amazon virtual private cloudamazon virtual private cloud guía del usuario conceptos de amazon vpc...

Amazon Virtual Private CloudGuía del usuario

Amazon Virtual Private Cloud Guía del usuario

Amazon Virtual Private Cloud: Guía del usuarioCopyright © 2020 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.

Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's,in any manner that is likely to cause confusion among customers, or in any manner that disparages or discreditsAmazon. All other trademarks not owned by Amazon are the property of their respective owners, who may or may notbe affiliated with, connected to, or sponsored by Amazon.


Table of Contents¿Qué es Amazon VPC? ...................................................................................................................... 1

Conceptos de Amazon VPC ......................................................................................................... 1Acceso a Amazon VPC ............................................................................................................... 1Precios de Amazon VPC ............................................................................................................. 1Cuotas de Amazon VPC .............................................................................................................. 2Conformidad con DSS de PCI ...................................................................................................... 2

Funcionamiento de Amazon VPC .......................................................................................................... 3VPC y subredes ......................................................................................................................... 3VPC predeterminadas y no predeterminadas .................................................................................. 3Tablas de ruteo .......................................................................................................................... 4Acceder a Internet ...................................................................................................................... 4Acceder a redes corporativas o domésticas .................................................................................... 8Acceder a servicios a través de AWS PrivateLink ............................................................................ 8Conexión de VPC y redes ........................................................................................................... 9Consideraciones sobre la red global privada de AWS ..................................................................... 10Plataformas admitidas ............................................................................................................... 10Recursos de Amazon VPC ......................................................................................................... 10

Introducción ..................................................................................................................................... 12Información general ................................................................................................................... 12Paso 1: Creación de la VPC ...................................................................................................... 12

Ver información de sus VPC .............................................................................................. 13Paso 2: Lanzar una instancia en su VPC ..................................................................................... 14Paso 3: Asignar una dirección IP elástica a su instancia ................................................................. 15Paso 4: Limpieza ...................................................................................................................... 15Pasos siguientes ....................................................................................................................... 16Introducción a IPv6 ................................................................................................................... 16

Paso 1: Creación de la VPC .............................................................................................. 16Paso 2: Crear un grupo de seguridad .................................................................................. 19Paso 3: Lanzar una instancia ............................................................................................. 20

Configuraciones del asistente de la consola de Amazon VPC ......................................................... 21VPC con una única subred pública ...................................................................................... 21VPC con subredes privadas y públicas (NAT) ....................................................................... 29VPC con subredes públicas y privadas y acceso de AWS Site-to-Site VPN ................................ 47VPC solo con una subred privada y acceso de AWS Site-to-Site VPN ....................................... 63

Ejemplos de VPC ............................................................................................................................. 70Ejemplo: compartir subredes públicas y privadas ........................................................................... 71Ejemplos: servicios que utilizan AWS PrivateLink y emparejamiento de VPC ...................................... 72

Ejemplo: el proveedor de servicios configura el servicio .......................................................... 73Ejemplo: el consumidor de servicios configura el acceso ......................................................... 73Ejemplo: el proveedor de servicios configura un servicio para varias regiones ............................. 74Ejemplo: el consumidor de servicios configura el acceso entre regiones .................................... 75

Ejemplo: crear una VPC de IPv4 y subredes utilizando la AWS CLI .................................................. 76Paso 1: Crear una VPC y subredes ..................................................................................... 77Paso 2: Hacer pública una subred ....................................................................................... 77Paso 3: Lanzar una instancia en su subred .......................................................................... 79Paso 4: Limpieza .............................................................................................................. 81

Ejemplo: crear una VPC de IPv6 y de subredes utilizando la AWS CLI .............................................. 81Paso 1: Crear una VPC y subredes ..................................................................................... 82Paso 2: Configurar una subred pública ................................................................................ 83Paso 3: Configurar una subred privada de solo salida ............................................................ 85Paso 4: Modificar el comportamiento de las direcciones IPv6 de las subredes ............................. 86Paso 5: Lanzar una instancia en su subred pública ................................................................ 86Paso 6: Lanzar una instancia en su subred privada ............................................................... 88Paso 7: Limpieza .............................................................................................................. 89

iii


VPC y subredes ............................................................................................................................... 91Conceptos básicos de VPC y subredes ........................................................................................ 91Tamaño de VPC y subred .......................................................................................................... 94

Tamaño de VPC y subred para direcciones IPv4 ................................................................... 94Agregar bloques de CIDR IPv4 a una VPC ........................................................................... 95Tamaño de VPC y subred para direcciones IPv6 ................................................................... 99

Enrutar la subred ...................................................................................................................... 99Seguridad de la subred ............................................................................................................ 100Usar VPC y subredes .............................................................................................................. 100

Creación de una VPC ...................................................................................................... 100Crear una subred en la VPC ............................................................................................ 102Asociar un bloque de CIDR IPv4 secundario con su VPC ...................................................... 103Asociar un bloque de CIDR IPv6 con su VPC ..................................................................... 103Asociar un bloque de CIDR IPv6 con su subred .................................................................. 104Lanzar una instancia en su subred .................................................................................... 104Eliminar su subred .......................................................................................................... 105Disociar un bloque de CIDR IPv4 de su VPC ...................................................................... 105Disociar un bloque de CIDR IPv6 de su VPC o subred ......................................................... 106Eliminar su VPC ............................................................................................................. 107

Usar VPC compartidas ............................................................................................................. 108Requisitos previos para las VPC compartidas ...................................................................... 108Compartir una subred ...................................................................................................... 109Dejar de compartir una subred compartida .......................................................................... 109Identificar al propietario de una subred compartida ............................................................... 110Permisos para las subredes compartidas ............................................................................ 110Facturar y medir para el propietario y los participantes .......................................................... 110Servicios no admitidos para las subredes compartidas .......................................................... 111Limitaciones ................................................................................................................... 111

Ampliación de las VPC ............................................................................................................ 111Ampliar los recursos de VPC a las zonas locales ................................................................. 112Ampliación de los recursos de VPC a las zonas de Wavelength ............................................. 112Subredes en AWS Outposts ............................................................................................. 113

VPC predeterminada y subredes predeterminadas ............................................................................... 115Componentes de VPC predeterminados ..................................................................................... 115

Subredes predeterminadas ............................................................................................... 117Disponibilidad y plataformas compatibles .................................................................................... 117

Detección de plataformas compatibles ................................................................................ 118Consultar la VPC y las subredes predeterminadas ....................................................................... 118Lanzar una instancia EC2 en su VPC predeterminada .................................................................. 119

Lanzar una instancia EC2 mediante la consola .................................................................... 119Lanzar una instancia EC2 mediante la línea de comandos .................................................... 119

Eliminar sus subredes predeterminadas y la VPC predeterminada .................................................. 120Crear una VPC predeterminada ................................................................................................ 120Crear una subred predeterminada ............................................................................................. 121

Direccionamiento IP ......................................................................................................................... 123Direcciones IPv4 privadas ........................................................................................................ 124Direcciones IPv4 públicas ......................................................................................................... 125Direcciones IPv6 ..................................................................................................................... 125Comportamiento de las direcciones IP de su subred ..................................................................... 126Usar direcciones IP ................................................................................................................. 126

Modificar el atributo de direcciones IPv4 públicas de su subred .............................................. 127Modificar el atributo de direcciones IPv6 de su subred .......................................................... 127Asignar una dirección IPv4 pública durante el lanzamiento de la instancia ................................ 127Asignar una dirección IPv6 durante el lanzamiento de la instancia .......................................... 128Asignar una dirección IPv6 a una instancia ......................................................................... 129Anular la asignación de una dirección IPv6 de una instancia .................................................. 129Información general de la API y de los comandos ................................................................ 130

iv


Migración a IPv6 ..................................................................................................................... 130Ejemplo: habilitar IPv6 en una VPC con una subred privada y pública ..................................... 132Paso 1: Asociar un bloque de CIDR IPv6 a su VPC y subredes .............................................. 134Paso 2: Actualizar las tablas de enrutamiento ...................................................................... 135Paso 3: Actualizar las reglas del grupo de seguridad ............................................................ 135Paso 4: Cambiar el tipo de instancia .................................................................................. 136Paso 5: Asignar direcciones IPv6 a sus instancias ............................................................... 137Paso 6: (opcional) Configurar IPv6 en sus instancias ............................................................ 138

Seguridad ...................................................................................................................................... 144Protección de los datos ............................................................................................................ 144

Privacidad del tráfico entre redes ...................................................................................... 145Administración de identidades y accesos .................................................................................... 147

Público .......................................................................................................................... 148Autenticación con identidades ........................................................................................... 148Administración de acceso mediante políticas ....................................................................... 150Cómo funciona Amazon VPC con IAM ............................................................................... 151Ejemplos de políticas ....................................................................................................... 155Solución de problemas ..................................................................................................... 161

Registro y monitorización ......................................................................................................... 163Resiliencia .............................................................................................................................. 164Validación de la conformidad .................................................................................................... 164Grupos de seguridad ............................................................................................................... 165

Conceptos básicos de los grupos de seguridad ................................................................... 165Grupo de seguridad predeterminado para su VPC ................................................................ 166Reglas del grupo de seguridad ......................................................................................... 167Diferencias entre los grupos de seguridad para EC2-Classic y EC2-VPC ................................. 169Usar grupos de seguridad ................................................................................................ 169Administre de forma centralizada los grupos de seguridad de VPC mediante AWS FirewallManager ........................................................................................................................ 173

ACL de red ............................................................................................................................ 174Conceptos básicos de la ACL de red ................................................................................. 174Reglas de ACL de red ..................................................................................................... 175ACL de red predeterminada .............................................................................................. 175ACL de red personalizada ................................................................................................ 177ACL de red personalizadas y otros servicios de AWS ........................................................... 182Puertos efímeros ............................................................................................................. 182Detección de la MTU de la ruta ........................................................................................ 182Usar ACL de red ............................................................................................................ 183Ejemplo: controlar el acceso a las instancias en una subred .................................................. 187Reglas recomendadas para casos de uso del asistente de la VPC .......................................... 190

Logs de flujo de VPC .............................................................................................................. 190Conceptos básicos de logs de flujo .................................................................................... 191Registros de log de flujo .................................................................................................. 192Ejemplos de registros de log de flujo ................................................................................. 196Limitaciones de los logs de flujo ........................................................................................ 200Precios de registros de flujo ............................................................................................. 201Publicación en CloudWatch Logs ....................................................................................... 201Publicación en Amazon S3 ............................................................................................... 206Usar logs de flujo ............................................................................................................ 211Solución de problemas ..................................................................................................... 215

Prácticas recomendadas .......................................................................................................... 217Recursos adicionales ....................................................................................................... 218

Componentes de redes de VPC ........................................................................................................ 219Interfaces de red ..................................................................................................................... 219Tablas de ruteo ...................................................................................................................... 220

Conceptos de las tablas de enrutamiento ........................................................................... 220Cómo funcionan las tablas de enrutamiento ........................................................................ 221

v


Prioridad de la ruta ......................................................................................................... 227Opciones de enrutamiento de ejemplo ................................................................................ 228Uso de las tablas de enrutamiento ..................................................................................... 236

Listas de prefijos ..................................................................................................................... 244Conceptos y reglas de las listas de prefijos ......................................................................... 244Trabajar con listas de prefijos ........................................................................................... 245Administración de identidades y accesos para listas de prefijos .............................................. 249Uso de listas de prefijos compartidas ................................................................................. 249

Puertos de enlace a internet ..................................................................................................... 252Habilitar el acceso a Internet ............................................................................................ 252Adjuntar una gateway de internet a una VPC. ..................................................................... 254

Gateways de Internet de solo salida .......................................................................................... 258Conceptos básicos de las gateways de Internet de solo salida ............................................... 259Usar gateways de Internet de solo salida ............................................................................ 260Información general de la API y de la CLI ........................................................................... 261

Gateways de operador ............................................................................................................. 261Habilitar el acceso a la red de operador de telecomunicaciones .............................................. 262Trabajar con gateways de operador ................................................................................... 262Administrar zonas ............................................................................................................ 267

NAT ...................................................................................................................................... 267Gateways NAT ............................................................................................................... 268Instancias NAT ............................................................................................................... 287Comparación de las instancias NAT con las gateways NAT ................................................... 295

Conjuntos de opciones de DHCP .............................................................................................. 297Información general acerca de los conjuntos de opciones de DHCP ........................................ 297Servidor DNS de Amazon ................................................................................................ 298Cambiar las opciones de DHCP ........................................................................................ 299Utilizar los conjuntos de opciones de DHCP ........................................................................ 299Información general de la API y de los comandos ................................................................ 302

DNS ...................................................................................................................................... 302Nombre de host DNS ...................................................................................................... 303Compatibilidad de la VPC con DNS ................................................................................... 303Cuotas de DNS .............................................................................................................. 305Consultar nombres de host DNS para su instancia EC2 ........................................................ 305Consultar y actualizar la compatibilidad de DNS para su VPC ................................................ 306Utilizar zonas alojadas privadas ........................................................................................ 307

Interconexión con VPC ............................................................................................................ 307Direcciones IP elásticas ........................................................................................................... 307

Conceptos y reglas de direcciones IP elásticas .................................................................... 308Uso de direcciones IP elásticas ......................................................................................... 308

ClassicLink ............................................................................................................................. 312Puntos de conexión de la VPC y servicios de punto de enlace de la VPC (AWS PrivateLink) ....................... 313

Conceptos de puntos de enlace de la VPC ................................................................................. 313Uso de los puntos de enlace de la VPC ..................................................................................... 313Puntos de conexión de la VPC ................................................................................................. 314

Puntos de enlace de interfaz ............................................................................................ 314Puntos de enlace de gateway ........................................................................................... 330Control del acceso a los servicios con Puntos de conexión de la VPC ..................................... 346Eliminación de un Punto de conexión VPC ......................................................................... 347

Servicios de punto de enlace de la VPC (AWS PrivateLink) ........................................................... 348Información general ......................................................................................................... 348Consideraciones sobre zonas de disponibilidad de servicio de punto de enlace ......................... 350Nombres de DNS del servicio de punto de enlace ................................................................ 350Conexión a centros de datos en las instalaciones ................................................................ 319Acceder a servicios a través de una interconexión de VPC .................................................... 351Usar Proxy Protocol para la información de conexión ........................................................... 351Limitaciones de los servicios de punto de enlace ................................................................. 351

vi


Crear una configuración de servicio de punto de enlace de la VPC ......................................... 352Agregar y eliminar permisos para el servicio de punto de enlace ............................................ 354Cambiar Balanceador de carga de red y la configuración de aceptación ................................... 355Aceptar y rechazar solicitudes de conexión de un punto de enlace de interfaz ........................... 356Crear y administrar una notificación para un servicio de punto de enlace .................................. 357Agregar o eliminar etiquetas del servicio de punto de enlace de la VPC ................................... 359Eliminar una configuración de servicio de punto de enlace .................................................... 360

Administración de identidades y accesos .................................................................................... 361Nombres de DNS privados para servicios de punto de enlace ........................................................ 363

Consideraciones sobre la verificación de nombres de dominio ................................................ 364Verificación de nombres de DNS privados de servicio de punto de enlace de la VPC .................. 364Modificar un nombre de DNS privado de servicio de punto de enlace existente ......................... 366Consultar la configuración de nombres de DNS privados de servicio de punto de enlace ............. 366Iniciar manualmente la verificación de dominio de nombres de DNS privados de servicio depunto de enlace .............................................................................................................. 367Eliminar un nombre de DNS privado de servicio de punto de enlace ........................................ 368Registros TXT de verificación de dominio de nombres de DNS privados .................................. 368Solucionar problemas comunes de verificación de dominio .................................................... 370

Servicios de AWS que se pueden utilizar con AWS PrivateLink ...................................................... 372Conexiones de VPN ........................................................................................................................ 377Cuotas ........................................................................................................................................... 378

VPC y subredes ...................................................................................................................... 378DNS ...................................................................................................................................... 378Direcciones IP elásticas (IPv4) .................................................................................................. 379Gateways ............................................................................................................................... 379Listas de prefijos administradas por el cliente .............................................................................. 380ACL de red ............................................................................................................................ 380Interfaces de red ..................................................................................................................... 381Tablas de ruteo ...................................................................................................................... 381Grupos de seguridad ............................................................................................................... 381Interconexiones de VPC ........................................................................................................... 382Puntos de conexión de la VPC ................................................................................................. 383Conexiones de AWS Site-to-Site VPN ........................................................................................ 383Uso compartido de VPC ........................................................................................................... 383

Historial de revisión ......................................................................................................................... 385

vii

Amazon Virtual Private Cloud Guía del usuarioConceptos de Amazon VPC

¿Qué es Amazon VPC?Amazon Virtual Private Cloud (Amazon VPC) le permite lanzar recursos de AWS en una red virtual quehaya definido. Dicha red virtual es prácticamente idéntica a las redes tradicionales que se utilizan en suspropios centros de datos, con los beneficios que supone utilizar la infraestructura escalable de AWS.

Conceptos de Amazon VPCAmazon VPC es la capa de red de Amazon EC2. Si no conoce Amazon EC2, consulte ¿Qué es AmazonEC2? en la Guía del usuario de Amazon EC2 para instancias de Linux para obtener información general.

A continuación se enumeran los conceptos clave de las VPC:

• Nube virtual privada (VPC): una red virtual dedicada para su cuenta de AWS.• Subred: un intervalo de direcciones IP en su VPC.• Tabla de ruteo: un conjunto de reglas, denominadas rutas, que se utilizan para determinar dónde se

dirige el tráfico de red.• Gateway de Internet: una gateway que asocia con la VPC para habilitar la comunicación entre los

recursos de la VPC e Internet.• Punto de enlace de la VPC: le permite conectar de forma privada la VPC a los servicios de AWS

admitidos y a servicios de punto de enlace de la VPC alimentados por PrivateLink sin necesidad de unagateway de Internet, un dispositivo NAT, una conexión de VPN o una conexión de AWS Direct Connect.Las instancias de su VPC no necesitan direcciones IP públicas para comunicarse con los recursos delservicio. El tráfico entre su VPC y el servicio no sale de la red de Amazon.

Acceso a Amazon VPCPuede crear, acceder y administrar las VPC con cualquiera de las siguientes interfaces:

• Consola de administración de AWS: proporciona una interfaz web que se puede utilizar para obteneracceso a las VPC.

• Interfaz de línea de comandos de AWS (AWS CLI): proporciona comandos para numerosos servicios deAWS, incluido Amazon VPC, y es compatible con Windows, Mac y Linux. Para obtener más información,consulte AWS Command Line Interface.

• SDK de AWS: proporcionan API específicas de cada lenguaje y se encargan de muchos de los detallesde la conexión, tales como el cálculo de firmas, el control de reintentos de solicitud y el control deerrores. Para obtener más información, consulte SDK de AWS.

• API de consulta: Proporciona acciones de API de nivel bajo a las que se llama mediante solicitudesHTTPS. Utilizar la API de consulta es la forma más directa de obtener acceso a Amazon VPC, perorequiere que la aplicación controle niveles de detalle de bajo nivel, tales como la generación del códigohash para firmar la solicitud y el control de errores. Para obtener más información, consulte la AmazonEC2 API Reference.

Precios de Amazon VPCNo hay cargo adicional por la utilización de Amazon VPC. Solo pagará las tarifas estándar de las instanciasy las demás características de Amazon EC2 que utilice. Hay cargos por usar una conexión de Site-to-Site

1

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/concepts.html


https://aws.amazon.com/cli/

http://aws.amazon.com/tools/#SDKs

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/


Amazon Virtual Private Cloud Guía del usuarioCuotas de Amazon VPC

VPN, PrivateLink, Traffic Mirroring y una gateway de NAT. Para obtener más información, consulte lassiguientes páginas de precios:

• Precios de Amazon VPC• Precios de Amazon EC2

Cuotas de Amazon VPCExisten cuotas en cuanto al número de componentes de Amazon VPC que puede aprovisionar. Puedesolicitar un aumento de algunas de estas cuotas. Para obtener más información, consulte Cuotas deAmazon VPC (p. 378).

Conformidad con DSS de PCIAmazon VPC admite el procesamiento, el almacenamiento y la transmisión de datos de tarjetas de créditopor parte de un comerciante o proveedor de servicios, y se ha validado por estar conforme con el Estándarde seguridad de los datos de la industria de las tarjetas de pago (DSS PCI). Para obtener más informaciónacerca de PCI DSS y sobre cómo solicitar una copia del Paquete de conformidad con PCI de AWS,consulte PCI DSS Nivel 1.

2

https://aws.amazon.com/vpc/pricing/

https://aws.amazon.com/ec2/pricing/

https://aws.amazon.com/compliance/pci-dss-level-1-faqs/

Amazon Virtual Private Cloud Guía del usuarioVPC y subredes

Funcionamiento de Amazon VPCAmazon Virtual Private Cloud (Amazon VPC) le permite lanzar recursos de AWS en una red virtual quehaya definido. Dicha red virtual es prácticamente idéntica a las redes tradicionales que se utilizan en suspropios centros de datos, con los beneficios que supone utilizar la infraestructura escalable de AWS.

Amazon VPC es la capa de red de Amazon EC2. Si no conoce Amazon EC2, consulte ¿Qué es AmazonEC2? en la Guía del usuario de Amazon EC2 para instancias de Linux para obtener información general.

Contenido• VPC y subredes (p. 3)• VPC predeterminadas y no predeterminadas (p. 3)• Tablas de ruteo (p. 4)• Acceder a Internet (p. 4)• Acceder a redes corporativas o domésticas (p. 8)• Acceder a servicios a través de AWS PrivateLink (p. 8)• Conexión de VPC y redes (p. 9)• Consideraciones sobre la red global privada de AWS (p. 10)• Plataformas admitidas (p. 10)• Recursos de Amazon VPC (p. 10)

VPC y subredesUna nube virtual privada (VPC) es una red virtual dedicada para su cuenta de AWS. Esta infraestructura enla nube está aislada lógicamente de otras redes virtuales de la nube de AWS. Por lo tanto, puede lanzar asu VPC recursos de AWS como, por ejemplo, instancias de Amazon EC2. Puede especificar un intervalode direcciones IP para la VPC, añadir subredes, asociar grupos de seguridad y configurar tablas de ruteo.

Una subred es un rango de direcciones IP en su VPC. Puede lanzar recursos de AWS a cualquier subredque especifique. Utilice una subred pública para los recursos que deben conectarse a Internet y unasubred privada para los recursos que no dispondrán de conexión a Internet.

