::SubnetRouteTableAssociation Properties: SubnetId: !Ref VPCBPAPublicSubnetB RouteTableId: !Ref VPCBPAPublicRouteTable VPCBPAPrivateRouteTable: Type: AWS::EC2::RouteTable Properties: VpcId: !Ref VPCBPA Tags: - Key: Name Value: VPC BPA Private Route Table VPCBPAPrivateRoute: Type: AWS::EC2::Route Properties: RouteTableId: !Ref VPCBPAPrivateRouteTable DestinationCidrBlock: 0.0.0.0/0 NatGatewayId: !Ref VPCBPANATGateway VPCBPAPrivateSubnetCRoute: Type: AWS::EC2::Route Properties: RouteTableId: !Ref VPCBPAPrivateRouteTable DestinationIpv6CidrBlock: ::/0 EgressOnlyInternetGatewayId: !Ref VPCBPAEgressOnlyInternetGateway VPCBPAPrivateSubnetCRouteTableAssociation: Type: AWS::EC2::SubnetRouteTableAssociation Properties: SubnetId: !Ref VPCBPAPrivateSubnetC RouteTableId: !Ref VPCBPAPrivateRouteTable # EC2 Instances Security Group VPCBPAInstancesSecurityGroup: Type: AWS::EC2::SecurityGroup Properties: GroupName: VPC BPA Instances Security Group GroupDescription: Allow SSH and ICMP access SecurityGroupIngress: - IpProtocol: tcp FromPort: 22 ToPort: 22 CidrIp: 0.0.0.0/0 - IpProtocol: icmp FromPort: -1 ToPort: -1 CidrIp: 0.0.0.0/0 VpcId: !Ref VPCBPA Tags: - Key: Name Value: VPC BPA Instances Security Group # EC2 Instances VPCBPAInstanceA: Type: AWS::EC2::Instance Properties: ImageId: !Ref InstanceAMI InstanceType: t2.micro KeyName: !Ref VPCBPAKeyPair SubnetId: !Ref VPCBPAPublicSubnetA SecurityGroupIds: - !Ref VPCBPAInstancesSecurityGroup Tags: - Key: Name Value: VPC BPA Instance A VPCBPAInstanceB: Type: AWS::EC2::Instance Properties: ImageId: !Ref InstanceAMI InstanceType: !Ref InstanceType KeyName: !Ref VPCBPAKeyPair SubnetId: !Ref VPCBPAPublicSubnetB SecurityGroupIds: - !Ref VPCBPAInstancesSecurityGroup Tags: - Key: Name Value: VPC BPA Instance B VPCBPAInstanceC: Type: AWS::EC2::Instance Properties: ImageId: !Ref InstanceAMI InstanceType: !Ref InstanceType KeyName: !Ref VPCBPAKeyPair SubnetId: !Ref VPCBPAPrivateSubnetC SecurityGroupIds: - !Ref VPCBPAInstancesSecurityGroup Tags: - Key: Name Value: VPC BPA Instance C VPCBPAInstanceD: Type: AWS::EC2::Instance Properties: ImageId: !Ref InstanceAMI InstanceType: !Ref InstanceType KeyName: !Ref VPCBPAKeyPair NetworkInterfaces: - DeviceIndex: '0' GroupSet: - !Ref VPCBPAInstancesSecurityGroup SubnetId: !Ref VPCBPAPrivateSubnetC Ipv6AddressCount: 1 Tags: - Key: Name Value: VPC BPA Instance D # Flow Logs IAM Role VPCBPAFlowLogRole: Type: AWS::IAM::Role Properties: AssumeRolePolicyDocument: Version: '2012-10-17' Statement: - Effect: Allow Principal: Service: vpc-flow-logs.amazonaws.com Action: 'sts:AssumeRole' Tags: - Key: Name Value: VPC BPA Flow Logs Role VPCBPAFlowLogPolicy: Type: AWS::IAM::Policy Properties: PolicyName: VPC-BPA-FlowLogsPolicy PolicyDocument: Version: '2012-10-17' Statement: - Effect: Allow Action: - 'logs:CreateLogGroup' - 'logs:CreateLogStream' - 'logs:PutLogEvents' - 'logs:DescribeLogGroups' - 