Para proteger los recursos de AWS de cada subred, puede utilizar varias capas de seguridad, incluidosgrupos de seguridad y las listas de control de acceso (ACL) a la red.

Opcionalmente, puede asociar un bloque de CIDR IPv6 a la VPC y asignar direcciones IPv6 a lasinstancias de la VPC.

Más información

• Conceptos básicos de VPC y subredes (p. 91)• Privacidad del tráfico entre redes en Amazon VPC (p. 145)• Direcciones IP en su VPC (p. 123)

VPC predeterminadas y no predeterminadasSi su cuenta se creó después del 04-12-2013, incluirá una VPC predeterminada que tiene una subredpredeterminada en cada zona de disponibilidad. Las VPC predeterminadas ofrecen los beneficios de las

3



Amazon Virtual Private Cloud Guía del usuarioTablas de ruteo

características avanzadas de EC2-VPC y están listas para el uso. Si tiene una VPC predeterminada y noespecifica una subred al lanzar una instancia, la instancia se lanzará en la VPC predeterminada. No hacefalta tener conocimientos sobre la VPC de Amazon para lanzar instancias en la VPC predeterminada.

También puede crear su propia VPC y configurarla según sea necesario. Estas VPC se conocen comoVPC no predeterminadas. Las subredes creadas en la VPC no predeterminada y las subredes adicionalesque cree en su VPC predeterminada se denominan subredes no predeterminadas.

Más información

• VPC predeterminada y subredes predeterminadas (p. 115)• Introducción a Amazon VPC (p. 12)

Tablas de ruteoLas tablas de ruteo contienen conjuntos de reglas, denominadas rutas, que se utilizan para determinardónde se dirige el tráfico de red de su VPC. Puede asociar de forma explícita una subred con una tabla deruteo particular. De lo contrario, la subred se asocia de forma implícita con la tabla de ruteo principal.

Cada ruta de una tabla de ruteo especifica el rango de direcciones IP al que desea que vaya el tráfico (eldestino) y la gateway, la interfaz de red o la conexión a través de la cual enviar el tráfico (el destino).

Más información

• Tablas de ruteo (p. 220)

Acceder a InternetEs posible controlar el modo en que las instancias lanzadas en la VPC tienen acceso a los recursosexternos a la VPC.

La VPC predeterminada incluye un gateway de Internet, y las subredes predeterminadas son subredespúblicas. Las instancias que se lanzan en subredes predeterminadas tienen dirección IPv4 privada ydirección IPv4 pública. Dichas instancias pueden comunicarse con Internet a través del gateway deInternet. Un gateway de Internet permite que las instancias se conecten a Internet a través del límite de lared de Amazon EC2.

4

Amazon Virtual Private Cloud Guía del usuarioAcceder a Internet

De forma predeterminada, las instancias que se lanzan en subredes no predeterminadas disponende dirección IPv4 privada; sin embargo, no disponen de dirección IPv4 pública a no ser que asigneespecíficamente una en el lanzamiento o que modifique el atributo de dirección IP pública de la subred.Dichas instancias pueden comunicarse entre sí, pero no pueden tener acceso a Internet.

5


Puede habilitar el acceso a Internet para una instancia que se haya lanzado en una subred nopredeterminada. Para ello, adjunte un gateway de Internet a su VPC (siempre que su VPC no sea una VPCpredeterminada) y asocie una dirección IP elástica a la instancia.

6


De manera alternativa, para permitir que una instancia de su VPC inicie conexiones salientes a Internet ybloquear las conexiones entrantes no deseadas, puede utilizar un dispositivo de conversión de direccionesde red (NAT) para el tráfico IPv4. El dispositivo NAT asigna varias direcciones IPv4 privadas a una únicadirección IPv4 pública. Los dispositivos NAT tienen dirección IP elástica y están conectados a Internet através de gateways de Internet. Puede conectar una instancia de una subred privada a Internet a travésdel dispositivo NAT, que direcciona el tráfico desde la instancia al gateway de Internet y direcciona lasrespuestas a la instancia.

Si asocia un bloque de CIDR IPv6 a su VPC y asigna direcciones IPv6 a sus instancias, las instanciaspueden conectarse a Internet a través de IPv6 a través de una gateway de Internet. De manera alternativa,las instancias podrán iniciar conexiones salientes a Internet mediante IPv6 a través de un gateway deInternet de solo salida. Puesto que el tráfico IPv6 está aislado del tráfico IPv4, las tablas de ruteo debenincluir rutas separadas para el tráfico IPv6.

Más información

• Puertos de enlace a internet (p. 252)• Gateways de Internet de solo salida (p. 258)• NAT (p. 267)

7

Amazon Virtual Private Cloud Guía del usuarioAcceder a redes corporativas o domésticas

Acceder a redes corporativas o domésticasDe manera opcional, puede conectar su VPC a su propio centro de datos corporativo utilizando unaconexión de AWS Site-to-Site VPN de IPsec y, de este modo, convertir la nube de AWS en una ampliaciónde su centro de datos.

Una conexión Site-to-Site VPN consta de dos túneles VPN entre una gateway privada virtual o unagateway de tránsito en el lado de AWS y un dispositivo de gateway de cliente ubicado en su centro dedatos. El dispositivo de gateway del cliente es un dispositivo físico o dispositivo de software que configureen su lado de la conexión de Site-to-Site VPN.

Más información

• Guía del usuario de AWS Site-to-Site VPN• Transit Gateways (Gateways de tránsito)

Acceder a servicios a través de AWS PrivateLinkAWS PrivateLink es una tecnología escalable y de alta disponibilidad que le permite conectar su VPC deforma privada con servicios de AWS, servicios alojados en otras cuentas de AWS (servicios de punto deenlace de VPC) y servicios compatibles de socios de AWS Marketplace. Para comunicar con el servicio no

8

https://docs.aws.amazon.com/vpn/latest/s2svpn/

https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html

Amazon Virtual Private Cloud Guía del usuarioConexión de VPC y redes

necesita un gateway de Internet, un dispositivo NAT, una dirección IP pública, una conexión a AWS DirectConnect ni una conexión de AWS Site-to-Site VPN. El tráfico entre su VPC y el servicio no sale de la redde Amazon.

Para usar AWS PrivateLink, cree un punto de conexión de VPC de interfaz para un servicio de su VPC.Con ello se creará una interfaz de red elástica en su subred con una dirección IP privada que sirve comopunto de entrada al tráfico dirigido al servicio.

Puede crear su propio servicio basado en AWS PrivateLink (servicio de punto de enlace) y permitir queotros clientes de AWS obtengan acceso a él.

Más información

• Puntos de conexión de la VPC (p. 314)• Servicios de punto de enlace de la VPC (AWS PrivateLink) (p. 348)

Conexión de VPC y redesPuede crear una interconexión de VPC entre dos VPC que permite direccionar el tráfico entre ellas deforma privada. Las instancias de ambas VPC se pueden comunicar entre sí como si estuvieran en lamisma red.

También puede crear una gateway de tránsito y utilizarla para interconectar las VPC y las redeslocales. La gateway de tránsito actúa como un enrutador virtual regional para el tráfico que fluye entresus asociaciones, que puede incluir VPC, conexiones de VPN, gateways de AWS Direct Connect einterconexiones de gateways de tránsito.

Más información

• Guía de interconexión de VPC

9

https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html

Amazon Virtual Private Cloud Guía del usuarioConsideraciones sobre la red global privada de AWS

• Transit Gateways (Gateways de tránsito)

Consideraciones sobre la red global privada deAWS

AWS proporciona una red global privada de alto rendimiento y baja latencia que ofrece un entorno deinformática en la nube seguro para satisfacer sus necesidades de red. Las regiones de AWS estánconectadas a múltiples proveedores de servicios de Internet (ISP), así como a una red troncal globalprivada, lo que proporciona un mejor rendimiento de red para el tráfico entre regiones enviado por losclientes.

Tenga en cuenta las siguientes consideraciones:

• El tráfico que circula en una zona de disponibilidad, o entre las zonas de disponibilidad de todas lasregiones, se transfiere a través de la red global privada de AWS.

• El tráfico que circula entre las regiones siempre se transfiere a través de la red global privada de AWS,salvo en las Regiones de China.

Existen diversos factores que pueden causar la pérdida de paquetes de red, incluyendo las colisiones deflujos de red, los errores de nivel inferior (capa 2) y otros errores de red. Creamos y utilizamos nuestrasredes para minimizar la pérdida de paquetes. Nos encargamos de medir las tasas de pérdida de paquetes(PLR) en todo el núcleo global que conecta las regiones de AWS. Operamos la red troncal para obtener unvalor de p99 de la tasa PLR por hora inferior al 0,0001 %.

Plataformas admitidasLa versión original de Amazon EC2 admitía una red plana y sencilla que se compartía con los demásclientes. Dicha red se conocía como plataforma EC2-Classic. Las cuentas de AWS anteriores siguensiendo compatibles con esta plataforma y pueden lanzar instancias en EC2-Classic o en VPC. Las cuentascreadas a partir del 04/12/2013 solo son compatibles con EC2-VPC. Para obtener más información,consulte EC2-Classic en la Guía del usuario de Amazon EC2 para instancias de Linux.

Recursos de Amazon VPCEn la siguiente tabla se enumeran los recursos adicionales que pueden resultar útiles a medida que trabajacon Amazon VPC.

Recurso Descripción

Opciones de conectividad de AmazonVirtual Private Cloud

Proporciona información general de las opciones deconectividad de red.

Guía de interconexión de VPC Describe situaciones de conexión de emparejamiento de VPCy las configuraciones de emparejamiento compatibles.

Replicación de tráfico Describe las sesiones, los filtros y los objetivos de replicaciónde tráfico, y ayuda a los administradores a configurarlos.

Transit Gateways (Gateways de tránsito) Describe las gateways de tránsito y ayuda a losadministradores de red a configurarlas.

10


https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-classic-platform.html

https://docs.aws.amazon.com/aws-technical-content/latest/aws-vpc-connectivity-options/introduction.html

https://docs.aws.amazon.com/aws-technical-content/latest/aws-vpc-connectivity-options/introduction.html

https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html

https://docs.aws.amazon.com/vpc/latest/mirroring/what-is-traffic-mirroring.html


Amazon Virtual Private Cloud Guía del usuarioRecursos de Amazon VPC

Recurso Descripción

Guía de Transit Gateway NetworkManager

Describe Transit Gateway Network Manager y permiteconfigurar y monitorizar una red global.

Guía del usuario de AWS DirectConnect

Describe cómo utilizar AWS Direct Connect para crear unaconexión privada dedicada desde la red remota a su VPC.

Guía del administrador de AWS ClientVPN

Describe cómo crear y configurar un punto de enlace deClient VPN para permitir que los usuarios remotos accedan alos recursos de una VPC.

Amazon VPC forum Foro de la comunidad en el que se tratan aspectos técnicosrelacionados con Amazon VPC.

Centro de recursos introductorios Información que le ayudará a empezar a trabajar con AWS.

Centro de AWS Support Página de inicio de AWS Support.

Contacto Punto de contacto central para consultas relacionadas con lafacturación, las cuentas y los eventos de AWS.

11

https://docs.aws.amazon.com/vpc/latest/tgw/what-is-network-manager.html

https://docs.aws.amazon.com/vpc/latest/tgw/what-is-network-manager.html

https://docs.aws.amazon.com/directconnect/latest/UserGuide/


https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/


https://forums.aws.amazon.com/forum.jspa?forumID=58

https://aws.amazon.com/getting-started/

https://console.aws.amazon.com/support/home#/

https://aws.amazon.com/contact-us/

Amazon Virtual Private Cloud Guía del usuarioInformación general

Introducción a Amazon VPCPara comenzar a usar la Amazon VPC, puede crear una VPC no predeterminada. En los siguientes pasosse describe cómo utilizar el asistente de Amazon VPC para crear una VPC no predeterminada con unasubred pública, que es una subred que tiene acceso a Internet a través de una gateway de Internet. Acontinuación, puede iniciar una instancia en la subred y conectarse a ella.

Como alternativa, para comenzar a lanzar una instancia en su VPC predeterminada existente, consulteLanzamiento de una instancia EC2 en su VPC predeterminada.

Antes de utilizar Amazon VPC por primera vez, debe registrarse en Amazon Web Services (AWS). Alinscribirse, la cuenta de AWS se inscribe automáticamente en todos los servicios de AWS, incluidoAmazon VPC. Si todavía no ha creado una cuenta de AWS, vaya a https://aws.amazon.com/ y, acontinuación, elija Crear una cuenta gratuita.

Si desea utilizar una zona local para la VPC, cree una VPC y, a continuación, cree una subred en la zonalocal. Para obtener más información, consulte the section called “Creación de una VPC” (p. 100) y thesection called “Crear una subred en la VPC” (p. 102).

Temas• Información general (p. 12)• Paso 1: Creación de la VPC (p. 12)• Paso 2: Lanzar una instancia en su VPC (p. 14)• Paso 3: Asignar una dirección IP elástica a su instancia (p. 15)• Paso 4: Limpieza (p. 15)• Pasos siguientes (p. 16)• Introducción a IPv6 para Amazon VPC (p. 16)• Configuraciones del asistente de la consola de Amazon VPC (p. 21)

Información generalPara completar este ejercicio, realice lo siguiente:

• Crear una VPC no predeterminada con una única subred pública.• Lance una instancia de Amazon EC2 en su subred.• Asocie una dirección IP elástica a su instancia. Esto permite a la instancia obtener acceso a Internet.

Para obtener más información sobre cómo conceder permisos a los usuarios de IAM para trabajar con laAmazon VPC, consulte Administración de identidades y accesos para Amazon VPC (p. 147) y Ejemplosde políticas de Amazon VPC (p. 155).

Paso 1: Creación de la VPCEn este paso, utilizará el asistente de Amazon VPC en la consola de Amazon VPC para crear una VPC. Elasistente ejecuta los siguientes pasos por usted:

12

https://docs.aws.amazon.com/vpc/latest/userguide/default-vpc.html#launching-into

https://aws.amazon.com/

Amazon Virtual Private Cloud Guía del usuarioVer información de sus VPC

• Crea una VPC con un bloque de CIDR IPv4 /16 (una red con 65 536 direcciones IP privadas).• Asocia una gateway de Internet con la VPC.• Crea una subred IPv4 de tamaño /24 (rango de 256 direcciones IP privadas) en la VPC.• Crea una tabla de enrutamiento personalizada y la asocia con su subred para que el tráfico pueda fluir

entre la subred y la gateway de Internet.

Para crear una VPC con el asistente para Amazon VPC

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En la barra de navegación, en la parte superior derecha, anote la región de AWS en la que va a crear

la VPC. Asegúrese de continuar trabajando en la misma región en el resto del ejercicio, ya que nopodrá lanzar una instancia en su VPC desde una región distinta.

3. En el panel de navegación, elija VPC dashboard (Panel de VPC). En el panel, elija Launch VPCWizard (Lanzar asistente de VPC).

Note

No elija Your VPCs (Sus VPC) en el panel de navegación, ya que no podrá obtener acceso alasistente para la creación de VPC con el botón Create VPC (Crear VPC) de esta página.

4. Elija VPC con una sola subred pública y, a continuación, elija Seleccionar.5. En la página de configuración, escriba un nombre para su VPC en el campo VPC name como, por

ejemplo, my-vpc, y escriba un nombre para la subred en el campo Subnet name. Esto le ayudará aidentificar la VPC y la subred en la consola de Amazon VPC tras crearlas. Para este ejercicio, deje elresto de valores de configuración en la página y elija Crear VPC.

6. En una ventana de estado se muestra el trabajo en curso. Cuando haya terminado el trabajo, elija OKpara cerrar la ventana de estado.

7. La página Your VPCs muestra la VPC predeterminada y la VPC que acaba de crear. La VPC queacaba de crear es una VPC no predeterminada. Por lo tanto, la columna Default VPC muestra No.

Ver información de sus VPCUna vez creada la VPC, podrá ver información acerca de la subred, la gateway de Internet y las tablas deenrutamiento. La VPC que ha creado tiene dos tablas de ruteo: una tabla de ruteo principal predeterminadapara todas las VPC y una tabla de ruteo personalizada que se creó con el asistente. La tabla de ruteopersonalizada se asocia a su subred, lo que significa que las rutas de dicha tabla determina el modo enque fluye el tráfico de la subred. Si añade una nueva subred a su VPC, utiliza la tabla de ruteo principal deforma predeterminada.

Para ver la información de sus VPC

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Your VPCs. Anote el nombre y el ID de la VPC que creó (consulte las

columnas Name y VPC ID). Utilizará esta información más adelante para identificar los componentesasociados a su VPC.

3. En el panel de navegación, elija Subnets. La consola muestra la subred que se creó cuando creó suVPC. Puede identificar la subred por su nombre mediante la columna Name, o bien puede utilizar lainformación de VPC que obtuvo en el paso anterior y consultar la columna VPC.

4. En el panel de navegación, elija Internet Gateways. Encontrará la gateway de Internet asociada con suVPC consultando la columna VPC, que muestra el ID y el nombre de la VPC (si corresponde).

5. En el panel de navegación, elija Route Tables. La VPC tiene asociadas dos tablas de ruteo.Seleccione la tabla de ruteo personalizada (la columna Main muestra el valor No) y, a continuación,elija la pestaña Routes para mostrar la información de ruta en el panel de detalles:

13

https://console.aws.amazon.com/vpc/

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-regions-availability-zones.html


Amazon Virtual Private Cloud Guía del usuarioPaso 2: Lanzar una instancia en su VPC

• La primera fila de la tabla se corresponde con la ruta local, que permite que las instancias en la VPCse comuniquen. Esta ruta está presente en todas las tablas de ruteo y, por lo tanto, no se puedequitar.

• La segunda fila muestra la ruta que el asistente de Amazon VPC ha agregado para habilitar el flujodel tráfico con destino a internet (0.0.0.0/0) desde la subred a la gateway de Internet.

6. Seleccione la tabla de ruteo principal. Esta tabla de ruteo principal solamente tiene una ruta local.

Paso 2: Lanzar una instancia en su VPCCuando se lanza una instancia EC2 en una VPC, debe especificar la subred en la que desea lanzar lainstancia. En este caso, lanzará una instancia en la subred pública de la VPC que ha creado. Utilizará elasistente para el lanzamiento de Amazon EC2 en la consola de Amazon EC2 para lanzar su instancia.

Para lanzar una instancia EC2 en una VPC

1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En la barra de navegación, en la parte superior derecha, asegúrese de seleccionar la misma región en

la que creó su VPC.3. En el panel, elija Launch Instance.4. En la primera página del asistente, elija la AMI que desea utilizar. Para este ejercicio, elija una AMI de

Amazon Linux o una AMI de Windows.5. En la página Choose an Instance Type, puede seleccionar la configuración de hardware y el tamaño

de la instancia que se va a lanzar. De forma predeterminada, el asistente selecciona el primer tipo deinstancia disponible en función de la AMI que seleccionó. Puede dejar la selección predeterminada y,a continuación, elegir Next: Configure Instance Details.

6. En la página Configure Instance Details, seleccione la VPC que creó en la lista Network y seleccionela subred desde la lista Subnet. Deje el resto de los valores predeterminados y omita las páginassiguientes del asistente hasta llegar a la página Add Tags.

7. En la página Add Tags, podrá asignar a su instancia la etiqueta Name. Por ejemplo,Name=MyWebServer. Esto le ayudará a identificar la instancia en la consola de Amazon EC2 traslanzarla. Elija Next: Configure Security Group cuando haya terminado.

8. En la página Configure Security Group, el asistente define automáticamente el grupo de seguridadx del asistente de lanzamiento para que pueda conectarse a la instancia. Elija Review and Launch(Revisar y lanzar).

Important

El asistente crea una regla de grupo de seguridad que permite a todas las direcciones IP(0.0.0.0/0) acceder a su instancia mediante SSH o RDP. Esto es aceptable para estepequeño ejercicio, pero constituye una práctica peligrosa en entornos de producción. Enentornos de producción, se autorizaría el acceso a la instancia únicamente a una dirección IPo a un rango de direcciones IP específico.

9. En la página Review Instance Launch, elija Launch.10. En el cuadro de diálogo Select an existing key pair or create a new key pair, puede elegir un par de

claves existente o crear uno nuevo. Si decide crear un nuevo par de claves, asegúrese de descargarel archivo y almacenarlo en una ubicación segura. Necesitará el contenido de la clave privada paraconectarse a la instancia después de lanzarla.

Para lanzar la instancia, active la casilla de verificación de confirmación y, a continuación, elija LaunchInstances.

11. En la página de confirmación, elija View Instances para ver su instancia en la página Instances.Seleccione su instancia y consulte sus detalles en la pestaña Description. El campo Private IPsmuestra la dirección IP privada asignada a su instancia desde el rango de direcciones IP de su subred.

14

https://console.aws.amazon.com/ec2/

Amazon Virtual Private Cloud Guía del usuarioPaso 3: Asignar una dirección IP elástica a su instancia

Para obtener más información acerca de las opciones disponibles en el asistente para el lanzamiento deAmazon EC2, consulte Lanzar una instancia en la Guía del usuario de Amazon EC2 para instancias deLinux.

Paso 3: Asignar una dirección IP elástica a suinstancia

En el paso anterior lanzó su instancia en una subred pública: una subred con una ruta a una gateway deInternet. Sin embargo, la instancia de su subred también necesita una dirección IPv4 pública para podercomunicarse con Internet. De forma predeterminada, las instancias de VPC no predeterminadas no tienenasignada ninguna dirección IPv4 pública. En este paso, asignará una dirección IP elástica a su cuentapara, a continuación, asociarla a su instancia.

Para indicar y asignar una dirección IP elástica

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Elastic IPs.3. Elija Allocate new address (Asignar nueva dirección) y, a continuación, seleccione Allocate (Asignar).4. Seleccione la dirección IP elástica de la lista, elija Actions y, a continuación, elija Associate Address.5. Para Resource type (Tipo de recurso), asegúrese de que se seleccione Instance (Instancia).

Seleccione su instancia de la lista Instance (Instancia). Elija Associate (Asociar) cuando hayaterminado.

Ahora se puede acceder a su instancia desde Internet. Es posible conectarse a su instancia a través de sudirección IP elástica desde su red doméstica mediante SSH o a través del Escritorio remoto. Para obtenermás información acerca de cómo conectarse a una instancia de Linux, consulte Conectarse a la instanciade Linux en la Guía del usuario de Amazon EC2 para instancias de Linux. Para obtener más informaciónacerca de cómo conectarse a una instancia de Windows, consulte Conectarse a la instancia de Windowsen la Guía del usuario de Amazon EC2 para instancias de Windows.

Paso 4: LimpiezaPuede elegir seguir utilizando su instancia en su VPC o si no necesita la instancia puede terminarla yliberar su dirección IP elástica para evitar que se apliquen gastos adicionales. También puede eliminarsu VPC. Tenga en cuenta que no se le cobrará por las VPC y los componentes de VPC creados en esteejercicio (como, por ejemplo, las subredes o las tablas de ruteo).

Antes de poder eliminar una VPC, debe finalizar las instancias que se estén ejecutando en esta. Acontinuación, puede eliminar la VPC y sus componentes mediante la consola de VPC.

Para terminar su instancia, liberar su dirección IP elástica y eliminar su VPC

1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, seleccione Instances (Instancias).3. Seleccione su instancia, elija Actions, seleccione Instance State y, a continuación, elija Terminate.4. En el cuadro de diálogo, expanda la sección Release attached Elastic IPs y active la casilla de

verificación que encontrará junto a la dirección IP elástica. Elija Yes, Terminate.5. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.6. En el panel de navegación, elija Your VPCs.

15

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/launching-instance.html


https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AccessingInstances.html


https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/connecting_to_windows_instance.html



Amazon Virtual Private Cloud Guía del usuarioPasos siguientes

7. Seleccione la VPC; elija Actions y luego elija Delete VPC.8. Cuando se le pida confirmación, seleccione Delete VPC (Eliminar VPC).

Pasos siguientesDespués de crear una VPC no predeterminada, es posible que desee hacer lo siguiente:

• Agregar más subredes a su VPC. Para obtener más información, consulte Crear una subred en laVPC (p. 102).

• Habilite la compatibilidad con IPv6 para la VPC y las subredes. Para obtener más información, consulteAsociar un bloque de CIDR IPv6 con su VPC (p. 103) y Asociar un bloque de CIDR IPv6 con susubred (p. 104).

• Habilite instancias de una subred privada para acceder a Internet. Para obtener más información,consulte NAT (p. 267).

Introducción a IPv6 para Amazon VPCEn los siguientes pasos se describe cómo crear una VPC no predeterminada que admita direcciones IPv6.

Para completar este ejercicio, realice lo siguiente:

• Crear una VPC no predeterminada con un bloque de CIDR IPv6 y una única subred pública. Lassubredes le permiten agrupar instancias en función de sus necesidades operativas y de seguridad. Unasubred pública es una subred que tiene acceso a Internet a través de una gateway de Internet.

• Cree un grupo de seguridad para su instancia que permita el tráfico solo a través de puertos específicos.• Lanzar una instancia de Amazon EC2 en su subred y asociar una dirección IPv6 a dicha instancia

durante el lanzamiento. Las direcciones IPv6 son únicas de forma global y permiten que su instancia secomunique con internet.

• Puede solicitar un bloque de CIDR IPv6 para la VPC. Al seleccionar esta opción, puede establecerel grupo de bordes de red, que es la ubicación desde la que anunciamos el bloque de CIDR IPv6.Establecer el grupo de bordes de red limita el bloque de CIDR a este grupo.

Para obtener más información acerca de las direcciones IPv4 e IPv6, consulte Direcciones IP en su VPC.

Si desea utilizar una zona local para la VPC, cree una VPC y, a continuación, cree una subred en la zonalocal. Para obtener más información, consulte the section called “Creación de una VPC” (p. 100) y thesection called “Crear una subred en la VPC” (p. 102).

Tareas• Paso 1: Creación de la VPC (p. 16)• Paso 2: Crear un grupo de seguridad (p. 19)• Paso 3: Lanzar una instancia (p. 20)

Paso 1: Creación de la VPCEn este paso, utilizará el asistente de Amazon VPC en la consola de Amazon VPC para crear una VPC.Por defecto, el asistente ejecuta los siguientes pasos por usted:

• Crea una VPC con un bloque de CIDR IPv4 /16 y asocia un bloque de CIDR IPv6 /56 a la VPC. Paraobtener más información, consulte Su VPC. El tamaño del bloque de CIDR IPv6 es fijo (/56) y el rango

16

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#YourVPC

Amazon Virtual Private Cloud Guía del usuarioPaso 1: Creación de la VPC

de direcciones IPv6 se asigna automáticamente desde el grupo de direcciones IPv6 de Amazon (no esposible seleccionar el rango manualmente).

• Asocia una gateway de Internet con la VPC. Para obtener más información acerca de las gateways deInternet, consulte Gateways de Internet.

• Crea una subred con un bloque de CIDR IPv4 /24 y un bloque de CIDR IPv6 /64 en la VPC. El tamañodel bloque de CIDR IPv6 es fijo (/64).

• Crea una tabla de enrutamiento personalizada y la asocia con su subred para que el tráfico puedafluir entre la subred y la gateway de Internet. Para obtener más información acerca de las tablas deenrutamiento, consulte Tablas de enrutamiento.

• Asocia un bloque de CIDR IPv6 proporcionado por Amazon a un grupo de bordes de red. Paraobtener más información, consulte the section called “Ampliar los recursos de VPC a las zonaslocales” (p. 112).

Note

Este ejercicio aborda el primer escenario del asistente para la creación de VPC. Para obtener másinformación acerca de otros escenarios, consulte Escenarios y ejemplos.

Para crear una VPC en la zona de disponibilidad predeterminada

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En la barra de navegación, en la parte superior derecha, anote la región en la que va a crear la VPC.

Asegúrese de continuar trabajando en la misma región en el resto del ejercicio, ya que no podrá lanzaruna instancia en su VPC desde una región distinta. Para obtener más información, consulte Regionesy zonas de disponibilidad en la Guía del usuario de Amazon EC2 para instancias de Linux.

3. En el panel de navegación, elija VPC dashboard (Panel de VPC) y elija Launch VPC Wizard (Lanzarasistente de VPC).

Note


4. Elija la opción para la configuración que desea implementar, por ejemplo VPC with a Single PublicSubnet (VPC con una única subred pública), y elija Select (Seleccionar)

5. En la página de configuración, escriba un nombre para su VPC en VPC name como, por ejemplo, my-vpc, y escriba un nombre para la subred en Subnet name. Esto le ayudará a identificar la VPC y lasubred en la consola de Amazon VPC tras crearlas.

6. En el bloque de CIDR IPv4, puede dejar los valores predeterminados (10.0.0.0/16) o especificarvalores propios. Para obtener más información, consulte la sección sobre el tamaño de VPC.

En IPv6 CIDR block, elija Amazon-provided IPv6 CIDR block.7. En Public subnet's IPv4 CIDR, puede dejar los valores predeterminados o especificar valores propios.

En Public subnet's IPv6 CIDR, elija Specify a custom IPv6 CIDR. Puede dejar la pareja de valoreshexadecimales predeterminados para la subred IPv6 (00).

8. Deje el resto de opciones de configuración predeterminadas de la página y elija Create VPC.9. En una ventana de estado se muestra el trabajo en curso. Cuando haya terminado el trabajo, elija OK

para cerrar la ventana de estado.10. La página Your VPCs muestra la VPC predeterminada y la VPC que acaba de crear.

Para crear una VPC en una zona local

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

17

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenarios.html




https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#VPC_Sizing


Amazon Virtual Private Cloud Guía del usuarioPaso 1: Creación de la VPC

2. En la barra de navegación, en la parte superior derecha, anote la región en la que va a crear la VPC.Asegúrese de continuar trabajando en la misma región en el resto del ejercicio, ya que no podrá lanzaruna instancia en su VPC desde una región distinta. Para obtener más información, consulte Regionesy zonas de disponibilidad en la Guía del usuario de Amazon EC2 para instancias de Linux.

3. En el panel de navegación, elija VPC dashboard (Panel de VPC) y elija Launch VPC Wizard (Lanzarasistente de VPC).

Note


4. Elija la opción para la configuración que desea implementar, por ejemplo VPC with a Single PublicSubnet (VPC con una única subred pública), y elija Select (Seleccionar)

5. En la página de configuración, escriba un nombre para su VPC en VPC name como, por ejemplo, my-vpc, y escriba un nombre para la subred en Subnet name. Esto le ayudará a identificar la VPC y lasubred en la consola de Amazon VPC tras crearlas.

6. (En CIDR IPv4 block, especifique el bloque de CIDR. Para obtener más información, consulte Tamañode la VPC.

7. En IPv6 CIDR block, elija Amazon-provided IPv6 CIDR block.8. En Network Border Group (Grupo de bordes de red), elija el grupo desde el cuál AWS anuncia las

direcciones IP.9. Deje el resto de opciones de configuración predeterminadas de la página y elija Create VPC.10. En una ventana de estado se muestra el trabajo en curso. Cuando haya terminado el trabajo, elija OK

para cerrar la ventana de estado.11. La página Your VPCs muestra la VPC predeterminada y la VPC que acaba de crear.

Consultar información acerca de su VPCUna vez creada la VPC, podrá ver información acerca de la subred, la gateway a Internet y las tablasde ruteo. La VPC que ha creado tiene dos tablas de ruteo: una tabla de ruteo principal predeterminadapara todas las VPC y una tabla de ruteo personalizada que se creó con el asistente. La tabla de ruteopersonalizada se asocia a su subred, lo que significa que las rutas de dicha tabla determina el modo enque fluye el tráfico de la subred. Si añade una nueva subred a su VPC, utiliza la tabla de ruteo principal deforma predeterminada.

Para ver la información de sus VPC

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Your VPCs. Anote el nombre y el ID de la VPC que creó (consulte las

columnas Name y VPC ID). Esta información se utiliza más adelante para identificar los componentesasociados a su VPC.

Cuando utiliza Zonas locales, la entrada IPv6 (Grupo de bordes de red) indica el grupo de bordes dered de la VPC (por ejemplo, us-west-2-lax-1).

3. En el panel de navegación, elija Subnets. La consola muestra la subred que se creó cuando creó suVPC. Puede identificar la subred por su nombre mediante la columna Name, o bien puede utilizar lainformación de VPC que obtuvo en el paso anterior y consultar la columna VPC.

4. En el panel de navegación, elija Internet Gateways. Encontrará la gateway de Internet asociada con suVPC consultando la columna VPC, que muestra el ID y el nombre de la VPC (si corresponde).

5. En el panel de navegación, elija Route Tables. La VPC tiene asociadas dos tablas de ruteo.Seleccione la tabla de ruteo personalizada (la columna Main muestra el valor No) y, a continuación,elija la pestaña Routes para mostrar la información de ruta en el panel de detalles:

18






Amazon Virtual Private Cloud Guía del usuarioPaso 2: Crear un grupo de seguridad

• Las primeras dos filas de la tabla son las rutas locales que permiten que las instancias de la VPC secomuniquen mediante IPv4 e IPv6. Estas rutas no se pueden quitar.

• La siguiente fila muestra la ruta que el asistente de Amazon VPC ha añadido para habilitar el flujodel tráfico con destino a una dirección IPv4 externa a la VPC (0.0.0.0/0) desde la subred a lagateway de Internet.

• La siguiente fila muestra la ruta que permite el flujo del tráfico con destino a una dirección IPv6externa a la VPC (::/0) desde la subred a la gateway a Internet.

6. Seleccione la tabla de ruteo principal. Esta tabla de ruteo principal solamente tiene una ruta local.

Paso 2: Crear un grupo de seguridadUn grupo de seguridad actúa como un firewall virtual para controlar el tráfico a las instancias que tieneasociadas. Para utilizar un grupo de seguridad, añada las reglas entrantes que controlan el tráfico entrantea la instancia y las reglas salientes que controlan el tráfico saliente desde su instancia. Para asociar ungrupo de seguridad a una instancia, especifique el grupo de seguridad al lanzar la instancia.

La VPC incluye un grupo de seguridad predeterminado. Las instancias no asociadas a ningún otro grupode seguridad durante el lanzamiento se asociarán al grupo de seguridad predeterminado. En este ejercicio,creará un nuevo grupo de seguridad, WebServerSG, y especificará dicho grupo de seguridad al lanzar unainstancia en su VPC.

Crear el grupo de seguridad de WebServerSGPuede crear su grupo de seguridad mediante la consola de Amazon VPC.

Para crear el grupo de seguridad WebServerSG y añadir reglas

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, seleccione Security Groups, Create Security Group.3. En Group name, escriba WebServerSG como nombre del grupo de seguridad y proporcione una

descripción. De manera opcional, puede utilizar el campo Name tag para crear una etiqueta para elgrupo de seguridad con una clave de Name y un valor especificado.

4. Seleccione el ID de su VPC del menú VPC y elija Yes, Create.5. Seleccione el grupo de seguridad WebServerSG que acaba de crear (podrá ver su nombre en la

columna Group Name).6. En la pestaña Inbound Rules, elija Edit y use el procedimiento siguiente para añadir reglas para el

tráfico entrante:

a. En Type, elija HTTP y escriba ::/0 en el campo Source.b. Elija Add another rule, en Type elija HTTPS y, a continuación, escriba ::/0 en el campo Source.c. Elija Add another rule. Si va a lanzar una instancia de Linux, elija SSH en Type, o bien, si va a

lanzar una instancia de Windows, elija RDP. Escriba el rango de direcciones IPv6 públicas de lared en el campo Source. Si no conoce este rango de direcciones, puede utilizar ::/0 para esteejercicio.

Important

Si utiliza ::/0, todas las direcciones IPv6 podrán obtener acceso a su instanciamediante SSH o RDP. Esto es aceptable para este pequeño ejercicio, pero constituyeuna práctica peligrosa en entornos de producción. En entornos de producción, debeautorizar el acceso a su instancia únicamente a una dirección IP o a un rango dedirecciones IP específico.

d. Seleccione Save.

19


Amazon Virtual Private Cloud Guía del usuarioPaso 3: Lanzar una instancia

Paso 3: Lanzar una instanciaCuando se lanza una instancia EC2 en una VPC, debe especificar la subred en la que desea lanzar lainstancia. En este caso, lanzará una instancia en la subred pública de la VPC que ha creado. Utilice elasistente para el lanzamiento de Amazon EC2 de la consola de Amazon EC2 para lanzar la instancia.

Para asegurarse de que su instancia esté disponible desde Internet, asigne una dirección IPv6 desde elrango de subred a la instancia durante el lanzamiento. Esto garantiza que su instancia se pueda comunicarcon Internet a través de IPv6.

Para lanzar una instancia EC2 en una VPC

Antes de lanzar la instancia EC2 en la VPC, configure la subred de la VPC para que asigneautomáticamente direcciones IP IPv6. Para obtener más información, consulte the section called “Modificarel atributo de direcciones IPv6 de su subred” (p. 127).

1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En la barra de navegación, en la parte superior derecha, asegúrese de seleccionar la misma región en

la que creó su VPC y su grupo de seguridad.3. En el panel, elija Launch Instance.4. En la primera página del asistente, elija la AMI que va a utilizar. Para este ejercicio, se recomienda

elegir una AMI de Amazon Linux o una AMI de Windows.5. En la página Choose an Instance Type, puede seleccionar la configuración de hardware y el tamaño

de la instancia que se va a lanzar. De forma predeterminada, el asistente selecciona el primertipo de instancia disponible en función de la AMI que ha seleccionado. Puede dejar la selecciónpredeterminada y elegir Next: Configure Instance Details.

6. En la página Configure Instance Details, seleccione la VPC que creó en la lista Network y seleccionela subred desde la lista Subnet.

7. En Auto-assign IPv6 IP, elija Enable.8. Deje el resto de los valores predeterminados y omita las páginas siguientes del asistente hasta llegar a

la página Add Tags.9. En la página Add Tags, podrá asignar a su instancia la etiqueta Name. Por ejemplo,

Name=MyWebServer. Esto le ayudará a identificar la instancia en la consola de Amazon EC2 traslanzarla. Elija Next: Configure Security Group cuando haya terminado.

10. En la página Configure Security Group, el asistente define automáticamente el grupo de seguridadx del asistente de lanzamiento para que pueda conectarse a la instancia. En su lugar, elija la opciónSelect an existing security group, seleccione el grupo WebServerSG que creó previamente y, acontinuación, elija Review and Launch.

11. En la página Review Instance Launch, compruebe los detalles de la instancia y elija Launch.12. En el cuadro de diálogo Select an existing key pair or create a new key pair, puede elegir un par de

claves existente o crear uno nuevo. Si decide crear un nuevo par de claves, asegúrese de descargarel archivo y almacenarlo en una ubicación segura. Necesitará el contenido de la clave privada paraconectarse a la instancia después de lanzarla.

Para lanzar la instancia, active la casilla de verificación de confirmación y elija Launch Instances.13. En la página de confirmación, elija View Instances para ver su instancia en la página Instances.

Seleccione su instancia y consulte sus detalles en la pestaña Description. El campo Private IPsmuestra la dirección IPv4 privada asignada a su instancia desde el rango de direcciones IPv4 de susubred. El campo IPv6 IPs muestra la dirección IPv6 privada asignada a su instancia desde el rangode direcciones IPv6 de su subred.

Para obtener más información acerca de las opciones disponibles en el asistente para el lanzamiento deAmazon EC2, consulte Lanzar una instancia en la Guía del usuario de Amazon EC2 para instancias deLinux.

20


https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/launching-instance.html

Amazon Virtual Private Cloud Guía del usuarioConfiguraciones del asistente de la consola de Amazon VPC

Es posible conectarse a su instancia a través de su dirección IPv6 desde su red doméstica mediante SSHo a través del Escritorio remoto. El equipo local debe tener una dirección IPv6 y estar configurado parausar IPv6. Para obtener más información acerca de cómo conectarse a una instancia de Linux, consulteConectarse a la instancia de Linux en la Guía del usuario de Amazon EC2 para instancias de Linux. Paraobtener más información acerca de cómo conectarse a una instancia de Windows, consulte Conectarsea una instancia de Windows usando RDP en la Guía del usuario de Amazon EC2 para instancias deWindows.

Note

Si también desea que se pueda obtener acceso a su instancia a través de una dirección IPv4mediante Internet, SSH o RDP, debe asociar una dirección IP elástica (dirección IPv4 públicaestática) a su instancia y ajustar las reglas del grupo de seguridad para permitir el accesomediante IPv4. Para obtener más información, consulte Introducción a Amazon VPC (p. 12).

Configuraciones del asistente de la consola deAmazon VPC

Puede utilizar el Asistente de la consola de Amazon VPC para crear una de las siguientes configuracionesde VPC no predeterminadas.

Temas• VPC con una única subred pública (p. 21)• VPC con subredes privadas y públicas (NAT) (p. 29)• VPC con subredes públicas y privadas y acceso de AWS Site-to-Site VPN (p. 47)• VPC solo con una subred privada y acceso de AWS Site-to-Site VPN (p. 63)

VPC con una única subred públicaLa configuración de este escenario incluye una nube virtual privada (VPC) con una única subred y unpuerto de enlace a Internet para permitir la comunicación a través de Internet. Se recomienda estaconfiguración si necesita ejecutar aplicaciones web públicas y de una sola capa como, por ejemplo, blogs ositios web sencillos.

De forma opcional, este escenario también se puede configurar para IPv6: puede utilizar el asistentede VPC para crear una VPC y una subred con los bloques de CIDR de IPv6 asociados. Las instanciaslanzadas en la subred pública podrán recibir direcciones IPv6 y comunicarse a través de IPv6.Para obtener más información acerca de las direcciones IPv4 e IPv6, consulte Direcciones IP en suVPC (p. 123).

Para obtener más información acerca de la administración del software de instancia EC2, veaAdministración del software en una instancia de Linux en la Guía del usuario de Amazon EC2 parainstancias de Linux.

Contenido• Información general (p. 21)• Direccionamiento (p. 23)• Seguridad (p. 24)

Información generalEl siguiente diagrama muestra los componentes clave de la configuración de este escenario.

21




https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/managing-software.html

Amazon Virtual Private Cloud Guía del usuarioVPC con una única subred pública

Note

Si completó Introducción a Amazon VPC (p. 12), ya ha implementado este escenario con elasistente para la creación de VPC de la consola de Amazon VPC.

La configuración de este escenario incluye lo siguiente:

• Nube virtual privada (VPC) con bloque de CIDR IPv4 de tamaño /16 (ejemplo: 10.0.0.0/16). Estoproporciona 65 536 direcciones IPv4 privadas.

• Subred con bloque de CIDR IPv4 de tamaño /24 (ejemplo: 10.0.0.0/24). Esto proporciona 256direcciones IPv4 privadas.

• Un gateway de Internet. Esto conecta la VPC a Internet y a otros servicios de AWS.• Instancia con dirección IPv4 privada en el rango de subred (ejemplo: 10.0.0.6), que permite que la

instancia se comunique con otras instancias de la VPC y con una dirección IPv4 elástica (ejemplo:198.51.100.2), que es una dirección IPv4 pública que permite a la instancia el acceso a internet y que sepueda acceder a esta desde internet.

• Una tabla de ruteo personalizada asociada a la subred. Las entradas de la tabla de ruteo permiten alas instancias de la subred utilizar IPv4 para comunicarse con las demás instancias de la VPC y paracomunicarse directamente a través de internet. La subred asociada a la tabla de ruteo con ruta al puertode enlace a Internet se conoce como subred pública.

Para obtener más información acerca de las subredes, consulte VPC y subredes (p. 91). Paraobtener más información acerca de los puertos de enlace a Internet, consulte Puertos de enlace ainternet (p. 252).

Información general de IPv6

Opcionalmente, puede habilitar IPv6 para este escenario. Además de los componentes mostrados arriba,la configuración incluye lo siguiente:

22


• Un bloque de CIDR IPv6 de tamaño /56 asociado a la VPC (por ejemplo: 2001:db8:1234:1a00::/56).Amazon asigna automáticamente el CIDR; no podrá elegir el rango por sí mismo.

• Un bloque de CIDR IPv6 de tamaño /64 asociado a la subred pública (por ejemplo:2001:db8:1234:1a00::/64). Puede elegir el rango de su subred en el rango asignado a la VPC. No esposible elegir el tamaño del bloque de CIDR IPv6 de la subred.

• Una dirección IPv6 asignada a la instancia desde el rango de subred (ejemplo:2001:db8:1234:1a00::123).

• Entradas de la tabla personalizada que permiten a las instancias de la VPC utilizar IPv6 paracomunicarse entre si y directamente a través de internet.