'logs:DescribeLogStreams' Resource: '*' Roles: - !Ref VPCBPAFlowLogRole # Flow Logs VPCBPAFlowLog: Type: AWS::EC2::FlowLog Properties: ResourceId: !Ref VPCBPA ResourceType: VPC TrafficType: ALL LogDestinationType: cloud-watch-logs LogGroupName: /aws/vpc-flow-logs/VPC-BPA DeliverLogsPermissionArn: !GetAtt VPCBPAFlowLogRole.Arn LogFormat: '${version} ${account-id} ${interface-id} ${srcaddr} ${dstaddr} ${srcport} ${dstport} ${protocol} ${packets} ${bytes} ${start} ${end} ${action} ${log-status} ${vpc-id} ${subnet-id} ${instance-id} ${tcp-flags} ${type} ${pkt-srcaddr} ${pkt-dstaddr} ${region} ${az-id} ${sublocation-type} ${sublocation-id} ${pkt-src-aws-service} ${pkt-dst-aws-service} ${flow-direction} ${traffic-path} ${reject-reason}' Tags: - Key: Name Value: VPC BPA Flow Logs # EC2 Instance Connect Endpoint VPCBPAEC2InstanceConnectEndpoint: Type: AWS::EC2::InstanceConnectEndpoint Properties: SecurityGroupIds: - !Ref VPCBPAInstancesSecurityGroup SubnetId: !Ref VPCBPAPublicSubnetB Outputs: VPCBPAVPCId: Description: A reference to the created VPC Value: !Ref VPCBPA Export: Name: vpc-id VPCBPAPublicSubnetAId: Description: The ID of the public subnet A Value: !Ref VPCBPAPublicSubnetA VPCBPAPublicSubnetAName: Description: The name of the public subnet A Value: VPC BPA Public Subnet A VPCBPAPublicSubnetBId: Description: The ID of the public subnet B Value: !Ref VPCBPAPublicSubnetB VPCBPAPublicSubnetBName: Description: The name of the public subnet B Value: VPC BPA Public Subnet B VPCBPAPrivateSubnetCId: Description: The ID of the private subnet C Value: !Ref VPCBPAPrivateSubnetC VPCBPAPrivateSubnetCName: Description: The name of the private subnet C Value: VPC BPA Private Subnet C VPCBPAInstanceAId: Description: The ID of instance A Value: !Ref VPCBPAInstanceA VPCBPAInstanceBId: Description: The ID of instance B Value: !Ref VPCBPAInstanceB VPCBPAInstanceCId: Description: The ID of instance C Value: !Ref VPCBPAInstanceC VPCBPAInstanceDId: Description: The ID of instance D Value: !Ref VPCBPAInstanceD
-
Abra la consola de AWS CloudFormation en https://console.aws.amazon.com/cloudformation/
. -
Seleccione Crear pila y cargue el archivo de plantilla .yaml.
-
Siga los pasos para usar la plantilla. Deberá introducir un ID de imagen y un tipo de instancia
(como t2.micro). También tendrá que permitir que CloudFormation cree un rol de IAM para crear el registro de flujo y obtener permiso para iniciar sesión en Amazon CloudWatch. -
Una vez que haya lanzado la pila, consulte la pestaña Eventos para ver el progreso y asegurarse de que la pila se complete antes de continuar.
Ver el impacto del BPA de la VPC con el analizador de acceso a la red
En esta sección, utilizará el analizador de acceso a la red para ver los recursos de su cuenta que utilizan la puerta de enlace de Internet. Utilice este análisis para comprender el impacto de activar el BPA de la VPC en su cuenta y bloquear el tráfico.