DireccionamientoSu VPC tiene un router implícito (tal como se muestra en el diagrama de configuración anterior). En esteescenario, el asistente para la creación de VPC crea una tabla de ruteo personalizada que direccionatodo el tráfico con destino a una dirección externa a la VPC a la gateway de Internet para, a continuación,asociar dicha tabla de ruteo a la subred.

La siguiente tabla muestra la tabla de ruteo para del ejemplo del diagrama de configuración anterior. Laprimera fila es la entrada predeterminada para el direccionamiento IPv4 local de la VPC. Esta entradapermite a las instancias de esta VPC comunicarse entre sí. La segunda entrada dirige el resto del tráfico dela subred IPv4 a la gateway de internet (por ejemplo, igw-1a2b3c4d).

23


Destino Objetivo

10.0.0.0/16 local

0.0.0.0/0 igw-id

Direccionamiento de IPv6

Si asocia un bloque de CIDR IPv6 con su VPC y su subred, su tabla de ruteo debe incluir rutas separadaspara el tráfico IPv6. La tabla siguiente muestra la tabla de ruteo personalizada para este escenario sielige habilitar la comunicación IPv6 en su VPC. La segunda fila es la ruta predeterminada que se añadeautomáticamente para el direccionamiento local en la VPC a través de IPv6. La cuarta entrada direccionatodo el resto del tráfico de la subred IPv6 a la gateway de internet.

Destino Objetivo

10.0.0.0/16 local

2001:db8:1234:1a00::/56 local

0.0.0.0/0 igw-id

::/0 igw-id

SeguridadAWS cuenta con dos características que puede usar para aumentar la seguridad de la VPC: los gruposde seguridad y las ACL de red. Los grupos de seguridad controlan el tráfico de entrada y salida de lasinstancias, mientras que las ACL de red controlan el tráfico de entrada y salida de las subredes. En lamayoría de los casos, los grupos de seguridad se ajustarán a sus necesidades. No obstante, puede usartambién las ACL de red si desea agregar un nivel de seguridad adicional en la VPC. Para obtener másinformación, consulte Privacidad del tráfico entre redes en Amazon VPC (p. 145).

Para este escenario, se utiliza un grupo de seguridad, pero no una ACL de red. Si desea utilizar unaACL de red, consulte Reglas de ACL de red recomendadas para una VPC con una única subredpública (p. 26).

La VPC incluye un grupo de seguridad predeterminado (p. 166). Una instancia que se lanza en la VPCse asocia automáticamente al grupo de seguridad predeterminado si no especifica ningún grupo deseguridad predeterminado durante el lanzamiento. Puede añadir reglas concretas al grupo de seguridadpredeterminado; sin embargo, es posible que las reglas no sean aptas para otras instancias que lance enla VPC. En su lugar, se recomienda crear un grupo de seguridad personalizado para su servidor web.

Para este escenario, cree un grupo de seguridad denominado WebServerSG. Cuando cree un grupode seguridad, este tendrá una regla entrante sencilla que permite el tráfico saliente procedente de lasinstancias. Debe modificar las reglas para permitir el tráfico entrante y restringir el tráfico saliente segúnsea necesario. Este grupo de seguridad se especifica al lanzar las instancias en la VPC.

A continuación se describen las reglas y salientes para el tráfico IPv4 del grupo de seguridadWebServerSG.

Entrada

24


Fuente Protocolo Rango depuerto

Comentarios

0.0.0.0/0 TCP 80 Permite el acceso HTTP entrante alos servidores web desde cualquierdirección IPv4.

0.0.0.0/0 TCP 443 Permite el acceso HTTPS entrante alos servidores web desde cualquierdirección IPv4

Rango de direcciones IPv4públicas de su red

TCP 22 (Instancias de Linux) Permiteel acceso SSH entrante desdesu red a través de IPv4. Puedeobtener la dirección IPv4 públicade su equipo local usando unservicio como, por ejemplo, http://checkip.amazonaws.com o https://checkip.amazonaws.com. Si seconecta a través de un ISP oprotegido por su firewall sin unadirección IP estática, deberáencontrar el rango de direcciones IPutilizadas por los equipos cliente.


TCP 3389 (Instancias de Windows) Permite elacceso RDP entrante desde su red através de IPv4.

ID del grupo de seguridad (sg-xxxxxxxx).

Todos Todos (Opcional) Permite el tráfico entrantede otras instancias asociadas a estegrupo de seguridad. Esta regla seañade automáticamente al grupode seguridad predeterminado dela VPC. Por lo tanto, en todos losgrupos de seguridad que cree,deberá añadir manualmente laregla para que permita este tipo decomunicación.

Saliente (opcional)

Destino Protocolo Rango depuerto

Comentarios

0.0.0.0/0 Todos Todos Regla predeterminada para permitirel acceso a cualquier direcciónIPv4. Si desea que su servidor webinicie el tráfico saliente, por ejemplo,para obtener actualizaciones desoftware, puede dejar la reglasaliente predeterminada. De locontrario, puede quitar esta regla.

Reglas de grupo de seguridad para IPv6

Si asocia un bloque de CIDR IPv6 a su VPC y su subred, debe añadir reglas separadas a su grupode seguridad para controlar el tráfico IPv6 entrante y saliente de su instancia de servidor web. En este

25

http://checkip.amazonaws.com


https://checkip.amazonaws.com



escenario, el servidor web podrá recibir todo el tráfico de internet a través de IPv6, así como el tráfico SSHo RDP de su red local a través de IPv6.

A continuación se detallan las reglas específicas de IPv6 para el grupo de seguridad WebServerSG(adicionales a las reglas descritas anteriormente).

Entrada


Comentarios

::/0 TCP 80 Permite el acceso HTTP entrante alos servidores web desde cualquierdirección IPv6.

::/0 TCP 443 Permite el acceso HTTPS entrante alos servidores web desde cualquierdirección IPv6.

Rango de direcciones IPv6 de sured

TCP 22 (Instancias de Linux) Permite elacceso SSH entrante desde su red através de IPv6.



Saliente (opcional)


Comentarios

::/0 Todos Todos Regla predeterminada para permitirel acceso a cualquier direcciónIPv6. Si desea que su servidor webinicie el tráfico saliente, por ejemplo,para obtener actualizaciones desoftware, puede dejar la reglasaliente predeterminada. De locontrario, puede quitar esta regla.

Reglas de ACL de red recomendadas para una VPC con una única subredpública

La tabla siguiente muestra las reglas que recomendamos. Las reglas bloquean todo el tráfico excepto elexplícitamente necesario.

Inbound

Rule # Source IP Protocol Port Allow/Deny Comments

100 0.0.0.0/0 TCP 80 PERMITIR Permite el tráfico HTTPentrante de cualquierdirección IPv4.

26


110 0.0.0.0/0 TCP 443 PERMITIR Permite el tráfico HTTPSentrante de cualquierdirección IPv4.

120 Rango dedireccionesIPv4públicasde la reddoméstica

TCP 22 PERMITIR Permite el tráfico SSHentrante de su reddoméstica (a través de lagateway de Internet).


TCP 3389 PERMITIR Permite el tráfico RDPentrante de su reddoméstica (a través de lagateway de Internet).

140 0.0.0.0/0 TCP 32768-65535 PERMITIR Permite el tráfico de retornoentrante de hosts deInternet que respondena las solicitudes que seoriginan en la subred.

Este rango se proporcionasolo como ejemplo. Paraobtener información acercade la elección de los puertosefímeros correctos parasu configuración, consultePuertos efímeros (p. 182).

* 0.0.0.0/0 Todos Todos DENEGAR Deniega todo el tráfico IPv4entrante no controlado porninguna regla precedente(no modificable).

Outbound

Rule # Dest IP Protocol Port Allow/Deny Comments

100 0.0.0.0/0 TCP 80 PERMITIR Permite el tráfico HTTPsaliente de la subred aInternet.

110 0.0.0.0/0 TCP 443 PERMITIR Permite el tráfico HTTPSsaliente de la subred aInternet.

27


120 0.0.0.0/0 TCP 32768-65535 PERMITIR Permite las respuestassalientes a clientes deInternet (por ejemplo,al ofrecer páginas weba usuarios que visitanlos servidores web de lasubred).


* 0.0.0.0/0 Todos Todos DENEGAR Deniega todo el tráfico IPv4saliente no controlado porninguna regla precedente(no modificable).

Reglas de ACL de red recomendadas para IPv6

Si implementó la compatibilidad con el tráfico IPv6 y creó una VPC y una subred con bloques de CIDRIPv6 asociados, deberá añadir reglas separadas a las ACL de red para controlar el tráfico IPv6 entrante ysaliente.

A continuación se detallan las reglas específicas de tráfico IPv6 para las ACL de red (adicionales a lasreglas anteriores).

Inbound


150 ::/0 TCP 80 PERMITIR Permite el tráfico HTTPentrante de cualquierdirección IPv6.

160 ::/0 TCP 443 PERMITIR Permite el tráfico HTTPSentrante de cualquierdirección IPv6.

170 Rango dedireccionesIPv6 dela reddoméstica




190 ::/0 TCP 32768-65535 PERMITIR Permite el tráfico de retornoentrante de hosts deInternet que responden

28

Amazon Virtual Private Cloud Guía del usuarioVPC con subredes privadas y públicas (NAT)

a las solicitudes que seoriginan en la subred.


* ::/0 Todos Todos DENEGAR Deniega todo el tráfico IPv6entrante no controlado porninguna regla precedente(no modificable).

Outbound


130 ::/0 TCP 80 PERMITIR Permite el tráfico HTTPsaliente de la subred aInternet.

140 ::/0 TCP 443 PERMITIR Permite el tráfico HTTPSsaliente de la subred aInternet.

150 ::/0 TCP 32768-65535 PERMITIR Permite las respuestassalientes a clientes deInternet (por ejemplo,al ofrecer páginas weba usuarios que visitanlos servidores web de lasubred).


* ::/0 Todos Todos DENEGAR Deniega todo el tráfico IPv6saliente no controlado porninguna regla precedente(no modificable).

VPC con subredes privadas y públicas (NAT)La configuración de este escenario incluye una nube virtual privada (VPC) con una subred pública y unasubred privada. Este escenario se recomienda si desea ejecutar una aplicación web pública y, a la vez,mantener los servidores back-end a los que no se puede obtener acceso de forma pública. Un ejemplocomún es un sitio web multinivel, con los servidores web en una subred pública y los servidores de base dedatos en una subred privada. Puede configurar la seguridad y el direccionamiento para que los servidoresweb se puedan comunicar con los servidores de base de datos.

29


Las instancias de la subred pública pueden enviar tráfico de salida directamente a Internet, mientras quelas instancias en la subred privada no pueden. En cambio, las instancias de la subred privada puedenobtener acceso a Internet utilizando una gateway de traducción de dirección de red (NAT) que reside enla subred pública. Los servidores de base de datos pueden conectarse a Internet para las actualizacionesde software a través de la gateway NAT, pero Internet no puede establecer conexiones a los servidores debase de datos.

Note

También puede utilizar el asistente de VPC para configurar una VPC con una instancia NAT;no obstante, se recomienda utilizar una gateway NAT. Para obtener más información, consulteGateways NAT (p. 268).

De forma opcional, este escenario también se puede configurar para IPv6: puede utilizar el asistente deVPC para crear una VPC y subredes con los bloques de CIDR de IPv6 asociados. Las instancias lanzadasen las subredes podrán recibir direcciones IPv6 y comunicarse a través de IPv6. Las instancias de lasubred privada pueden utilizar un puerto de enlace a Internet de solo salida para conectarse a Interneta través de IPv6, pero Internet no puede establecer conexiones a las instancias privadas a través deIPv6. Para obtener más información acerca de las direcciones IPv4 e IPv6, consulte Direcciones IP en suVPC (p. 123).


Contenido• Información general (p. 30)• Direccionamiento (p. 33)• Seguridad (p. 35)• Implementar el escenario 2 (p. 38)• Implementar el escenario 2 con una instancia NAT (p. 38)• Reglas ACL de red recomendadas para una VPC con subredes públicas y privadas (NAT) (p. 39)


30




• Una VPC con bloque de CIDR IPv4 de tamaño /16 (ejemplo: 10.0.0.0/16). Esto proporciona 65 536direcciones IPv4 privadas.

• Una subred pública con bloque de CIDR IPv4 de tamaño /24 (ejemplo: 10.0.0.0/24). Esto proporciona256 direcciones IPv4 privadas. Una subred pública es una subred asociada a la tabla de ruteo con ruta alpuerto de enlace a Internet.

• Una subred privada con bloque de CIDR IPv4 de tamaño /24 (ejemplo: 10.0.1.0/24). Esto proporciona256 direcciones IPv4 privadas.

• Una gateway de Internet. Esto conecta la VPC a Internet y a otros servicios de AWS.• Instancias con direcciones IPv4 privadas en el rango de la subred (ejemplos: 10.0.0.5, 10.0.1.5). Esto les

permite comunicarse entre sí y con otras instancias en la VPC.• Instancias en la subred pública con direcciones IPv4 elásticas (por ejemplo: 198.51.100.1), que son

direcciones IPv4 públicas que les permiten estar accesibles desde Internet. Las instancias pueden tenerdirecciones IP públicas asignadas en el lanzamiento en lugar de direcciones IP elásticas. Las instanciasde la subred privada con servidores back-end que no necesitan aceptar el tráfico entrante de Internety, por lo tanto, no tienen direcciones IP públicas; sin embargo, pueden enviar solicitudes a Internetmediante la gateway NAT (consulte el siguiente punto).

• Una gateway NAT con su propia dirección IPv4 elástica. Las instancias de la subred privada puedenenviar solicitudes a Internet mediante la gateway NAT través de IPv4 (por ejemplo, para actualizacionesde software).

• Una tabla de ruteo personalizada asociada a la subred pública. Esta tabla de ruteo contiene una entradaque permite que las instancias de la subred se comuniquen con otras instancias de la VPC a través de

31


IPv4 y una entrada que permite que las instancias de la subred se comuniquen directamente con Interneta través de IPv4.

• La tabla de ruteo principal asociada a una subred privada. La tabla de ruteo contiene una entrada quepermite que las instancias de la subred se comuniquen con otras instancias de la VPC a través de IPv4y una entrada que permite que las instancias de la subred se comuniquen con Internet mediante lagateway NAT a través de IPv4.

Para obtener más información acerca de las subredes, consulte VPC y subredes (p. 91). Paraobtener más información acerca de los puertos de enlace a Internet, consulte Puertos de enlace ainternet (p. 252). Para obtener más información acerca de las gateways NAT, consulte GatewaysNAT (p. 268).



• Un bloque de CIDR IPv6 de tamaño /56 asociado a la VPC (por ejemplo: 2001:db8:1234:1a00::/56).Amazon asigna automáticamente el CIDR; no podrá elegir el rango por sí mismo.

• Un bloque de CIDR IPv6 de tamaño /64 asociado a la subred pública (por ejemplo:2001:db8:1234:1a00::/64). Puede elegir el rango de su subred en el rango asignado a la VPC. No esposible elegir el tamaño del bloque de CIDR IPv6 de la VPC.

• Un bloque de CIDR IPv6 de tamaño /64 asociado a la subred privada (por ejemplo:2001:db8:1234:1a01::/64). Puede elegir el rango de su subred en el rango asignado a la VPC. No esposible elegir el tamaño del bloque de CIDR IPv6 de la subred.

• Las direcciones IPv6 asignadas a las instancias desde el rango de subred (ejemplo:2001:db8:1234:1a00::1a).

• Un puerto de enlace a Internet de solo salida. Esto permitirá a las instancias de la subred privada enviarsolicitudes a Internet a través de IPv6 (por ejemplo, para actualizaciones de software). Se requiere unpuerto de enlace a Internet de solo salida si desea que las instancias de la subred privada puedan iniciarla comunicación con Internet a través de IPv6. Para obtener más información, consulte Gateways deInternet de solo salida (p. 258).

• Entradas de la tabla personalizada que permiten a las instancias de la subred pública utilizar IPv6 paracomunicarse entre si y directamente a través de Internet.

• Las entradas de tabla de ruteo en la tabla de ruteo principal que permiten que las instancias de la subredprivada utilicen IPv6 para comunicarse entre sí, así como para comunicarse con Internet a través de unpuerto de enlace a Internet de solo salida.

32


DireccionamientoEn este escenario, el asistente de VPC actualiza la tabla de ruteo principal utilizada con la subred privada,y crea una tabla de ruteo personalizada y la asocia a la subred pública.

En este escenario, todo el tráfico de cada subred vinculado a AWS (por ejemplo, con los puntos de enlacede Amazon EC2 o Amazon S3) pasa a través de la gateway de Internet. Los servidores de base de datosde la subred privada no pueden recibir tráfico de Internet directamente porque no tienen direcciones IPelásticas. Sin embargo, los servidores de base de datos pueden enviar y recibir tráfico de Internet a travésdel dispositivo NAT en la subred pública.

Las subredes adicionales que cree utilizarán la tabla de ruteo principal de forma predeterminada, lo quesignifica que son subredes privadas de forma predeterminada. Si desea hacer una subred pública, siemprepuede cambiar la tabla de ruteo con la que esté asociada.

Las siguientes tablas describen las tablas de ruteo para este escenario.

Tabla de enrutamiento principal

La primera fila es la entrada predeterminada para el direccionamiento local de la VPC. Esta entradapermite a las instancias de la VPC comunicarse entre sí. La segunda entrada envía el resto del tráfico de lasubred a la gateway NAT (por ejemplo, nat-12345678901234567).

33


Destino Objetivo

10.0.0.0/16 local

0.0.0.0/0 nat-gateway-id

Tabla de enrutamiento personalizadaLa primera fila es la entrada predeterminada para el direccionamiento local de la VPC. Esta entradapermite a las instancias de esta VPC comunicarse entre sí. La segunda entrada direcciona el resto deltráfico de la subred a Internet a través del puerto de enlace a Internet (por ejemplo, igw-1a2b3d4d).

Destino Objetivo

10.0.0.0/16 local

0.0.0.0/0 igw-id

Direccionamiento de IPv6Si asocia un bloque de CIDR IPv6 con su VPC y sus subredes, sus tablas de ruteo deben incluir rutasseparadas para el tráfico IPv6. Las tablas siguientes muestran las tablas de ruteo personalizadas para esteescenario si elige habilitar la comunicación IPv6 en su VPC.


La segunda fila es la ruta predeterminada que se añade automáticamente para el direccionamiento localen la VPC a través de IPv6. La cuarta entrada direcciona todo el resto del tráfico de la subred IPv6 alpuerto de enlace a Internet de solo salida.

Destino Objetivo

10.0.0.0/16 local

2001:db8:1234:1a00::/56 local


::/0 egress-only-igw-id

Tabla de enrutamiento personalizada

La segunda fila es la ruta predeterminada que se añade automáticamente para el direccionamiento localen la VPC a través de IPv6. La cuarta entrada direcciona todo el resto del tráfico de la subred IPv6 alpuerto de enlace a Internet.

Destino Objetivo

10.0.0.0/16 local

2001:db8:1234:1a00::/56 local

0.0.0.0/0 igw-id

::/0 igw-id

34



Para el escenario 2, utilizará los grupos de seguridad, pero no las ACL de red. Si desea utilizar una ACLde red, consulte Reglas ACL de red recomendadas para una VPC con subredes públicas y privadas(NAT) (p. 39).

La VPC incluye un grupo de seguridad predeterminado (p. 166). Una instancia que se lanza en la VPC seasocia automáticamente al grupo de seguridad predeterminado si no especifica ningún grupo de seguridadpredeterminado durante el lanzamiento. Para este escenario, recomendamos crear los siguientes gruposde seguridad en lugar de utilizar el grupo de seguridad predeterminado:

• WebServerSG: especifique este grupo de seguridad al lanzar los servidores web en la subred pública.• DBServerSG: especifique este grupo de seguridad al lanzar los servidores de base de datos en la

subred privada.

Las instancias asignadas a un grupo de seguridad pueden estar en distintas subredes. Sin embargo, eneste escenario, cada grupo de seguridad corresponde al tipo de función que desempeña una instancia, ycada función requiere que una instancia esté en una subred determinada. Por lo tanto, en este escenario,todas las instancias asignadas a un grupo de seguridad estarán en la misma subred.

La siguiente tabla describe las reglas recomendadas para el grupo de seguridad WebServerSG, quepermiten a los servidores web recibir el tráfico de Internet, así como el tráfico SSH y RDP procedente de sured. Los servidores web también pueden iniciar solicitudes de lectura y escritura en los servidores de basesde datos de la subred privada, así como enviar tráfico a Internet; por ejemplo, para obtener actualizacionesde software. Puesto que el servidor web no inicia ninguna otra comunicación saliente, se ha quitado laregla saliente predeterminada.

Note

Estas recomendaciones incluyen tanto acceso a SSH como a RDP, así como acceso a MicrosoftSQL Server y a MySQL. En su caso, puede que solo necesite reglas para Linux (SSH y MySQL) oWindows (RDP y Microsoft SQL Server).

WebServerSG: reglas recomendadas

Entrada


Comentarios


0.0.0.0/0 TCP 443 Permite el acceso HTTPS entrante alos servidores web desde cualquierdirección IPv4.

Rango de direcciones IPv4públicas de su red doméstica

TCP 22 Permite el acceso SSH entrantea las instancias de Linux desde

35


la red doméstica (a través delpuerto de enlace a Internet).Puede obtener la dirección IPv4pública de su equipo local usandoun servicio como, por ejemplo,http://checkip.amazonaws.com ohttps://checkip.amazonaws.com.Si se conecta a través de un ISPo protegido por su firewall sinuna dirección IP estática, deberáencontrar el rango de direcciones IPutilizadas por los equipos cliente.

Rango de direcciones IPv4públicas de su red doméstica

TCP 3389 Permite el acceso RDP entrante alas instancias de Windows desde lared doméstica (a través del puerto deenlace a Internet).

Salida


Comentarios

ID del grupo de seguridadDBServerSG

TCP 1433 Permite el acceso saliente deMicrosoft SQL Server a losservidores de base de datosasignados al grupo de seguridadDBServerSG.


TCP 3306 Permite el acceso saliente de MySQLa los servidores de base de datosasignados al grupo de seguridadDBServerSG.

0.0.0.0/0 TCP 80 Permite el acceso HTTP saliente acualquier dirección IPv4.

0.0.0.0/0 TCP 443 Permite el acceso HTTPS saliente acualquier dirección IPv4.

La siguiente tabla describe las reglas recomendadas para el grupo de seguridad DBServerSG, quepermiten las solicitudes de las bases de datos de lectura o escritura procedentes de los servidores web.Los servidores de base de datos también pueden iniciar el tráfico vinculado a Internet (la tabla de ruteoenvía ese tráfico a la gateway NAT, que lo reenvía a Internet a través del puerto de enlace a Internet).

DBServerSG: reglas recomendadas

Entrada


Comentarios

ID del grupo de seguridadWebServerSG

TCP 1433 Permite el acceso entrante deMicrosoft SQL Server desde losservidores web asociados al grupode seguridad WebServerSG.


TCP 3306 Permite el acceso entrante delservidor MySQL desde los servidores

36




web asociados al grupo de seguridadWebServerSG.

Salida


Comentarios

0.0.0.0/0 TCP 80 Permite el acceso saliente de HTTPa Internet a través de IPv4 (porejemplo, para actualizaciones desoftware).

0.0.0.0/0 TCP 443 Permite el acceso saliente de HTTPSa Internet a través de IPv4 (porejemplo, para actualizaciones desoftware).

(Opcional) El grupo de seguridad predeterminado de una VPC tiene reglas que permiten, de formaautomática, que las instancias asignadas se comuniquen entre sí. Para permitir ese tipo de comunicaciónpara un grupo de seguridad personalizado, debe añadir las siguientes reglas:

Entrada


Comentarios

El ID del grupo de seguridad Todos Todos Permite el tráfico entrante desdeotras instancias asignadas a estegrupo de seguridad.

Salida


Comentarios

El ID del grupo de seguridad Todos Todos Permite el tráfico saliente a otrasinstancias asignadas a este grupo deseguridad.

(Opcional) Si lanza un host bastión en su subred pública para utilizarlo como proxy para tráfico SSH o RDPdesde su red doméstica a su subred privada, añada una regla al grupo de seguridad DBServerSG quepermita tráfico SSH o RDP de entrada desde la instancia bastión o su grupo de seguridad asociado.

Reglas de grupo de seguridad para IPv6Si asocia un bloque de CIDR IPv6 a su VPC y sus subredes, debe añadir reglas separadas a sus gruposde seguridad WebServerSG y DBServerSG para controlar el tráfico IPv6 entrante y saliente de susinstancias. En este escenario, los servidores web podrán recibir todo el tráfico de Internet a través de IPv6,así como el tráfico SSH o RDP de su red local a través de IPv6. Asimismo, pueden iniciar tráfico IPv6saliente a Internet. Los servidores de base de datos pueden iniciar tráfico IPv6 saliente a Internet.


Entrada

37



Comentarios







Salida


Comentarios

::/0 TCP HTTP Permite el acceso HTTP saliente acualquier dirección IPv6.

::/0 TCP HTTPS Permite el acceso HTTPS saliente acualquier dirección IPv6.

A continuación se detallan las reglas específicas de IPv6 para el grupo de seguridad DBServerSG(adicionales a las reglas descritas anteriormente).

Salida


Comentarios

::/0 TCP 80 Permite el acceso HTTP saliente acualquier dirección IPv6.

::/0 TCP 443 Permite el acceso HTTPS saliente acualquier dirección IPv6.

Implementar el escenario 2Puede utilizar el asistente de VPC para crear la VPC, las subredes, la gateway NAT y, opcionalmente, unpuerto de enlace a Internet de solo salida. Debe especificar una dirección IP elástica para su gateway NAT;si no tiene una, debe asignar primero una a su cuenta. Si desea utilizar una dirección IP elástica existente,asegúrese de que no esté actualmente asociada a otra instancia o interfaz de red. La gateway NAT secreará automáticamente en la subred pública de su VPC.

Implementar el escenario 2 con una instancia NATPuede implementar el escenario 2 utilizando una instancia NAT en lugar de una gateway NAT. Paraobtener más información acerca de las instancias NAT, consulte Instancias NAT (p. 287).

38


Puede seguir los mismos procedimientos anteriores; sin embargo, en la sección NAT del asistente deVPC, deberá elegir Use a NAT instance instead y especificar los detalles de su instancia NAT. Tambiénnecesitará un grupo de seguridad para su instancia NAT (NATSG), que permitirá a la instancia NAT recibirtráfico vinculado a Internet de las instancias de la subred privada, así como tráfico SSH de su red. Lainstancia NAT también puede enviar tráfico a Internet, por lo que las instancias de la subred privada podránobtener actualizaciones de software.

Una vez creada la VPC con la instancia NAT, debe cambiar el grupo de seguridad asociado a la instanciaNAT al nuevo grupo de seguridad NATSG (de forma predeterminada, la instancia NAT se lanza utilizando elgrupo de seguridad predeterminado).

NATSG: reglas recomendadas

Entrada


Comentarios

10.0.1.0/24 TCP 80 Permite el tráfico HTTP entrante delos servidores de la base de datosque están en la subred privada.

10.0.1.0/24 TCP 443 Permite el tráfico HTTPS entrante delos servidores de la base de datosque están en la subred privada.

Rango de direcciones IP públicasde su red

TCP 22 Permite el acceso SSH entrante a lainstancia NAT desde su red (a travésdel puerto de enlace a Internet).

Salida


Comentarios

0.0.0.0/0 TCP 80 Permite el acceso HTTP salientea Internet (a través del puerto deenlace a Internet).

0.0.0.0/0 TCP 443 Permite el acceso HTTPS salientea Internet (a través del puerto deenlace a Internet).

Reglas ACL de red recomendadas para una VPC con subredespúblicas y privadas (NAT)Para este escenario, dispondrá de una ACL de red para la subred pública y una ACL de red distinta parala subred privada. La tabla siguiente muestra las reglas que recomendamos para cada ACL. Las reglasbloquean todo el tráfico excepto el explícitamente necesario. Estas reglas imitan en gran medida las reglasdel grupo de seguridad para el escenario.

Reglas de ACL para la subred pública

Inbound


39


100 0.0.0.0/0 TCP 80 PERMITIR Permite el tráfico HTTPentrante de cualquierdirección IPv4.

110 0.0.0.0/0 TCP 443 PERMITIR Permite el tráfico HTTPSentrante de cualquierdirección IPv4.

120 Rango dedireccionesIP públicasde la reddoméstica


130 Rango dedireccionesIP públicasde la reddoméstica


140 0.0.0.0/0 TCP 1024 -65535

PERMITIR Permite el tráfico de retornoentrante de hosts deInternet que respondena las solicitudes que seoriginan en la subred.



Outbound




40


120 10.0.1.0/24 TCP 1433 PERMITIR Permite el acceso deMS SQL saliente a losservidores de bases dedatos de la subred privada.

Este número de puertose proporciona solo comoejemplo. Otros ejemplosincluyen el número depuerto 3306 para el accesode MySQL/Aurora, elnúmero 5432 para el accesode PostgreSQL, el número5439 para el acceso deAmazon Redshift o elnúmero 1521 para el accesode Oracle.

140 0.0.0.0/0 TCP 32768-65535 PERMITIR Permite las respuestassalientes a clientes deInternet (por ejemplo,al ofrecer páginas weba usuarios que visitanlos servidores web de lasubred).


150 10.0.1.0/24 TCP 22 PERMITIR Permite el acceso SSHsaliente a las instancias desu subred privada (desde unbastión SSH, si es su caso).


Reglas de ACL para la subred privada

Inbound


100 10.0.0.0/24 TCP 1433 PERMITIR Permite a los servidoresweb de la subred públicarealizar operaciones delectura y escritura enservidores de MS SQL de lasubred privada.

41



120 10.0.0.0/24 TCP 22 PERMITIR Permite el tráfico SSHentrante de un bastión SSHen la subred pública (si essu caso).

130 10.0.0.0/24 TCP 3389 PERMITIR Permite el tráfico RDPentrante de una gateway deMicrosoft Terminal Servicesen la subred pública.

140 0.0.0.0/0 TCP 1024 -65535

PERMITIR Permite el tráfico de retornoentrante del dispositivo NATde la subred pública desolicitudes que se originanen la subred privada.

Para obtener informaciónacerca de la especificaciónde los puertos efímeroscorrectos, consulte lanota importante que seproporciona al principio deeste tema.


Outbound




42


120 10.0.0.0/24 TCP 32768-65535 PERMITIR Permite las respuestassalientes a la subred pública(por ejemplo, respuestas aservidores web de la subredpública que se comunicancon servidores de bases dedatos de la subred privada).



Reglas de ACL de red recomendadas para IPv6Si implementó la compatibilidad con el tráfico IPv6 y creó una VPC y subredes con bloques de CIDRIPv6 asociados, deberá añadir reglas separadas a las ACL de red para controlar el tráfico IPv6 entrante ysaliente.

A continuación se detallan las reglas específicas de tráfico IPv6 para las ACL de red (adicionales a lasreglas descritas anteriormente).


Inbound





TCP 22 PERMITIR Permite el tráfico SSHentrante a través de IPv6 desu red doméstica (a travésde la gateway de Internet).


TCP 3389 PERMITIR Permite el tráfico RDPentrante a través de IPv6 desu red doméstica (a travésde la gateway de Internet).

190 ::/0 TCP 1024 -65535

PERMITIR Permite el tráfico de retornoentrante de hosts de

43


Internet que respondena las solicitudes que seoriginan en la subred.



Outbound




180 2001:db8:1234:1a01::/64TCP 1433 PERMITIR Permite el acceso deMS SQL saliente a losservidores de bases dedatos de la subred privada.


44




210 2001:db8:1234:1a01::/64TCP 22 PERMITIR Permite el acceso SSHsaliente a las instancias desu subred privada (desde unbastión SSH, si es su caso).


Reglas de ACL para la subred privada

Inbound


150 2001:db8:1234:1a00::/64TCP 1433 PERMITIR Permite a los servidoresweb de la subred públicarealizar operaciones delectura y escritura enservidores de MS SQL de lasubred privada.


170 2001:db8:1234:1a00::/64TCP 22 PERMITIR Permite el tráfico SSHentrante de un bastión SSHen la subred pública (siprocede).

45


180 2001:db8:1234:1a00::/64TCP 3389 PERMITIR Permite el tráfico RDPentrante de una gateway deMicrosoft Terminal Servicesen la subred pública, siprocede.

190 ::/0 TCP 1024 -65535

PERMITIR Permite el tráfico de retornoentrante de la gateway deInternet de solo salida desolicitudes que se originanen la subred privada.



Outbound




150 2001:db8:1234:1a00::/64TCP 32768-65535 PERMITIR Permite las respuestassalientes a la subred pública(por ejemplo, respuestas aservidores web de la subredpública que se comunicancon servidores de bases dedatos de la subred privada).



46

Amazon Virtual Private Cloud Guía del usuarioVPC con subredes públicas y privadas

y acceso de AWS Site-to-Site VPN

VPC con subredes públicas y privadas y acceso deAWS Site-to-Site VPNLa configuración de este escenario incluye una nube virtual privada (VPC) con una subred pública y unasubred privada, así como una gateway privada virtual para habilitar la comunicación con su propia reda través de un túnel de VPN IPsec. Este escenario es recomendable si desea llevar su red a la nubey obtener acceso directo a internet desde la VPC. Este escenario le permite ejecutar una aplicaciónmultinivel con un front-end web escalable en una subred pública, así como alojar sus datos en una subredprivada conectada a su red mediante una conexión de AWS Site-to-Site VPN de IPsec.

De forma opcional, este escenario también se puede configurar para IPv6: puede utilizar el asistentede VPC para crear una VPC y subredes con los bloques de CIDR de IPv6 asociados. Las instanciaslanzadas en las subredes pueden recibir direcciones IPv6. No se admite la comunicación IPv6 medianteuna conexión Site-to-Site VPN en una gateway privada virtual; no obstante, las instancias de la VPC sepueden comunicar entre sí mediante IPv6 y las instancias de la subred pública se pueden comunicar através de Internet mediante IPv6. Para obtener más información acerca de las direcciones IPv4 e IPv6,consulte Direcciones IP en su VPC (p. 123).


Contenido• Información general (p. 47)• Direccionamiento (p. 50)• Seguridad (p. 52)• Implementar el escenario 3 (p. 56)• Reglas ACL recomendadas para una VPC con subredes públicas y privadas y acceso de AWS Site-to-

Site VPN (p. 56)


47




Important

Para este escenario, consulte Su dispositivo de gateway del cliente en la Guía del usuario deAWS Site-to-Site VPN para obtener información acerca de cómo configurar el dispositivo degateway del cliente en su lado de la conexión Site-to-Site VPN.


• Una nube virtual privada (VPC) con CIDR IPv4 de tamaño /16 (ejemplo: 10.0.0.0/16). Esto proporciona65 536 direcciones IPv4 privadas.

• Una subred pública con CIDR IPv4 de tamaño /24 (ejemplo: 10.0.0.0/24). Esto proporciona 256direcciones IPv4 privadas. Una subred pública es una subred asociada a la tabla de ruteo con ruta a lagateway de internet.

• Una subred de solo VPN con CIDR IPv4 de tamaño /24 (ejemplo: 10.0.1.0/24). Esto proporciona 256direcciones IPv4 privadas.

• Un gateway de Internet. Esto conecta la VPC a internet y a otros productos de AWS.• Una conexión de Site-to-Site VPN entre su VPC y su red. La conexión de Site-to-Site VPN consta de una

gateway privada virtual ubicada en el lado de Amazon de la conexión de Site-to-Site VPN y una gatewayde cliente ubicada en su lado de la conexión de Site-to-Site VPN.

• Instancias con direcciones IPv4 privadas en el rango de la subred (por ejemplo: 10.0.0.5 y 10.0.1.5), loque permite que las instancias se comuniquen entre sí y con otras instancias de la VPC.

• Instancias en la subred pública con direcciones IP elásticas (por ejemplo: 198.51.100.1), que sondirecciones IPv4 públicas que les permiten estar accesibles desde internet. Las instancias puedentener direcciones IPv4 públicas asignadas en el lanzamiento en lugar de direcciones IP elásticas.Las instancias de la subred de solo VPN son servidores back-end que no necesitan aceptar el tráficoentrante de internet, pero pueden enviar y recibir tráfico desde su red.

• Una tabla de ruteo personalizada asociada a la subred pública. Esta tabla de ruteo contiene una entradaque permite que las instancias de la subred se comuniquen con otras instancias de la VPC, y unaentrada que permite que las instancias de la subred se comuniquen directamente con internet.

48

https://docs.aws.amazon.com/vpn/latest/s2svpn/your-cgw.html



• La tabla de ruteo principal asociada a una subred de solo VPN. La tabla de ruteo contiene una entradaque permite que las instancias de la subred se comuniquen con otras instancias de la VPC, y unaentrada que permite que las instancias de la subred se comuniquen directamente con su red.

Para obtener más información acerca de las subredes, consulte VPC y subredes (p. 91) y DireccionesIP en su VPC (p. 123). Para obtener más información acerca de los puertos de enlace a Internet,consulte Puertos de enlace a internet (p. 252). Para obtener más información sobre su conexión de AWSSite-to-Site VPN, consulte ¿Qué es AWS Site-to-Site VPN? en la Guía del usuario de AWS Site-to-SiteVPN.



• Un bloque de CIDR IPv6 de tamaño /56 asociado a la VPC (por ejemplo: 2001:db8:1234:1a00::/56).AWS asigna automáticamente el CIDR; no podrá elegir el rango por sí mismo.

• Un bloque de CIDR IPv6 de tamaño /64 asociado a la subred pública (por ejemplo:2001:db8:1234:1a00::/64). Puede elegir el rango de su subred en el rango asignado a la VPC. No esposible elegir el tamaño del CIDR IPv6.

• Un bloque de CIDR IPv6 de tamaño /64 asociado a la subred de solo VPN (por ejemplo:2001:db8:1234:1a01::/64). Puede elegir el rango de su subred en el rango asignado a la VPC. No esposible elegir el tamaño del CIDR IPv6.


• Entradas de la tabla personalizada que permiten a las instancias de la subred pública utilizar IPv6 paracomunicarse entre si y directamente a través de internet.

• Una entrada de la tabla de ruteo en la tabla de ruteo principal que permite a las instancias de la subredde solo VPN utilizar IPv6 para comunicarse entre sí.

49

https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html



DireccionamientoSu VPC tiene un router implícito (tal como se muestra en el diagrama de configuración de este escenario).En este escenario, el asistente de VPC actualiza la tabla de ruteo principal utilizada con la subred de soloVPN, y crea una tabla de ruteo personalizada y la asocia a la subred pública.

Las instancias de la subred de solo VPN no pueden acceder a internet directamente; el tráfico vinculado ainternet debe atravesar primero la gateway privada virtual a su red, donde el tráfico está sujeto al firewally a las políticas de seguridad corporativas. Si las instancias envían tráfico vinculado a AWS (por ejemplo,solicitudes a las API de Amazon S3 o Amazon EC2), las solicitudes deben pasar por la gateway privadavirtual de su red y luego salir a internet antes de llegar a AWS.

50



Tip

El tráfico de su red que vaya a la dirección IP elástica de una instancia en la subred públicapasará por internet, y no por la gateway privada virtual. En su lugar, puede configurar una ruta yreglas de grupo que permitan que el tráfico llegue desde su red a través de la gateway privadavirtual a la subred pública.

La conexión de Site-to-Site VPN se configura como una conexión de Site-to-Site VPN direccionadaestáticamente o como una conexión de Site-to-Site VPN direccionada dinámicamente (mediante BGP).Si selecciona el direccionamiento estático, se le pedirá que escriba manualmente el prefijo IP para su redcuando cree la conexión de Site-to-Site VPN. Si selecciona el direccionamiento dinámico, el prefijo IP seanunciará automáticamente a la gateway privada virtual para su VPC mediante BGP.

Las siguientes tablas describen las tablas de ruteo para este escenario.


La primera fila es la entrada predeterminada para el direccionamiento local de la VPC. Esta entradapermite a las instancias de la VPC comunicarse entre sí mediante IPv4. La segunda fila direcciona el restodel tráfico de la subred IPv4 desde la subred privada a su red a través de la gateway privada virtual (porejemplo, vgw-1a2b3c4d).

Destino Objetivo

10.0.0.0/16 local

0.0.0.0/0 vgw-id


La primera fila es la entrada predeterminada para el direccionamiento local de la VPC. Esta entradapermite a las instancias de la VPC comunicarse entre sí. La segunda fila dirige el resto del tráfico dela subred IPv4 desde la subred pública hasta internet a través de la gateway de internet (por ejemplo,igw-1a2b3c4d).

Destino Objetivo

10.0.0.0/16 local

0.0.0.0/0 igw-id

Enrutamiento alternativo

De forma alternativa, si desea que las instancias de la subred privada obtengan acceso a internet, puedecrear una instancia o una gateway de conversión de dirección de red (NAT) en la subred pública, yconfigurar el direccionamiento para que el tráfico vinculado a internet para la subred vaya al dispositivoNAT. Esto permitirá a las instancias de la subred de solo VPN enviar solicitudes a través de la gateway deinternet (por ejemplo, para actualizaciones de software).

Para obtener más información acerca de cómo configurar un dispositivo NAT manualmente, consulteNAT (p. 267). Para obtener más información acerca de la utilización del asistente de VPC para configurarun dispositivo NAT, consulte VPC con subredes privadas y públicas (NAT) (p. 29).

Para permitir que el tráfico vinculado a internet de la subred privada se dirija al dispositivo NAT, debeactualizar la tabla de ruteo principal de la siguiente forma.

51



La primera fila es la entrada predeterminada para el direccionamiento local de la VPC. La segunda entradaenruta el tráfico de subred enlazado a su propia red local (cliente) a la gateway privada virtual. En esteejemplo, suponga que el intervalo de direcciones IP de la red local es 172.16.0.0/12. La tercera filaenvía el resto del tráfico de la subred a una gateway NAT.

Destino Objetivo

10.0.0.0/16 local

172.16.0.0/12 vgw-id


Direccionamiento de IPv6

Si asocia un bloque de CIDR IPv6 con su VPC y sus subredes, sus tablas de ruteo deben incluir rutasseparadas para el tráfico IPv6. Las tablas siguientes muestran las tablas de ruteo personalizadas para esteescenario si elige habilitar la comunicación IPv6 en su VPC.


La segunda fila es la ruta predeterminada que se añade automáticamente para el direccionamiento localen la VPC a través de IPv6.

Destino Objetivo

10.0.0.0/16 local

2001:db8:1234:1a00::/56 local

0.0.0.0/0 vgw-id


La segunda fila es la ruta predeterminada que se añade automáticamente para el direccionamiento localen la VPC a través de IPv6. La cuarta entrada direcciona todo el resto del tráfico de la subred IPv6 a lagateway de internet.

Destino Objetivo

10.0.0.0/16 local

2001:db8:1234:1a00::/56 local

0.0.0.0/0 igw-id

::/0 igw-id

SeguridadAWS cuenta con dos características que puede usar para aumentar la seguridad de la VPC: los gruposde seguridad y las ACL de red. Los grupos de seguridad controlan el tráfico de entrada y salida de lasinstancias, mientras que las ACL de red controlan el tráfico de entrada y salida de las subredes. En la

52



mayoría de los casos, los grupos de seguridad se ajustarán a sus necesidades. No obstante, puede usartambién las ACL de red si desea agregar un nivel de seguridad adicional en la VPC. Para obtener másinformación, consulte Privacidad del tráfico entre redes en Amazon VPC (p. 145).

Para el escenario 3, utilizará los grupos de seguridad, pero no las ACL de red. Si desea utilizar una ACLde red, consulte Reglas ACL recomendadas para una VPC con subredes públicas y privadas y acceso deAWS Site-to-Site VPN (p. 56).

La VPC incluye un grupo de seguridad predeterminado (p. 166). Una instancia que se lanza en la VPC seasocia automáticamente al grupo de seguridad predeterminado si no especifica ningún grupo de seguridadpredeterminado durante el lanzamiento. Para este escenario, recomendamos crear los siguientes gruposde seguridad en lugar de utilizar el grupo de seguridad predeterminado:

• WebServerSG: especifique este grupo de seguridad al lanzar servidores web en la subred pública.• DBServerSG: especifique este grupo de seguridad al lanzar servidores de base de datos en la subred de

solo VPN.

Las instancias asignadas a un grupo de seguridad pueden estar en distintas subredes. Sin embargo, eneste escenario, cada grupo de seguridad corresponde al tipo de función que desempeña una instancia, ycada función requiere que una instancia esté en una subred determinada. Por lo tanto, en este escenario,todas las instancias asignadas a un grupo de seguridad estarán en la misma subred.