Para obtener información sobre la disponibilidad regional del analizador de acceso a la red, consulte Limitaciones en la Guía del analizador de acceso a la red.
-
Abra la consola de AWS Network Insights en https://console.aws.amazon.com/networkinsights/
. -
Seleccione Analizador de acceso a la red.
-
Seleccione Crear alcance de acceso a la red.
-
Seleccione Evaluar el impacto del bloqueo de acceso público de la VPC y, a continuación, Siguiente.
-
La plantilla ya está configurada para analizar el tráfico hacia y desde las puertas de enlace de Internet de su cuenta. Puede verlo en Origen y Destino.
-
Elija Siguiente.
-
Seleccione Crear alcance de acceso a la red.
-
Elija el alcance que acaba de crear y seleccione Analizar.
-
Espere a que el análisis finalice.
-
Visualice los resultados del análisis. Cada fila de la sección Resultados muestra la ruta de red que un paquete puede recorrer en una red hacia o desde una puerta de enlace de Internet de su cuenta. En este caso, si activa el BPA de la VPC y ninguna de las VPC o subredes que aparecen en estos resultados está configurada como exclusión de BPA, se restringirá el tráfico a esas VPC y subredes.
-
Analice cada resultado para comprender el impacto del BPA en los recursos de sus VPC.
El análisis de impacto está completo.
Escenario 1: conexión a instancias sin el BPA activado
En esta sección, para establecer una referencia y garantizar que, antes de activar el BPA, se pueda acceder a todas las instancias, se conectará a todas las instancias y hará ping a una dirección IP pública.
Diagrama de una VPC sin el BPA de la VPC activado:
1.1 Conexión a instancias
Complete esta sección para conectarse a sus instancias con el BPA de la VPC desactivado y asegurarse de que puede hacerlo sin problemas. Todas las instancias creadas con CloudFormation para este ejemplo tienen nombres como “Instancia A del BPA de la VPC”.
-
Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/
. -
Abra los detalles de la instancia A.
-
Conéctese a la instancia A mediante la opción Conexión de instancia EC2 > Conexión mediante el punto de conexión de EC2 Instance Connect.
-
Elija Conectar. Una vez que se haya conectado correctamente a la instancia, haga ping a www.amazon.com para comprobar que puede enviar las solicitudes salientes a Internet.
-
Para conectarse a las instancia B, C y D, use el mismo método que usó para la A. Desde cada instancia, haga ping a www.amazon.com para verificar si puede enviar solicitudes salientes a Internet.
Escenario 2: activación del BPA
En esta sección, activará el BPA de la VPC y bloqueará el tráfico hacia y desde las puertas de enlace de Internet de su cuenta.
Diagrama del modo bidireccional del BPA de la VPC activado:
2.1 Habilitar el modo bidireccional de bloque del BPA de la VPC
Complete esta sección para habilitar el BPA de la VPC.
-
Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/
. -
En el panel de navegación izquierdo, elija Configuración.
-
Elija Editar la configuración del acceso público.
-
Seleccione Activar el bloqueo del acceso público y Bidireccional y, a continuación, seleccione Guardar cambios.
-
Espere a que el Estado cambie a Activado. Las configuraciones del BPA pueden tardar unos minutos en aplicarse y en que se actualice el estado.
El BPA de la VPC ya está activado.
2.2 Conexión a instancias
Complete esta sección para conectarse a sus instancias.
-
Haga ping a la dirección IPv4 pública de las instancias A y B, tal y como hizo en el escenario 1. Advierta que el tráfico está bloqueado.
-
Conéctese a la instancia A mediante la opción Conexión de instancia EC2 > Conexión mediante el punto de conexión de EC2 Instance Connect, como lo hizo en el escenario 1. Asegúrese de utilizar la opción de punto de conexión.
-
Elija Conectar. Una vez que se haya conectado correctamente a la instancia, haga ping a www.amazon.com. Advierta que todo el tráfico de salida está bloqueado.
-
Para conectarse a las instancia B, C y D, use el mismo método que usó para la A, y luego verifique las solicitudes salientes a Internet. Advierta que todo el tráfico de salida está bloqueado.
2.3: Opcional: Verificar que la conectividad esté bloqueada con el analizador de accesibilidad
El analizador de accesibilidad de la VPC se puede utilizar para comprender si se puede acceder o no a determinadas rutas de red según la configuración de la red, incluida la configuración del BPA de la VPC. En este ejemplo, analizará la misma ruta de red que se intentó anteriormente para confirmar que el BPA de la VPC es el motivo por el que falla la conectividad.
-
Vaya a la consola de Network Insights en https://console.aws.amazon.com/networkinsights/home#ReachabilityAnalyzer
. -
Haga clic en Crear y analizar la ruta.
-
Para el Tipo de origen, elija Puertas de enlace de internet y seleccione la puerta de enlace de Internet etiquetada Puerta de enlace de internet del BPA de la VPC en el menú desplegable Origen.
-
Para el Tipo de destino, elija Instancias y seleccione la instancia etiquetada como Instancia A del BPA de la VPC en el menú desplegable Destino.
-
Haga clic en Crear y analizar la ruta.
-
Espere a que el análisis finalice. Puede demorar unos minutos.
-
Una vez completado, verá que el Estado de accesibilidad es No alcanzable y que los Detalles de la ruta muestran que
VPC_BLOCK_PUBLIC_ACCESS_ENABLEDes la causa.
Escenario 3: modificación del modo de BPA
En esta sección, cambiará la dirección del tráfico del BPA de la VPC y permitirá solo el tráfico que utilice una puerta de enlace NAT o una puerta de enlace de Internet de solo salida.
Diagrama del modo de solo ingreso del BPA de la VPC activado:
3.1 Cambiar el modo al de solo entrada
Complete esta sección para cambiar el modo.
-
Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/
. -
En el panel de navegación izquierdo, elija Configuración.
-
En la pestaña Bloqueo de acceso público, seleccione Editar la configuración del acceso público.
-
Modifique la configuración de acceso público en la consola de la VPC y cambie la dirección a Solo entrada.
-
Guarde los cambios y espere a que se actualice el estado. Las configuraciones del BPA pueden tardar unos minutos en aplicarse y en que se actualice el estado.
3.2 Conexión a instancias
Complete esta sección para conectarse a las instancias.
-
Haga ping a la dirección IPv4 pública de las instancias A y B, tal y como hizo en el escenario 1. Advierta que el tráfico está bloqueado.
-
Conéctese a las instancias A y B mediante EC2 Instance Connect como lo hizo en el escenario 1 y haga ping a www.amazon.com desde allí. Advierta que no puede hacer ping a un sitio público de Internet desde las instancias A o B, ya que el tráfico está bloqueado.
-
Conéctese a las instancias C y D mediante EC2 Instance Connect como lo hizo en el escenario 1 y haga ping a www.amazon.com desde allí. Advierta que puede hacer ping a un sitio público de Internet desde la instancia C o D y que el tráfico está permitido.
Escenario 4: creación de una exclusión
En esta sección, creará una exclusión y solo bloqueará el tráfico hacia y desde la subred que no esté excluido del BPA de la VPC. Una exclusión de BPA de la VPC es un modo que se puede aplicar a una sola VPC o subred, lo que la exime del modo BPA de la cuenta y permitirá el acceso bidireccional o solo de salida. Puede crear exclusiones de BPA para las VPC y las subredes incluso cuando el BPA no esté habilitado en la cuenta para garantizar que las exclusiones no interrumpan el tráfico cuando el BPA de la VPC está activado.