La siguiente tabla describe las reglas recomendadas para el grupo de seguridad WebServerSG, quepermiten a los servidores web recibir el tráfico de internet, así como el tráfico SSH y RDP procedente desu red. Los servidores web también pueden iniciar solicitudes de lectura y escritura en los servidores debases de datos de la subred de solo VPN, así como enviar tráfico a internet; por ejemplo, para obteneractualizaciones de software. Puesto que el servidor web no inicia ninguna otra comunicación saliente, seha quitado la regla saliente predeterminada.

Note

El grupo incluye tanto acceso a SSH como a RDP, así como acceso a Microsoft SQL Server y aMySQL. En su caso, puede que solo necesite reglas para Linux (SSH y MySQL) o Windows (RDPy Microsoft SQL Server).

WebServerSG: reglas recomendadas

Entrada

Fuente Protocolo Rango depuertos

Comentarios


0.0.0.0/0 TCP 443 Permite el acceso HTTPS entrante alos servidores web desde cualquierdirección IPv4.


TCP 22 Permite el acceso SSH entrante a lasinstancias de Linux desde la red (através de la gateway de internet).


TCP 3389 Permite el acceso RDP entrante a lasinstancias de Windows desde la red(a través de la gateway de internet).

Salida

53




TCP 1433 Permite el acceso saliente deMicrosoft SQL Server a losservidores de base de datosasignados a DBServerSG.


TCP 3306 Permite el acceso saliente de MySQLa los servidores de base de datosasignados a DBServerSG.

0.0.0.0/0 TCP 80 Permite el acceso HTTP saliente ainternet.

0.0.0.0/0 TCP 443 Permite el acceso HTTPS saliente ainternet.

La siguiente tabla describe las reglas recomendadas para el grupo de seguridad DBServerSG, quepermiten las solicitudes de lectura y escritura de Microsoft SQL Server y MySQL desde servidores web, asícomo el tráfico SSH y RDP desde su red. Los servidores de base de datos también pueden iniciar tráficovinculado a internet (sus tablas de ruteo envían ese tráfico a través de la gateway privada virtual).

DBServerSG: reglas recomendadas

Entrada


Comentarios


TCP 1433 Permite el acceso entrante deMicrosoft SQL Server desde losservidores web asociados al grupode seguridad WebServerSG.


TCP 3306 Permite el acceso entrante delservidor MySQL desde los servidoresweb asociados al grupo de seguridadWebServerSG.


TCP 22 Permite el tráfico SSH entrante a lasinstancias de Linux desde la red (através de la gateway privada virtual).


TCP 3389 Permite el tráfico RDP entrante alas instancias de Windows desde lared (a través de la gateway privadavirtual).

Salida


Comentarios

0.0.0.0/0 TCP 80 Permite el acceso saliente de HTTPIPv4 a internet (por ejemplo, paraactualizaciones de software) a travésde la gateway privada virtual.

0.0.0.0/0 TCP 443 Permite el acceso saliente de HTTPSIPv4 a internet (por ejemplo, para

54



actualizaciones de software) a travésde la gateway privada virtual.

(Opcional) El grupo de seguridad predeterminado de una VPC tiene reglas que permiten, de formaautomática, que las instancias asignadas se comuniquen entre sí. Para permitir ese tipo de comunicaciónpara un grupo de seguridad personalizado, debe añadir las siguientes reglas:

Entrada


Comentarios

El ID del grupo de seguridad Todos Todos Permite el tráfico entrante desdeotras instancias asignadas a estegrupo de seguridad.

Salida


Comentarios

El ID del grupo de seguridad Todos Todos Permite el tráfico saliente a otrasinstancias asignadas a este grupo deseguridad.


Si asocia un bloque de CIDR IPv6 a su VPC y sus subredes, debe añadir reglas separadas a sus gruposde seguridad WebServerSG y DBServerSG para controlar el tráfico IPv6 entrante y saliente de susinstancias. En este escenario, los servidores web podrán recibir todo el tráfico de internet a través de IPv6,así como el tráfico SSH o RDP de su red local a través de IPv6. Asimismo, pueden iniciar tráfico IPv6saliente a internet. Los servidores de base de datos no pueden iniciar el tráfico IPv6 saliente a internet, porlo que no necesitan reglas de grupos de seguridad adicionales.


Entrada


Comentarios





55





Salida


Comentarios

::/0 TCP HTTP Permite el acceso HTTP saliente acualquier dirección IPv6.

::/0 TCP HTTPS Permite el acceso HTTPS saliente acualquier dirección IPv6.

Implementar el escenario 3Para implementar el escenario 3, obtenga información acerca de su gateway de cliente y cree la VPCcon el asistente de VPC. El asistente de VPC le creará conexión de Site-to-Site VPN con una gateway decliente y una gateway privada virtual.

Estos procedimientos incluyen pasos opcionales para habilitar y configurar la comunicación IPv6 para suVPC. Si no desea utilizar IPv6 en su VPC, no tiene que realizar estos pasos.

Para preparar su gateway de cliente

1. Determine el dispositivo que utilizará como su dispositivo de gateway del cliente. Para obtener másinformación, consulte Su dispositivo de gateway del cliente en la Guía del usuario de AWS Site-to-SiteVPN.

2. Obtenga la dirección IP enrutable de internet para la interfaz externa del dispositivo de gateway delcliente. La dirección debe ser estática, y puede encontrarse detrás de un dispositivo que realice laconversión de las direcciones de red (NAT).

3. Si desea crear una conexión de Site-to-Site VPN direccionada estáticamente, obtenga la lista deintervalos de direcciones IP internas (en la notación CIDR) que se deberían anunciar en la conexiónde Site-to-Site VPN a la gateway privada virtual. Para obtener más información, consulte Tablas deruteo y prioridad de las rutas de VPN en la Guía del usuario de AWS Site-to-Site VPN.

Para obtener información acerca de cómo utilizar el asistente de VPC con IPv4, consulteIntroducción (p. 12).

Para obtener información acerca de cómo utilizar el asistente de VPC con IPv6, consulte the section called“Introducción a IPv6” (p. 16).

Reglas ACL recomendadas para una VPC con subredes públicasy privadas y acceso de AWS Site-to-Site VPNPara este escenario, dispondrá de una ACL de red para la subred pública y una ACL de red distinta para lasubred de solo VPN. La tabla siguiente muestra las reglas que recomendamos para cada ACL. Las reglasbloquean todo el tráfico excepto el explícitamente necesario.


Inbound


56


https://docs.aws.amazon.com/vpn/latest/s2svpn/VPNRoutingTypes.html#vpn-route-priority




100 0.0.0.0/0 TCP 80 PERMITIR Permite el tráfico HTTPentrante a los servidoresweb desde cualquierdirección IPv4.

110 0.0.0.0/0 TCP 443 PERMITIR Permite el tráfico HTTPSentrante a los servidoresweb desde cualquierdirección IPv4.


TCP 22 PERMITIR Permite el tráfico SSHentrante a los servidoresweb desde su reddoméstica (a través de lagateway de Internet).


TCP 3389 PERMITIR Permite el tráfico RDPentrante a los servidoresweb desde su reddoméstica (a través de lagateway de Internet).

140 0.0.0.0/0 TCP 32768-65535 PERMITIR Permite el tráfico de retornoentrante de hosts deInternet que respondena las solicitudes que seoriginan en la subred.



Outbound




57



120 10.0.1.0/24 TCP 1433 PERMITIR Permite el acceso deMS SQL saliente a losservidores de bases dedatos de la subred de soloVPN.


140 0.0.0.0/0 TCP 32768-65535 PERMITIR Permite las respuestasIPv4 salientes a clientesde Internet (por ejemplo,al ofrecer páginas weba usuarios que visitanlos servidores web de lasubred).


* 0.0.0.0/0 Todos Todos DENEGAR Deniega todo el tráficosaliente no controlado porninguna regla precedente(no modificable).

Configuración de ACL para la subred de solo VPN

Inbound


100 10.0.0.0/24 TCP 1433 PERMITIR Permite a los servidoresweb de la subred públicarealizar operaciones delectura y escritura enservidores de MS SQL de lasubred de solo VPN.

Este número de puertose proporciona solo comoejemplo. Otros ejemplosincluyen el número de

58



puerto 3306 para el accesode MySQL/Aurora, elnúmero 5432 para el accesode PostgreSQL, el número5439 para el acceso deAmazon Redshift o elnúmero 1521 para el accesode Oracle.

120 Rango dedireccionesIPv4privadasde la reddoméstica

TCP 22 PERMITIR Permite el tráfico SSHentrante de la red doméstica(a través de la gatewayprivada virtual).

130 Rango dedireccionesIPv4privadasde la reddoméstica

TCP 3389 PERMITIR Permite el tráfico RDPentrante de la red doméstica(a través de la gatewayprivada virtual).

140 Rango dedireccionesIP privadasde la reddoméstica

TCP 32768-65535 PERMITIR Permite el tráfico de retornoentrante de clientes de lared doméstica (a través dela gateway privada virtual).


* 0.0.0.0/0 Todos Todos DENEGAR Deniega todo el tráficoentrante no controlado porninguna regla precedente(no modificable).

Outbound


59




Todos Todos PERMITIR Permite todo el tráficosaliente de la subred a sured doméstica (a través dela gateway privada virtual).Esta regla también abarcala regla 120. Sin embargo,puede hacer que esta reglasea más restrictiva si usaun número de puerto y untipo de protocolo específico.Si opta por hacer que estaregla sea más restrictiva,deberá incluir la regla 120en el ACL de red paraasegurarse de que no sebloqueen las respuestassalientes.

110 10.0.0.0/24 TCP 32768-65535 PERMITIR Permite las respuestassalientes a los servidoresweb de la subred pública.



TCP 32768-65535 PERMITIR Permite las respuestassalientes a clientes de la reddoméstica (a través de lagateway privada virtual).




Si implementó la compatibilidad con el tráfico IPv6 y creó una VPC y subredes con bloques de CIDRIPv6 asociados, deberá añadir reglas separadas a las ACL de red para controlar el tráfico IPv6 entrante ysaliente.

A continuación se detallan las reglas específicas de tráfico IPv6 para las ACL de red (adicionales a lasreglas descritas anteriormente).

60




Inbound





TCP 22 PERMITIR Permite el tráfico SSHentrante a través de IPv6 desu red doméstica (a travésde la gateway de Internet).


TCP 3389 PERMITIR Permite el tráfico RDPentrante a través de IPv6 desu red doméstica (a travésde la gateway de Internet).

190 ::/0 TCP 1024 -65535

PERMITIR Permite el tráfico de retornoentrante de hosts deInternet que respondena las solicitudes que seoriginan en la subred.



Outbound




170 2001:db8:1234:1a01::/64TCP 1433 PERMITIR Permite el acceso deMS SQL saliente a los

61



servidores de bases dedatos de la subred privada.





Reglas de ACL para la subred de solo VPN

Inbound


150 2001:db8:1234:1a00::/64TCP 1433 PERMITIR Permite a los servidoresweb de la subred públicarealizar operaciones delectura y escritura enservidores de MS SQL de lasubred privada.

Este número de puertose proporciona solo comoejemplo. Otros ejemplosincluyen el número depuerto 3306 para el accesode MySQL/Aurora, elnúmero 5432 para el acceso

62

Amazon Virtual Private Cloud Guía del usuarioVPC solo con una subred privaday acceso de AWS Site-to-Site VPN

de PostgreSQL, el número5439 para el acceso deAmazon Redshift o elnúmero 1521 para el accesode Oracle.


Outbound


130 2001:db8:1234:1a00::/64TCP 32768-65535 PERMITIR Permite las respuestassalientes a la subred pública(por ejemplo, respuestas aservidores web de la subredpública que se comunicancon servidores de bases dedatos de la subred privada).



VPC solo con una subred privada y acceso de AWSSite-to-Site VPNLa configuración de este escenario incluye una nube virtual privada (VPC) con una única subred privada yuna gateway privada virtual para habilitar la comunicación con su propia red a través de un túnel de VPNIPsec. En este caso, no hay ningún puerto de enlace a Internet para habilitar la comunicación a través deInternet. Este escenario se recomienda si desea extender su red a la nube utilizando la infraestructura deAmazon sin exponer su red a Internet.

De forma opcional, este escenario también se puede configurar para IPv6: puede utilizar el asistentede VPC para crear una VPC y una subred con los bloques de CIDR de IPv6 asociados. Las instanciaslanzadas en la subred pueden recibir direcciones IPv6. No se admite la comunicación IPv6 a través de unaconexión de AWS Site-to-Site VPN en una gateway privada virtual; sin embargo, las instancias de la VPCpueden comunicarse entre sí mediante IPv6. Para obtener más información acerca de las direcciones IPv4e IPv6, consulte Direcciones IP en su VPC (p. 123).


63

https://aws.amazon.com/what-is-cloud-computing/



Contenido• Información general (p. 64)• Direccionamiento (p. 65)• Seguridad (p. 66)


Important

Para este escenario, consulte Su dispositivo de gateway de cliente para configurar el dispositivode gateway de cliente en su lado de la conexión Site-to-Site VPN.


• Una nube virtual privada (VPC) con CIDR de tamaño /16 (ejemplo: 10.0.0.0/16). Esto proporciona 65 536direcciones IP privadas.

• Una subred de solo VPN con CIDR de tamaño /24 (ejemplo: 10.0.0.0/24). Esto proporciona 256direcciones IP privadas.

• Una conexión de Site-to-Site VPN entre su VPC y su red. La conexión de Site-to-Site VPN consta de unagateway privada virtual ubicada en el lado de Amazon de la conexión de Site-to-Site VPN y una gatewayde cliente ubicada en su lado de la conexión de Site-to-Site VPN.

• Instancias con direcciones IP privadas en el rango de la subred (por ejemplo: 10.0.0.5, 10.0.0.6 y10.0.0.7), lo que permite que las instancias se comuniquen entre sí y con otras instancias de la VPC.

• La tabla de ruteo principal contiene una ruta que permite a las instancias de la subred comunicarseexclusivamente con otras instancias de la VPC. La propagación de rutas está habilitada, por lo quehay una ruta que permite que las instancias de la subred se comuniquen directamente con la red queaparece como una ruta propagada en la tabla de ruteo principal.

Para obtener más información acerca de las subredes, consulte VPC y subredes (p. 91) y DireccionesIP en su VPC (p. 123). Para obtener más información sobre su conexión de Site-to-Site VPN, consulte

64



¿Qué es AWS Site-to-Site VPN? en la Guía del usuario de AWS Site-to-Site VPN. Para obtener másinformación acerca de cómo configurar un dispositivo de gateway del cliente, consulte Su dispositivo degateway del cliente.



• Un bloque de CIDR IPv6 de tamaño /56 asociado a la VPC (por ejemplo: 2001:db8:1234:1a00::/56).AWS asigna automáticamente el CIDR; no podrá elegir el rango por sí mismo.

• Un bloque de CIDR IPv6 de tamaño /64 asociado a la subred de solo VPN (por ejemplo:2001:db8:1234:1a00::/64). Puede elegir el rango de su subred en el rango asignado a la VPC. No esposible elegir el tamaño del CIDR IPv6.


• Una entrada de la tabla de ruteo principal que permite a las instancias de la subred privada utilizar IPv6para comunicarse entre sí.

DireccionamientoSu VPC tiene un router implícito (tal como se muestra en el diagrama de configuración de este escenario).En este escenario, el asistente para la creación de VPC crea una tabla de ruteo que direcciona todoel tráfico con destino a una dirección externa a la VPC a la conexión de AWS Site-to-Site VPN para, acontinuación, asociar la tabla de ruteo a la subred.

A continuación se describe la tabla de ruteo para este escenario. La primera fila es la entradapredeterminada para el direccionamiento local de la VPC. Esta entrada permite a las instancias de estaVPC comunicarse entre sí. La segunda entrada direcciona el resto del tráfico de la subred a la gatewayprivada virtual (por ejemplo, vgw-1a2b3c4d).

Destino Objetivo

10.0.0.0/16 local

0.0.0.0/0 vgw-id

65





La conexión de AWS Site-to-Site VPN se configura como una conexión de Site-to-Site VPN direccionadaestáticamente o como una conexión de Site-to-Site VPN enrutada dinámicamente (mediante BGP). Siselecciona el direccionamiento estático, se le pedirá que escriba manualmente el prefijo IP para su redcuando cree la conexión de Site-to-Site VPN. Si selecciona el direccionamiento dinámico, el prefijo IP seanuncia automáticamente a su VPC a través de BGP.

Las instancias de su VPC no pueden acceder a Internet directamente; el tráfico vinculado a Internetdebe atravesar primero la gateway privada virtual a su red, donde el tráfico está sujeto a su firewall y alas políticas de seguridad corporativas. Si las instancias envían tráfico vinculado a AWS (por ejemplo,solicitudes a Amazon S3 o Amazon EC2), las solicitudes deben pasar por la gateway privada virtual a sured y luego a Internet antes de llegar a AWS.

Direccionamiento de IPv6Si asocia un bloque de CIDR IPv6 con su VPC y sus subredes, su tabla de ruteo incluirá rutas separadaspara el tráfico IPv6. A continuación se describe la tabla de ruteo personalizada para este escenario. Lasegunda fila es la ruta predeterminada que se añade automáticamente para el direccionamiento local en laVPC a través de IPv6.

Destino Objetivo

10.0.0.0/16 local

2001:db8:1234:1a00::/56 local

0.0.0.0/0 vgw-id


Para el escenario 4, utilizará el grupo de seguridad predeterminado de su VPC, pero no una ACL de red.Si desea utilizar una ACL de red, consulte Reglas ACL de la red recomendadas para una VPC con unasubred privada solamente y acceso a AWS Site-to-Site VPN (p. 67).

Su VPC incluye un grupo de seguridad predeterminado cuya configuración inicial deniega todo eltráfico entrante y permite todo el tráfico saliente y todo el tráfico entre las instancias asignadas algrupo de seguridad. Para este escenario, se recomienda añadir reglas entrantes al grupo de seguridadpredeterminado para permitir el tráfico SSH (Linux) y el tráfico de Escritorio remoto (Windows) desde sured.

Important

El grupo de seguridad predeterminado permite, de forma automática, que las instancias asignadasse comuniquen entre sí. Por tanto, no tiene que añadir ninguna regla para permitir esto. Si utilizaun grupo de seguridad diferente, debe añadir una regla que lo permita.

La siguiente tabla describe las reglas entrantes que debería añadir al grupo de seguridad predeterminadopara su VPC.

Grupo de seguridad predeterminado: reglas recomendadas

Entrada

66


Fuente Protocolo Rango depuertos

Comentarios

Rango de direcciones IPv4privadas de su red

TCP 22 (Instancias de Linux) Permite eltráfico SSH entrante desde su red.

Rango de direcciones IPv4privadas de su red

TCP 3389 (Instancias de Windows) Permite eltráfico RDP entrante desde su red.


Si asocia un bloque de CIDR IPv6 a su VPC y sus subredes, debe añadir reglas separadas a su grupode seguridad para controlar el tráfico IPv6 entrante y saliente de sus instancias. En este escenario, losservidores de bases de datos no están disponibles a través de la conexión de Site-to-Site VPN medianteIPv6; por lo tanto, no son necesarias reglas de grupos de seguridad adicionales.

Reglas ACL de la red recomendadas para una VPC con una subred privadasolamente y acceso a AWS Site-to-Site VPNLa tabla siguiente muestra las reglas que recomendamos. Las reglas bloquean todo el tráfico excepto elexplícitamente necesario.

Inbound



TCP 22 PERMITIR Permite el tráfico SSHentrante a la subred desdesu red doméstica.


TCP 3389 PERMITIR Permite el tráfico RDPentrante a la subred desdesu red doméstica.


TCP 32768-65535 PERMITIR Permite el tráfico de retornoentrante desde solicitudesque se originan en lasubred.


* 0.0.0.0/0 Todos Todos DENEGAR Deniega todo el tráficoentrante no controlado porninguna regla precedente(no modificable).

Outbound

67




Todos Todos PERMITIR Permite todo el tráficosaliente desde la subreda su red doméstica. Estaregla también abarca laregla 120. Sin embargo,puede hacer que esta reglasea más restrictiva si usaun número de puerto y untipo de protocolo específico.Si opta por hacer que estaregla sea más restrictiva,deberá incluir la regla 120en el ACL de red paraasegurarse de que no sebloqueen las respuestassalientes.


TCP 32768-65535 PERMITIR Permite las respuestassalientes a los clientes de lared doméstica.




Si implementó el escenario 4 con compatibilidad con el tráfico IPv6 y creó una VPC y una subred conbloques de CIDR IPv6 asociados, deberá añadir reglas separadas a las ACL de red para controlar el tráficoIPv6 entrante y saliente.

En este escenario, los servidores de bases de datos no están disponibles a través de la comunicación deVPN mediante IPv6, por lo que no son necesarias reglas de ACL de red adicionales. A continuación sedescriben las reglas predeterminadas que deniegan el tráfico IPv6 hacia la subred y procedente de esta.

Reglas de ACL para la subred de solo VPN

Inbound



Outbound

68




69


Ejemplos de VPCEsta sección contiene ejemplos relativos a la creación y la configuración de una VPC.

Ejemplo Uso

Ejemplo: crear una VPC de IPv4y subredes utilizando la AWSCLI (p. 76)

Utilice la AWS CLI para crear una VPC con una subred pública y unasubred privada.

Ejemplo: crear una VPC de IPv6y de subredes utilizando la AWSCLI (p. 81)

Utilice la AWS CLI para crear una VPC con un bloque de CIDR IPv6asociado y una subred pública y una subred privada, cada una deellas con un bloque de CIDR IPv6 asociado.

the section called “Ejemplo:compartir subredes públicas yprivadas” (p. 71)

Compartir subredes privadas y públicas con cuentas.

the section called “Ejemplos:servicios que utilizan AWSPrivateLink y emparejamiento deVPC” (p. 72)

Descubra cómo utilizar una combinación de interconexión con VPC yAWS PrivateLink para ampliar el acceso a los servicios privados paralos consumidores.

También puede utilizar una transit gateway para conectar las VPC.

Ejemplo Uso

Router centralizado Puede configurar la transit gateway como un router centralizadoque asocia todas las VPC, AWS Direct Connect y las conexiones deAWS Site-to-Site VPN.

Para obtener más información acerca de cómo configurar la transitgateway como router centralizado, consulte Ejemplo de la gatewayde tránsito: router centralizado en la Gateways de tránsito deAmazon VPC.