En este ejemplo, crearemos una exclusión para la subred A para mostrar cómo afecta el BPA de la VPC al tráfico a las exclusiones.
Diagrama del modo de solo entrada del BPA de la VPC activado y de la exclusión de la subred A con el modo bidireccional activado:
4.1 Crear una exclusión para la subred A
Complete esta sección para crear una exclusión. Una exclusión de BPA de la VPC es un modo que se puede aplicar a una sola VPC o subred, lo que la exime del modo BPA de la cuenta y permitirá el acceso bidireccional o solo de salida. Puede crear exclusiones de BPA para las VPC y las subredes incluso cuando el BPA no esté habilitado en la cuenta para garantizar que las exclusiones no interrumpan el tráfico cuando el BPA de la VPC está activado.
-
Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/
. -
En el panel de navegación izquierdo, elija Configuración.
-
En la pestaña Bloquear el acceso público, en Exclusiones, seleccione Crear exclusiones.
-
Seleccione Subred pública A del BPA de la VPC, asegúrese de que esté seleccionada la opción de dirección Bidireccional permitida y elija Crear exclusiones.
-
Espere a que el Estado de exclusión cambie a Activo. Puede que tenga que actualizar la tabla de exclusión para ver el cambio.
Se ha creado la exclusión.
4.2 Conexión a instancias
Complete esta sección para conectarse a las instancias.
-
Haga ping a la dirección IPv4 pública de la instancia A. Advierta que el tráfico está permitido.
-
Haga ping a la dirección IPv4 pública de la instancia B. Advierta que el tráfico está bloqueado.
-
Conéctese a la instancia A mediante EC2 Instance Connect como lo hizo en el escenario 1 y haga ping a www.amazon.com. Advierta que puede hacer ping a un sitio público de Internet desde la instancia A. El tráfico está permitido.
-
Conéctese a la instancia B mediante EC2 Instance Connect como lo hizo en el escenario 1 y haga ping a www.amazon.com desde allí. Advierta que no puede hacer ping a un sitio público de Internet desde la instancia B. El tráfico está bloqueado.
-
Conéctese a las instancias C y D mediante EC2 Instance Connect como lo hizo en el escenario 1 y haga ping a www.amazon.com desde allí. Advierta que puede hacer ping a un sitio público de Internet desde la instancia C o D. El tráfico está permitido.
4.3: Opcional: Verificar la conectividad con el analizador de accesibilidad
Con la misma ruta de red creada en el analizador de accesibilidad en el escenario 2, ahora puede ejecutar un nuevo análisis y confirmar que se puede acceder a la ruta ahora que se ha creado una exclusión para la subred pública A.
Para obtener información sobre la disponibilidad regional del Analizador de accesibilidad, consulte Consideraciones en la Guía del Analizador de accesibilidad.
-
En la ruta de red que creó anteriormente en la consola de Network Insights, haga clic en Volver a ejecutar el análisis.
-
Espere a que el análisis finalice. Esta operación puede tardar varios minutos.
-
Confirme que ahora la ruta está Accesible.
Escenario 5: modificación del modo de exclusión
En esta sección, cambiará la dirección del tráfico permitida en la exclusión para ver cómo afecta al BPA de la VPC. Advierta que el modo de solo salida para una exclusión no es realmente significativo con el BPA de la VPC habilitado en el modo de solo entrada por bloques. Es el mismo comportamiento que el del escenario 3.
Diagrama del modo de solo entrada del BPA de la VPC activado y de la exclusión de la subred A con el modo de solo salida activado:
5.1 Cambiar la dirección permitida de la exclusión a solo salida
Complete esta sección para cambiar la dirección de la exclusión permitida.
-
Edite la exclusión que creó en el escenario 4 y cambie la dirección permitida a Solo salida.
-
Elija Guardar cambios.