VPS aisladas Una transit gateway se puede configurar como varios routersaislados. Es similar a utilizar varias transit gateways, pero ofrecemayor flexibilidad en aquellos casos en los que las rutas y lasvinculaciones pueden cambiar.

Para obtener más información acerca de cómo configurar la transitgateway para aislar las VPC, consulte Ejemplo de la gateway detránsito: VPC aisladas en la Gateways de tránsito de Amazon VPC.

VPC aisladas con servicioscompartidos

Puede configurar su transit gateway como varios routers aisladosque utilizan un servicio compartido. Es similar a utilizar varias transitgateways, pero ofrece mayor flexibilidad en aquellos casos en losque las rutas y las vinculaciones pueden cambiar.

Para obtener más información acerca de cómo configurar la transitgateway para aislar las VPC, consulte Ejemplo de la gateway de

70

https://docs.aws.amazon.com/vpc/latest/tgw/transit-gateway-centralized-router.html

https://docs.aws.amazon.com/vpc/latest/tgw/transit-gateway-centralized-router.html

https://docs.aws.amazon.com/vpc/latest/tgw/transit-gateway-isolated.html

https://docs.aws.amazon.com/vpc/latest/tgw/transit-gateway-isolated.html

https://docs.aws.amazon.com/vpc/latest/tgw/transit-gateway-isolated-shared.html

Amazon Virtual Private Cloud Guía del usuarioEjemplo: compartir subredes públicas y privadas

Ejemplo Usotránsito: VPC aisladas con servicios compartidos en la Gateways detránsito de Amazon VPC.

Ejemplo: compartir subredes públicas y privadasConsidere este escenario en el que desea que una cuenta sea responsable de la infraestructura, incluidaslas subredes, las tablas de ruteo, las gateways, rangos CIDR y otras cuentas que estén en la mismaorganización de AWS para utilizar las subredes. Un propietario de VPC (cuenta A) crea la infraestructurade direccionamiento, incluidas las VPC, las subredes, las tablas de ruteo, las gateways y las ACL de red.La cuenta D desea crear aplicaciones expuestas al público. Las cuentas B y C desean crear aplicacionesprivadas que no necesiten conectarse a Internet y deben encontrarse en subredes privadas. La cuentaA puede usar AWS Resource Access Manager para crear un recurso compartido para las subredes y, acontinuación, compartirlas. La cuenta A comparte la subred pública con la cuenta D y la subred privada conlas cuentas B y C. Las cuentas B, C y D pueden crear recursos en las subredes. Cada cuenta solo puedever las subredes que se comparten con ella, por ejemplo, la cuenta D solo puede ver la subred pública.Cada una de las cuentas puede controlar sus recursos, incluidas las instancias y los grupos de seguridad.

La cuenta A administra la infraestructura IP, incluidas las tablas de ruteo para las subredes públicas y lasprivadas. No se requiere configuración adicional para las subredes compartidas, por lo que las tablas deruteo son las mismas que las de las subredes no compartidas.

La cuenta A (ID de cuenta 111111111111) comparte la subred pública con la cuenta D (444444444444).La cuenta D ve la siguiente subred y la columna Owner (Propietario) proporciona dos indicadores de que lasubred es compartida.

• El ID de cuenta es el propietario de la VPC (1111111111111111) y es diferente del ID de la cuenta D(444444444444444444).

• La palabra "compartido" aparece junto al ID de la cuenta del propietario.

71

https://docs.aws.amazon.com/vpc/latest/tgw/transit-gateway-isolated-shared.html

Amazon Virtual Private Cloud Guía del usuarioEjemplos: servicios que utilizan AWSPrivateLink y emparejamiento de VPC

Ejemplos: servicios que utilizan AWS PrivateLink yemparejamiento de VPC

Un proveedor de servicios de AWS PrivateLink configura las instancias que ejecutan servicios en laVPC, con un Balanceador de carga de red como front-end. Utilice la interconexión de VPC dentro de laregión (VPC que están en la misma región) y la interconexión de VPC entre regiones (VPC que están enregiones distintas) con AWS PrivateLink para permitir el acceso privado a consumidores en conexionescon interconexión de VPC.

Los consumidores de VPC remotas no pueden usar nombres de DNS privados (p. 363) en diferentesinterconexiones. Sin embargo, pueden crear sus propias zonas alojadas privadas en Route 53 y asociarlasa sus VPC para utilizar el mismo nombre DNS privado. Si desea obtener información sobre el uso detransit gateway con Amazon Route 53 Resolver para compartir los puntos de enlace de tipo interfaz dePrivateLink entre varias VPC conectadas y un entorno local, consulte Integrating AWS Transit Gatewaywith AWS PrivateLink and Amazon Route 53 Resolver.

A continuación, se presentan configuraciones de ejemplo que utilizan AWS PrivateLink e interconexión deVPC.

Ejemplos• Ejemplo: el proveedor de servicios configura el servicio (p. 73)• Ejemplo: el consumidor de servicios configura el acceso (p. 73)• Ejemplo: el proveedor de servicios configura un servicio para varias regiones (p. 74)• Ejemplo: el consumidor de servicios configura el acceso entre regiones (p. 75)

Recursos adicionales

Los temas siguientes pueden ayudarle a configurar los componentes necesarios para los ejemplos:

• Servicios de punto de enlace de la VPC (AWS PrivateLink) (p. 348)• Introducción a los balanceadores de carga de red• Funcionamiento de interconexiones de VPC• Creación de un punto de enlace de interfaz (p. 322)

Para obtener más ejemplos de interconexión de VPC, consulte los siguientes temas en la Amazon VPCPeering Guide:

• Configuraciones de interconexión de VPC• Configuraciones de interconexión de VPC no admitidas

72

https://aws.amazon.com/blogs/networking-and-content-delivery/integrating-aws-transit-gateway-with-aws-privatelink-and-amazon-route-53-resolver/

https://aws.amazon.com/blogs/networking-and-content-delivery/integrating-aws-transit-gateway-with-aws-privatelink-and-amazon-route-53-resolver/

https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancer-getting-started.html

https://docs.aws.amazon.com/vpc/latest/peering/working-with-vpc-peering.html

https://docs.aws.amazon.com/vpc/latest/peering/peering-configurations.html

https://docs.aws.amazon.com/vpc/latest/peering/invalid-peering-configurations.html

Amazon Virtual Private Cloud Guía del usuarioEjemplo: el proveedor de servicios configura el servicio

Ejemplo: el proveedor de servicios configura elservicioConsidere el ejemplo siguiente, donde un servicio se ejecuta en instancias en la VPC 1 del proveedor. Losrecursos que se encuentran en VPC 1 de consumidor pueden obtener acceso directamente al servicio através de un punto de enlace de la VPC de AWS PrivateLink en la VPC 1 de consumidor.

Para permitir que los recursos que se encuentran en la VPC 2 de consumidor obtengan acceso al serviciode forma privada, el proveedor de servicios debe completar los siguientes pasos:

1. Crear la VPC 2 de proveedor.2. Configurar la interconexión de VPC entre la VPC 1 de proveedor y la VPC 2 de proveedor para que el

tráfico se pueda direccionar entre las dos VPC.3. Crear el balanceador de carga de red 2 en la VPC 2 de proveedor.4. Configurar los grupos de destino en el balanceador de carga de red 2 que apunten a las direcciones IP

de las instancias de servicio que se encuentran en la VPC 1.5. Ajustar los grupos de seguridad que están asociados con las instancias de servicio en la VPC 1 de

proveedor para que permitan el tráfico desde el balanceador de carga de red 2.6. Crear una configuración de servicio de punto de enlace de VPC en la VPC 2 de proveedor y asociarla

con el balanceador de carga de red 2. A continuación, el consumidor del servicio puede crear un puntode enlace de interfaz en Consumidor VPC 2 para el servicio en Proveedor VPC 2.

Ejemplo: el consumidor de servicios configura elaccesoConsidere el ejemplo siguiente, donde un servicio se ejecuta en instancias en la VPC del proveedor. Losrecursos que se encuentran en VPC 3 de consumidor pueden obtener acceso directamente al servicio através de un servicio de punto de enlace de VPC de AWS PrivateLink en VPC 3 de consumidor.

73

Amazon Virtual Private Cloud Guía del usuarioEjemplo: el proveedor de servicios

configura un servicio para varias regiones

Para permitir que los recursos que se encuentran en la VPC 1 de consumidor accedan al servicio de formaprivada (sin crear un punto de enlace de interfaz directamente en VPC 1 de consumidor), el consumidor delservicio puede hacer lo siguiente:

1. Crear la VPC 2 de consumidor.2. Crear un punto de enlace de VPC que abarque una o más subredes en la VPC 2 de consumidor.3. Ajustar los grupos de seguridad asociados con el servicio de punto de enlace de VPC en la VPC 2

de consumidor para permitir el tráfico desde las instancias en la VPC 1 de consumidor. Ajustar losgrupos de seguridad asociados con las instancias en la VPC 1 de consumidor para permitir el tráfico alservicio de punto de enlace de VPC en la VPC 2 de consumidor.

4. Configurar la interconexión de VPC entre la VPC 1 de consumidor y la VPC 2 de consumidor para queel tráfico se direccione entre las dos VPC.

Ejemplo: el proveedor de servicios configura unservicio para varias regionesConsidere el ejemplo siguiente, donde un servicio se ejecuta en instancias en la VPC 1 del proveedor en laregión A, por ejemplo, us-east-1. Los recursos que se encuentran en la VPC 1 de consumidor en la mismaregión pueden obtener acceso directamente al servicio a través de un punto de enlace de VPC de AWSPrivateLink en la VPC 1 de consumidor.

74

Amazon Virtual Private Cloud Guía del usuarioEjemplo: el consumidor de serviciosconfigura el acceso entre regiones

Para permitir que los recursos que se encuentran en la VPC 2 de consumidor en la región B, por ejemplo,eu-west-1, obtengan acceso al servicio de forma privada, el proveedor del servicio debe completar lossiguientes pasos:

1. Crear la VPC 2 de proveedor en la región B.2. Configurar la interconexión de VPC entre regiones entre la VPC 1 de proveedor y la VPC 2 de

proveedor para que el tráfico se pueda direccionar entre las dos VPC.3. Crear el balanceador de carga de red 2 en la VPC 2 de proveedor.4. Configurar los grupos de destino en el balanceador de carga de red 2 que apunten a las direcciones IP

de las instancias de servicio que se encuentran en la VPC 1 de proveedor.5. Ajustar los grupos de seguridad que están asociados con las instancias de servicio en la VPC 1 de

proveedor para que permitan el tráfico desde el balanceador de carga de red 2.6. Crear una configuración de servicio de punto de enlace de VPC en la VPC 2 de proveedor y asociarla

con el balanceador de carga de red 2. A continuación, el consumidor del servicio puede crear un puntode enlace de interfaz en Consumidor VPC 2 para el servicio en Proveedor VPC 2.

La cuenta de proveedor 2 genera los cargos por transferencia de datos de interconexión entre regiones,cargos del balanceador de carga de red. La cuenta del proveedor 1 genera cargos de instancias deservicio.

Ejemplo: el consumidor de servicios configura elacceso entre regionesConsidere el ejemplo siguiente, donde un servicio se ejecuta en instancias en la VPC del proveedor en laregión B, por ejemplo, la región us-east-1. Los recursos que se encuentran en la VPC 3 del consumidorpueden obtener acceso directamente al servicio a través de un punto de enlace de interfaz VPC de AWSPrivateLink en la VPC 3 del consumidor.

75

Amazon Virtual Private Cloud Guía del usuarioEjemplo: crear una VPC de IPv4y subredes utilizando la AWS CLI

Para permitir que los recursos que se encuentran en la VPC 1 de consumidor obtengan acceso al serviciode forma privada, el consumidor del servicio debe completar los siguientes pasos:

1. Crear la VPC 2 de consumidor en la región B.2. Crear un punto de enlace de VPC que abarque una o más subredes en la VPC 2 de consumidor.3. Ajustar los grupos de seguridad asociados con el servicio de punto de enlace de VPC en la VPC 2

de consumidor para permitir el tráfico desde las instancias en la VPC 1 de consumidor. Ajustar losgrupos de seguridad asociados con las instancias en la VPC 1 de consumidor para permitir el tráfico alservicio de punto de enlace de VPC en la VPC 2 de consumidor.

4. Configurar la interconexión de VPC entre regiones entre la VPC 1 de consumidor y la VPC 2 deconsumidor para que el tráfico se direccione entre las dos VPC.

Una vez finalizada la configuración, la VPC 1 de consumidor puede obtener acceso al servicio de formaprivada.

La cuenta del consumidor genera cargos por transferencia de datos de interconexión entre regiones,cargos de procesamiento de datos de punto de enlace de VPC y cargos por hora de punto de enlace deVPC. El proveedor genera cargos de balanceador de carga de red y cargos de instancias de servicio.

Ejemplo: crear una VPC de IPv4 y subredesutilizando la AWS CLI

El siguiente ejemplo utiliza comandos de AWS CLI para crear una VPC no predeterminada con un bloquede CIDR de IPv4, y una subred privada y una pública en la VPC. Tras haber creado la VPC y las subredes,puede lanzar una instancia en la subred pública y conectarse a esta. Para comenzar, primero debe instalary configurar la AWS CLI. Para obtener más información, consulte Instalar la AWS CLI.

Tareas• Paso 1: Crear una VPC y subredes (p. 77)• Paso 2: Hacer pública una subred (p. 77)• Paso 3: Lanzar una instancia en su subred (p. 79)• Paso 4: Limpieza (p. 81)

76

https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-set-up.html

Amazon Virtual Private Cloud Guía del usuarioPaso 1: Crear una VPC y subredes

Paso 1: Crear una VPC y subredesEl primer paso es crear una VPC y dos subredes. Este ejemplo utiliza el bloque de CIDR 10.0.0.0/16para la VPC, pero puede elegir un bloque de CIDR distinto. Para obtener más información, consulteTamaño de VPC y subred (p. 94).

Para crear una VPC y las subredes utilizando la AWS CLI

1. Cree una VPC con un bloque de CIDR 10.0.0.0/16.

aws ec2 create-vpc --cidr-block 10.0.0.0/16

En el documento de salida devuelto, busque y anote el ID de la VPC.

{ "Vpc": { "VpcId": "vpc-2f09a348", ... }}

2. Utilizando el ID de VPC del paso anterior, cree una subred con un bloque de CIDR 10.0.1.0/24.

aws ec2 create-subnet --vpc-id vpc-2f09a348 --cidr-block 10.0.1.0/24

3. Cree una segunda subred en su VPC con un bloque de CIDR 10.0.0.0/24.

aws ec2 create-subnet --vpc-id vpc-2f09a348 --cidr-block 10.0.0.0/24

Paso 2: Hacer pública una subredUna vez creadas la VPC y las subredes, puede hacer que una de las subredes sea una subred pública;para ello, adjunte una gateway de Internet a su VPC, cree una tabla de ruteo personalizada y configure eldireccionamiento de la subred a la gateway de Internet.

Para convertir su subred en una subred pública

1. Cree una gateway de Internet.

aws ec2 create-internet-gateway

En el documento de salida devuelto, busque y anote el ID de la gateway de Internet.

{ "InternetGateway": { ... "InternetGatewayId": "igw-1ff7a07b", ... }}

2. Con el ID del paso anterior, asocie a la VPC la gateway de Internet.

77

Amazon Virtual Private Cloud Guía del usuarioPaso 2: Hacer pública una subred

aws ec2 attach-internet-gateway --vpc-id vpc-2f09a348 --internet-gateway-id igw-1ff7a07b

3. Cree una tabla de ruteo personalizada para su VPC.

aws ec2 create-route-table --vpc-id vpc-2f09a348

En el documento de salida devuelto, busque y anote el ID de la tabla de ruteo.

{ "RouteTable": { ... "RouteTableId": "rtb-c1c8faa6", ... }}

4. Cree una ruta en la tabla de ruteo que apunte todo el tráfico (0.0.0.0/0) a la gateway de Internet.

aws ec2 create-route --route-table-id rtb-c1c8faa6 --destination-cidr-block 0.0.0.0/0 --gateway-id igw-1ff7a07b

5. Para asegurarse de que su ruta se ha creado y está activa, puede describir la tabla de ruteo y ver losresultados.

aws ec2 describe-route-tables --route-table-id rtb-c1c8faa6

{ "RouteTables": [ { "Associations": [], "RouteTableId": "rtb-c1c8faa6", "VpcId": "vpc-2f09a348", "PropagatingVgws": [], "Tags": [], "Routes": [ { "GatewayId": "local", "DestinationCidrBlock": "10.0.0.0/16", "State": "active", "Origin": "CreateRouteTable" }, { "GatewayId": "igw-1ff7a07b", "DestinationCidrBlock": "0.0.0.0/0", "State": "active", "Origin": "CreateRoute" } ] } ]}

6. La tabla de ruteo no está asociada actualmente a ninguna subred. Debe asociarla a una subred de suVPC para que el tráfico de esa subred se direccione a la gateway de Internet. En primer lugar, utilice elcomando describe-subnets para obtener los ID de su subred. Puede utilizar la opción --filterpara devolver las subredes solo a su nueva VPC, y la opción --query para devolver solo los ID de lasubred y sus bloques de CIDR.

78

Amazon Virtual Private Cloud Guía del usuarioPaso 3: Lanzar una instancia en su subred

aws ec2 describe-subnets --filters "Name=vpc-id,Values=vpc-2f09a348" --query 'Subnets[*].{ID:SubnetId,CIDR:CidrBlock}'

[ { "CIDR": "10.0.1.0/24", "ID": "subnet-b46032ec" }, { "CIDR": "10.0.0.0/24", "ID": "subnet-a46032fc" }]

7. Puede elegir qué subred asociar a la tabla de ruteo personalizada, por ejemplo: subnet-b46032ec.Esta subred será su subred pública.

aws ec2 associate-route-table --subnet-id subnet-b46032ec --route-table-id rtb-c1c8faa6

8. De forma opcional, puede modificar el comportamiento de asignación de su subred para que unainstancia lanzada en la subred reciba automáticamente una dirección IP pública. En caso contrario,asociaría una dirección IP elástica a su instancia después del lanzamiento para que esté accesibledesde Internet.

aws ec2 modify-subnet-attribute --subnet-id subnet-b46032ec --map-public-ip-on-launch

Paso 3: Lanzar una instancia en su subredPara comprobar si su subred es pública y las instancias de la subred están accesibles desde Internet,lance una instancia en su subred pública y conéctese a ella. En primer lugar, debe crear un grupo deseguridad que asociar a su instancia, así como un par de claves para conectar a su instancia. Para obtenermás información acerca de los grupos de seguridad, consulte Grupos de seguridad de su VPC (p. 165).Para obtener más información acerca de pares de claves, consulte Amazon EC2 Key Pairs en la Guía delusuario de Amazon EC2 para instancias de Linux.

Para lanzar una instancia y conectarse a esta en su subred pública

1. Cree un par de claves denominado y utilice la opción --query y la opción de texto --output paratransferir su clave privada directamente a un archivo con extensión .pem.

aws ec2 create-key-pair --key-name MyKeyPair --query 'KeyMaterial' --output text > MyKeyPair.pem

En este ejemplo, lanzará una instancia de Amazon Linux. Si va a usar un cliente SSH en un sistemaoperativo Linux o Mac OS X para conectarse a su instancia, utilice el comando a continuación paraestablecer los permisos de su archivo de clave privada de manera que solo usted pueda leerlo.

chmod 400 MyKeyPair.pem

2. Cree un grupo de seguridad en su VPC, y añada una regla que permita obtener acceso a SSH desdecualquier lugar.

79

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-key-pairs.html

Amazon Virtual Private Cloud Guía del usuarioPaso 3: Lanzar una instancia en su subred

aws ec2 create-security-group --group-name SSHAccess --description "Security group for SSH access" --vpc-id vpc-2f09a348

{ "GroupId": "sg-e1fb8c9a"}

aws ec2 authorize-security-group-ingress --group-id sg-e1fb8c9a --protocol tcp --port 22 --cidr 0.0.0.0/0

Note

Si utiliza 0.0.0.0/0, permitirá que todas las direcciones IPv4 tengan acceso a su instanciamediante SSH. Esto es aceptable para este breve ejercicio, pero, en la producción, autoricesolo una dirección IP específica o un rango de direcciones.

3. Lance una instancia en su subred pública, utilizando el grupo de seguridad y el par de claves que hacreado. En la salida, anote el ID de su instancia.

aws ec2 run-instances --image-id ami-a4827dc9 --count 1 --instance-type t2.micro --key-name MyKeyPair --security-group-ids sg-e1fb8c9a --subnet-id subnet-b46032ec

Note

En este ejemplo, la AMI es una AMI de Amazon Linux en la región US East (N. Virginia). Sise encuentra en una región diferente, necesitará el ID de AMI para una AMI adecuada en suregión. Para obtener más información, consulte Búsqueda de una AMI de Linux en la Guíadel usuario de Amazon EC2 para instancias de Linux.

4. Su instancia debe tener el estado running para poder conectarse a ella. Describa su instancia yconfirme su estado, y tome nota de su dirección IP pública.

aws ec2 describe-instances --instance-id i-0146854b7443af453

{ "Reservations": [ { ... "Instances": [ { ... "State": { "Code": 16, "Name": "running" }, ... "PublicIpAddress": "52.87.168.235", ... } ] } ]}

5. Si su instancia se encuentra en estado de ejecución, puede conectarse a ella utilizando un cliente SSHen un equipo Linux o Mac OS X con el siguiente comando:

80

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/finding-an-ami.html

Amazon Virtual Private Cloud Guía del usuarioPaso 4: Limpieza

ssh -i "MyKeyPair.pem" [email protected]

Si se conecta desde un equipo Windows, utilice las siguientes instrucciones: Conectarse a la instanciade Linux desde Windows utilizando PuTTY.