-
Espere a que el Estado de exclusión cambie a Activo. Las configuraciones del BPA pueden tardar unos minutos en aplicarse y en que se actualice el estado. Puede que tenga que actualizar la tabla de exclusión para ver el cambio.
5.2 Conexión a instancias
Complete esta sección para conectarse a las instancias.
-
Haga ping a la dirección IPv4 pública de las instancias A y B. Advierta que el tráfico está bloqueado.
-
Conéctese a la instancia A y B mediante EC2 Instance Connect como lo hizo en el escenario 1 y haga ping a www.amazon.com. Advierta que no puede hacer ping a un sitio público de Internet desde la instancia A o B. El tráfico está bloqueado.
-
Conéctese a las instancias C y D mediante EC2 Instance Connect como lo hizo en el escenario 1 y haga ping a www.amazon.com desde allí. Advierta que puede hacer ping a un sitio público de Internet desde la instancia C o D. El tráfico está permitido.
Escenario 6: modificación del modo del BPA
En esta sección, cambiará la dirección del bloque de BPA de la VPC para ver cómo afecta al tráfico. En este escenario, el BPA de la VPC habilitado en modo bidireccional bloquea todo el tráfico igual que en el escenario 1. A menos que una exclusión tenga acceso a una puerta de enlace NAT o a una puerta de enlace de Internet de solo salida, el tráfico se bloquea.
Diagrama del modo bidireccional del BPA de la VPC activado y de la exclusión de subred A con el modo de solo salida activado:
6.1 Cambiar el BPA de la VPC al modo bidireccional
Complete esta sección para cambiar el modo del BPA.
-
Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/
. -
En el panel de navegación izquierdo, elija Configuración.
-
Elija Editar la configuración del acceso público.
-
Cambie la dirección del bloque a Bidireccional y, a continuación, seleccione Guardar cambios.
-
Espere a que el Estado cambie a Activado. Las configuraciones del BPA pueden tardar unos minutos en aplicarse y en que se actualice el estado.
6.2 Conexión a instancias
Complete esta sección para conectarse a las instancias.
-
Haga ping a la dirección IPv4 pública de las instancias A y B. Advierta que el tráfico está bloqueado.
-
Conéctese a la instancia A y B mediante EC2 Instance Connect como lo hizo en el escenario 1 y haga ping a www.amazon.com. Advierta que no puede hacer ping a un sitio público de Internet desde la instancia A o B. El tráfico está bloqueado.
-
Conéctese a las instancias C y D mediante EC2 Instance Connect como lo hizo en el escenario 1 y haga ping a www.amazon.com desde allí. Advierta que no puede hacer ping a un sitio público de Internet desde la instancia C o D. El tráfico está bloqueado.
Limpieza
En esta sección, eliminará todos los recursos que ha creado para este ejemplo avanzado. Es importante limpiar los recursos para evitar cargos adicionales excesivos por los recursos creados en su cuenta.
Eliminar los recursos de CloudFormation
Complete esta sección para eliminar los recursos que ha creado con la plantilla AWS CloudFormation.
-
Abra la consola de AWS CloudFormation en https://console.aws.amazon.com/cloudformation/
. -
Elija la pila del BPA de la VPC.
-
Elija Eliminar.
-
Cuando empiece a eliminar la pila, consulte la pestaña Eventos para ver el progreso y asegurarse de que la pila se haya eliminado. Puede que deba forzar la eliminación de la pila para que se elimine por completo.
Seguimiento de la eliminación de la exclusión con AWS CloudTrail
Complete esta sección para realizar un seguimiento de la eliminación de exclusiones con AWS CloudTrail. Las entradas de CloudTrail aparecen al eliminar una exclusión.
Para ver las exclusiones eliminadas en el historial de eventos de CloudTrail, consulte Tipo de recurso > AWS::EC2::VPCBlockPublicAccessExclusion en la consola de AWSCloudTrail en https://console.aws.amazon.com/cloudtrailv2/
El ejemplo avanzado está completo.