Paso 4: LimpiezaUna vez haya verificado que puede conectarse a su instancia, puede terminarla si ya no la necesita.Para ello, utilice el comando terminate-instances. Para eliminar los otros recursos que ha creado en esteejemplo, utilice los siguientes comandos según el orden enumerado:

1. Eliminación de su grupo de seguridad:

aws ec2 delete-security-group --group-id sg-e1fb8c9a

2. Eliminación de sus subredes:

aws ec2 delete-subnet --subnet-id subnet-b46032ec

aws ec2 delete-subnet --subnet-id subnet-a46032fc

3. Eliminación de su tabla de ruteo personalizada:

aws ec2 delete-route-table --route-table-id rtb-c1c8faa6

4. Separación de una gateway de Internet de su VPC:

aws ec2 detach-internet-gateway --internet-gateway-id igw-1ff7a07b --vpc-id vpc-2f09a348

5. Eliminación de una gateway de Internet:

aws ec2 delete-internet-gateway --internet-gateway-id igw-1ff7a07b

6. Eliminación de su VPC:

aws ec2 delete-vpc --vpc-id vpc-2f09a348

Ejemplo: crear una VPC de IPv6 y de subredesutilizando la AWS CLI

El siguiente ejemplo utiliza comandos de AWS CLI para crear una VPC no predeterminada con un bloquede CIDR de IPv6, y una subred pública y una privada solo con acceso de salida a Internet. Tras habercreado la VPC y las subredes, puede lanzar una instancia en la subred pública y conectarse a esta. Puedelanzar una instancia en su subred privada y verificar que se puede conectar a Internet. Para comenzar,primero debe instalar y configurar la AWS CLI. Para obtener más información, consulte Instalar la AWSCLI.

Tareas• Paso 1: Crear una VPC y subredes (p. 82)

81

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/putty.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/terminate-instances.html



Amazon Virtual Private Cloud Guía del usuarioPaso 1: Crear una VPC y subredes

• Paso 2: Configurar una subred pública (p. 83)• Paso 3: Configurar una subred privada de solo salida (p. 85)• Paso 4: Modificar el comportamiento de las direcciones IPv6 de las subredes (p. 86)• Paso 5: Lanzar una instancia en su subred pública (p. 86)• Paso 6: Lanzar una instancia en su subred privada (p. 88)• Paso 7: Limpieza (p. 89)

Paso 1: Crear una VPC y subredesEl primer paso es crear una VPC y dos subredes. Este ejemplo utiliza el bloque de CIDR IPv410.0.0.0/16 para la VPC, pero puede elegir un bloque de CIDR distinto. Para obtener más información,consulte Tamaño de VPC y subred (p. 94).

Para crear una VPC y las subredes utilizando la AWS CLI

1. Cree una VPC con un bloque de CIDR 10.0.0.0/16 y asocie un bloque de CIDR IPv6 a la VPC.

aws ec2 create-vpc --cidr-block 10.0.0.0/16 --amazon-provided-ipv6-cidr-block

En el documento de salida devuelto, busque y anote el ID de la VPC.

{ "Vpc": { "VpcId": "vpc-2f09a348", ...}

2. Describa su VPC para obtener el bloque de CIDR IPv6 asociado a la VPC.

aws ec2 describe-vpcs --vpc-id vpc-2f09a348

{ "Vpcs": [ { ... "Ipv6CidrBlockAssociationSet": [ { "Ipv6CidrBlock": "2001:db8:1234:1a00::/56", "AssociationId": "vpc-cidr-assoc-17a5407e", "Ipv6CidrBlockState": { "State": "ASSOCIATED" } } ], ...}

3. Cree una subred con un bloque de CIDR IPv4 10.0.0.0/24 y un bloque de CIDR IPv62001:db8:1234:1a00::/64 (de los rangos devueltos en el paso anterior).

aws ec2 create-subnet --vpc-id vpc-2f09a348 --cidr-block 10.0.0.0/24 --ipv6-cidr-block 2001:db8:1234:1a00::/64

4. Cree una segunda subred en su VPC con un bloque de CIDR IPv4 10.0.1.0/24 y un bloque deCIDR IPv6 2001:db8:1234:1a01::/64.

82

Amazon Virtual Private Cloud Guía del usuarioPaso 2: Configurar una subred pública

aws ec2 create-subnet --vpc-id vpc-2f09a348 --cidr-block 10.0.1.0/24 --ipv6-cidr-block 2001:db8:1234:1a01::/64

Paso 2: Configurar una subred públicaUna vez creadas la VPC y las subredes, puede hacer que una de las subredes sea una subred pública;para ello, adjunte una gateway de Internet a su VPC, cree una tabla de ruteo personalizada y configure eldireccionamiento de la subred a la gateway de Internet. En este ejemplo, se creará una tabla de ruteo quedireccione todo el tráfico IPv4 y el tráfico IPv6 a una gateway de Internet.

Para convertir su subred en una subred pública

1. Cree una gateway de Internet.

aws ec2 create-internet-gateway

En el documento de salida devuelto, busque y anote el ID de la gateway de Internet.

{ "InternetGateway": { ... "InternetGatewayId": "igw-1ff7a07b", ... }}

2. Con el ID del paso anterior, asocie a la VPC la gateway de Internet.

aws ec2 attach-internet-gateway --vpc-id vpc-2f09a348 --internet-gateway-id igw-1ff7a07b

3. Cree una tabla de ruteo personalizada para su VPC.


En el documento de salida devuelto, busque y anote el ID de la tabla de ruteo.

{ "RouteTable": { ... "RouteTableId": "rtb-c1c8faa6", ... }}

4. Cree una ruta en la tabla de ruteo que apunte todo el tráfico IPv6 (::/0) a la gateway de Internet.

aws ec2 create-route --route-table-id rtb-c1c8faa6 --destination-ipv6-cidr-block ::/0 --gateway-id igw-1ff7a07b

Note

Si su intención es utilizar su subred pública también para el tráfico IPv4, debe añadir otra rutapara el tráfico 0.0.0.0/0 que apunte a la gateway de Internet.

83

Amazon Virtual Private Cloud Guía del usuarioPaso 2: Configurar una subred pública

5. Para asegurarse de que su ruta se ha creado y está activa, puede describir la tabla de ruteo y ver losresultados.

aws ec2 describe-route-tables --route-table-id rtb-c1c8faa6

{ "RouteTables": [ { "Associations": [], "RouteTableId": "rtb-c1c8faa6", "VpcId": "vpc-2f09a348", "PropagatingVgws": [], "Tags": [], "Routes": [ { "GatewayId": "local", "DestinationCidrBlock": "10.0.0.0/16", "State": "active", "Origin": "CreateRouteTable" }, { "GatewayId": "local", "Origin": "CreateRouteTable", "State": "active", "DestinationIpv6CidrBlock": "2001:db8:1234:1a00::/56" }, { "GatewayId": "igw-1ff7a07b", "Origin": "CreateRoute", "State": "active", "DestinationIpv6CidrBlock": "::/0" } ] } ]}

6. La tabla de ruteo no está asociada actualmente a ninguna subred. Asóciela a una subred de su VPCpara que el tráfico de esa subred se direccione a la gateway de Internet. En primer lugar, describa sussubredes para obtener sus ID. Puede utilizar la opción --filter para devolver las subredes solo asu nueva VPC, y la opción --query para devolver solo los ID de la subred y sus bloques de CIDRIPv4 e IPv6.

aws ec2 describe-subnets --filters "Name=vpc-id,Values=vpc-2f09a348" --query 'Subnets[*].{ID:SubnetId,IPv4CIDR:CidrBlock,IPv6CIDR:Ipv6CidrBlockAssociationSet[*].Ipv6CidrBlock}'

[ { "IPv6CIDR": [ "2001:db8:1234:1a00::/64" ], "ID": "subnet-b46032ec", "IPv4CIDR": "10.0.0.0/24" }, { "IPv6CIDR": [ "2001:db8:1234:1a01::/64" ], "ID": "subnet-a46032fc", "IPv4CIDR": "10.0.1.0/24"

84

Amazon Virtual Private Cloud Guía del usuarioPaso 3: Configurar una subred privada de solo salida

}]

7. Puede elegir qué subred asociar a la tabla de ruteo personalizada, por ejemplo: subnet-b46032ec.Esta subred será su subred pública.

aws ec2 associate-route-table --subnet-id subnet-b46032ec --route-table-id rtb-c1c8faa6

Paso 3: Configurar una subred privada de solo salidaPuede configurar la segunda subred en su VPC para que sea una subred privada de solo salida IPv6. Lasinstancias que se lancen en esta subred podrán obtener acceso a Internet a través de IPv6 (por ejemplo,para obtener actualizaciones de software) mediante una gateway de Internet de solo salida, pero los hostsde Internet no podrán obtener acceso a sus instancias.

Para convertir su subred en una subred privada de solo salida

1. Cree una gateway de Internet de solo salida para su VPC. En el documento de salida devuelto,busque y anote el ID de la gateway.

aws ec2 create-egress-only-internet-gateway --vpc-id vpc-2f09a348

{ "EgressOnlyInternetGateway": { "EgressOnlyInternetGatewayId": "eigw-015e0e244e24dfe8a", "Attachments": [ { "State": "attached", "VpcId": "vpc-2f09a348" } ] }}

2. Cree una tabla de ruteo personalizada para su VPC. En el documento de salida devuelto, busque yanote el ID de la tabla de ruteo.


3. Cree una ruta en la tabla de ruteo que apunte todo el tráfico IPv6 (::/0) a la gateway de Internet desolo salida.

aws ec2 create-route --route-table-id rtb-abc123ab --destination-ipv6-cidr-block ::/0 --egress-only-internet-gateway-id eigw-015e0e244e24dfe8a

4. Asocie la tabla de ruteo a la segunda subred en su VPC (describió las subredes en la secciónanterior). Esta subred será su subred privada con acceso a Internet IPv6 de solo salida.

aws ec2 associate-route-table --subnet-id subnet-a46032fc --route-table-id rtb-abc123ab

85

Amazon Virtual Private Cloud Guía del usuarioPaso 4: Modificar el comportamiento de

las direcciones IPv6 de las subredes

Paso 4: Modificar el comportamiento de lasdirecciones IPv6 de las subredesPuede modificar el comportamiento de las direcciones IP de sus subredes para que las instancias lanzadasen las subredes reciban automáticamente direcciones IPv6. Al lanzar una instancia en la subred, se asignauna dirección IPv6 única del rango de la subred a la interfaz de red principal (eth0) de la instancia.

aws ec2 modify-subnet-attribute --subnet-id subnet-b46032ec --assign-ipv6-address-on-creation

aws ec2 modify-subnet-attribute --subnet-id subnet-a46032fc --assign-ipv6-address-on-creation

Paso 5: Lanzar una instancia en su subred públicaPara comprobar si su subred pública es pública y las instancias de la subred están accesibles desdeInternet, lance una instancia en su subred pública y conéctese a ella. En primer lugar, debe crear ungrupo de seguridad que asociar a su instancia, así como un par de claves para conectar a su instancia.Para obtener más información acerca de los grupos de seguridad, consulte Grupos de seguridad de suVPC (p. 165). Para obtener más información acerca de pares de claves, consulte Pares de claves deAmazon EC2 en la Guía del usuario de Amazon EC2 para instancias de Linux.

Para lanzar una instancia y conectarse a esta en su subred pública

1. Cree un par de claves denominado y utilice la opción --query y la opción de texto --output paratransferir su clave privada directamente a un archivo con extensión .pem.

aws ec2 create-key-pair --key-name MyKeyPair --query 'KeyMaterial' --output text > MyKeyPair.pem

En este ejemplo, lanzará una instancia de Amazon Linux. Si va a usar un cliente SSH en un sistemaoperativo Linux o OS X para conectarse a su instancia, utilice el comando a continuación paraestablecer los permisos de su archivo de clave privada de manera que solo usted pueda leerlo.

chmod 400 MyKeyPair.pem

2. Cree un grupo de seguridad en su VPC, y añada una regla que permita obtener acceso a SSH desdecualquier dirección IPv6.

aws ec2 create-security-group --group-name SSHAccess --description "Security group for SSH access" --vpc-id vpc-2f09a348

{ "GroupId": "sg-e1fb8c9a"}

aws ec2 authorize-security-group-ingress --group-id sg-e1fb8c9a --ip-permissions '[{"IpProtocol": "tcp", "FromPort": 22, "ToPort": 22, "Ipv6Ranges": [{"CidrIpv6": "::/0"}]}]'

86



Amazon Virtual Private Cloud Guía del usuarioPaso 5: Lanzar una instancia en su subred pública

Note

Si utiliza ::/0, permitirá que todas las direcciones IPv6 tengan acceso a su instanciamediante SSH. Esto es aceptable para este breve ejercicio, pero, en la producción, autoricesolo una dirección IP específica o un rango de direcciones para obtener acceso a suinstancia.

3. Lance una instancia en su subred pública, utilizando el grupo de seguridad y el par de claves que hacreado. En la salida, anote el ID de su instancia.

aws ec2 run-instances --image-id ami-0de53d8956e8dcf80 --count 1 --instance-type t2.micro --key-name MyKeyPair --security-group-ids sg-e1fb8c9a --subnet-id subnet-b46032ec

Note

En este ejemplo, la AMI es una AMI de Amazon Linux en la región US East (N. Virginia). Sise encuentra en una región diferente, necesita el ID de AMI para una AMI adecuada en suregión. Para obtener más información, consulte Búsqueda de una AMI de Linux en la Guíadel usuario de Amazon EC2 para instancias de Linux.

4. Su instancia debe tener el estado running para poder conectarse a ella. Describa su instancia yconfirme su estado, y tome nota de su dirección IPv6.

aws ec2 describe-instances --instance-id i-0146854b7443af453

{ "Reservations": [ { ... "Instances": [ { ... "State": { "Code": 16, "Name": "running" }, ... "NetworkInterfaces": { "Ipv6Addresses": { "Ipv6Address": "2001:db8:1234:1a00::123" } ... } ] } ]}

5. Si su instancia se encuentra en estado de ejecución, puede conectarse a ella utilizando un cliente SSHen un equipo Linux u OS X con el siguiente comando. Su equipo local debe tener una dirección IPv6configurada.

ssh -i "MyKeyPair.pem" ec2-user@2001:db8:1234:1a00::123

Si se conecta desde un equipo Windows, utilice las siguientes instrucciones: Conectarse a la instanciade Linux desde Windows utilizando PuTTY.

87

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/finding-an-ami.html



Amazon Virtual Private Cloud Guía del usuarioPaso 6: Lanzar una instancia en su subred privada

Paso 6: Lanzar una instancia en su subred privadaPara probar si las instancias de su subred privada de solo salida pueden obtener acceso a Internet, lanceuna instancia en su subred privada y conéctese a ella utilizando una instancia de bastión en su subredpública (puede utilizar la instancia que ha lanzado en la sección anterior). En primer lugar, debe crearun grupo de seguridad para la instancia. El grupo de seguridad debe tener una regla que permita a suinstancia de bastión conectarse mediante SSH, así como una regla que admita el comando ping6 (tráficoICMPv6) para verificar que no se puede obtener acceso a la instancia desde Internet.

1. Cree un grupo de seguridad en su VPC y añada una regla que admita el acceso al SSH entrantedesde la dirección IPv6 de la instancia en su subred pública, y una regla que permita todo el tráficoICMPv6:

aws ec2 create-security-group --group-name SSHAccessRestricted --description "Security group for SSH access from bastion" --vpc-id vpc-2f09a348

{ "GroupId": "sg-aabb1122"}

aws ec2 authorize-security-group-ingress --group-id sg-aabb1122 --ip-permissions '[{"IpProtocol": "tcp", "FromPort": 22, "ToPort": 22, "Ipv6Ranges": [{"CidrIpv6": "2001:db8:1234:1a00::123/128"}]}]'

aws ec2 authorize-security-group-ingress --group-id sg-aabb1122 --ip-permissions '[{"IpProtocol": "58", "FromPort": -1, "ToPort": -1, "Ipv6Ranges": [{"CidrIpv6": "::/0"}]}]'

2. Lance una instancia en su subred privada, utilizando el grupo de seguridad que ha creado y el mismopar de claves que utilizó para lanzar la instancia en la subred pública.

aws ec2 run-instances --image-id ami-a4827dc9 --count 1 --instance-type t2.micro --key-name MyKeyPair --security-group-ids sg-aabb1122 --subnet-id subnet-a46032fc

Utilice el comando describe-instances para verificar si su instancia se está ejecutando y obtenersu dirección IPv6.

3. Configure el reenvío de agentes SSH en su equipo local y, a continuación, conéctese a instancia en lasubred pública. Para Linux, utilice los siguientes comandos:

ssh-add MyKeyPair.pem

ssh -A ec2-user@2001:db8:1234:1a00::123

Para OS X, utilice los siguientes comandos:

ssh-add -K MyKeyPair.pem

ssh -A ec2-user@2001:db8:1234:1a00::123

Para Windows, utilice las siguientes instrucciones: Para configurar el reenvío de agentes SSH paraWindows (PuTTY) (p. 273). Conéctese a la instancia de la subred pública utilizando su direcciónIPv6.

88


4. Desde su instancia en la subred pública (la instancia de bastión), conéctese a su instancia en lasubred privada utilizando su dirección IPv6:

ssh ec2-user@2001:db8:1234:1a01::456

5. Desde su instancia privada, compruebe que puede conectarse a Internet ejecutando el comandoping6 para un sitio web que tenga ICMP habilitado; por ejemplo:

ping6 -n ietf.org

PING ietf.org(2001:1900:3001:11::2c) 56 data bytes64 bytes from 2001:1900:3001:11::2c: icmp_seq=1 ttl=46 time=73.9 ms64 bytes from 2001:1900:3001:11::2c: icmp_seq=2 ttl=46 time=73.8 ms64 bytes from 2001:1900:3001:11::2c: icmp_seq=3 ttl=46 time=73.9 ms...

6. Para comprobar que los hosts de Internet no pueden acceder a su instancia en la subred privada,utilice el comando ping6 desde un equipo habilitado para IPv6. Debería obtener una respuestade tiempo de espera. Si obtiene una respuesta válida, su instancia está accesible desde Internet:compruebe la tabla de ruteo asociada a su subred privada y verifique que no tiene una ruta para eltráfico IPv6 a una gateway de Internet.

ping6 2001:db8:1234:1a01::456

Paso 7: LimpiezaDespués de haber verificado que se puede conectar a su instancia en la subred pública y que su instanciaen la subred privada puede obtener acceso a Internet, puede terminar las instancias si ya no las necesita.Para ello, utilice el comando terminate-instances. Para eliminar los otros recursos que ha creado en esteejemplo, utilice los siguientes comandos según el orden enumerado:

1. Eliminación de sus grupos de seguridad:

aws ec2 delete-security-group --group-id sg-e1fb8c9a

aws ec2 delete-security-group --group-id sg-aabb1122

2. Eliminación de sus subredes:

aws ec2 delete-subnet --subnet-id subnet-b46032ec

aws ec2 delete-subnet --subnet-id subnet-a46032fc

3. Eliminación de sus tablas de ruteo personalizadas:

aws ec2 delete-route-table --route-table-id rtb-c1c8faa6

aws ec2 delete-route-table --route-table-id rtb-abc123ab

4. Separación de una gateway de Internet de su VPC:

aws ec2 detach-internet-gateway --internet-gateway-id igw-1ff7a07b --vpc-id vpc-2f09a348

89

https://docs.aws.amazon.com/cli/latest/reference/ec2/terminate-instances.html


5. Eliminación de una gateway de Internet:

aws ec2 delete-internet-gateway --internet-gateway-id igw-1ff7a07b

6. Eliminación de una gateway de Internet de solo salida:

aws ec2 delete-egress-only-internet-gateway --egress-only-internet-gateway-id eigw-015e0e244e24dfe8a

7. Eliminación de su VPC:

aws ec2 delete-vpc --vpc-id vpc-2f09a348

90

Amazon Virtual Private Cloud Guía del usuarioConceptos básicos de VPC y subredes

VPC y subredesCree una VPC y subredes como primeros pasos en Amazon Virtual Private Cloud (Amazon VPC). Paraobtener información general acerca de Amazon VPC, consulte ¿Qué es Amazon VPC? (p. 1).

Contenido• Conceptos básicos de VPC y subredes (p. 91)• Tamaño de VPC y subred (p. 94)• Enrutar la subred (p. 99)• Seguridad de la subred (p. 100)• Usar VPC y subredes (p. 100)• Usar VPC compartidas (p. 108)• Ampliación de las VPC (p. 111)

Conceptos básicos de VPC y subredesUna cloud virtual privada (VPC) es una red virtual dedicada para su cuenta de AWS. Esta infraestructuraen la nube está aislada lógicamente de otras redes virtuales de la nube de AWS. Por lo tanto, puede lanzara su VPC recursos de AWS como, por ejemplo, instancias de Amazon EC2.

Al crear una VPC, debe especificar un rango de direcciones IPv4 para la VPC como bloque dedireccionamiento entre dominios sin clases (CIDR). Por ejemplo, 10.0.0.0/16. Se trata del bloque deCIDR principal de la VPC. Para obtener más información acerca de la notación CIDR, consulte RFC 4632.

En el siguiente diagrama se muestra una VPC nueva con un bloque de CIDR IPv4.

91

https://tools.ietf.org/html/rfc4632


La tabla de enrutamiento principal tiene las siguientes rutas.

Destino Objetivo

10.0.0.0/16 local

Una VPC abarca todas las zonas de disponibilidad de la región. Tras crear la VPC, podrá añadir una ovarias subredes en cada zona de disponibilidad. De forma opcional, puede añadir subredes en una zonalocal, que es una implementación de la infraestructura de AWS que acerca los servicios de informática,almacenamiento, base de datos y otros servicios selectos a los usuarios finales. Una zona local permiteque sus usuarios finales ejecuten aplicaciones que requieren latencias de milisegundos de un solodígito. Para obtener información acerca de las regiones que admiten zonas locales, consulte Regionesdisponibles en la Guía del usuario de Amazon EC2 para instancias de Linux. Al crear una subred, debeespecificar el bloque de CIDR de la subred, que es un subconjunto del bloque de CIDR de la VPC. Cadasubred debe residir enteramente en una zona de disponibilidad y no puede abarcar otras zonas. Las zonas

92

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-regions-availability-zones.html#concepts-available-regions



de disponibilidad son ubicaciones diferentes diseñadas para quedar aisladas en caso de error en otraszonas de disponibilidad. Al lanzar instancias en distintas zonas de disponibilidad, puede proteger susaplicaciones de los errores que se produzcan en una única ubicación. Cada subred tiene asignado un IDúnico.

También es posible asignar un bloque de CIDR IPv6 a su VPC y asignar bloques de CIDR IPv6 a lassubredes.

El diagrama siguiente muestra una VPC configurada con subredes en varias zonas de disponibilidad. 1A,2A, y 3A son instancias de su VPC. La VPC y la subred 1 tienen asignados un bloque de CIDR IPv6. Elpuerto de enlace a Internet permite la comunicación a través de Internet y la conexión de red privada virtual(VPN) permite la comunicación con su red corporativa.

93

Amazon Virtual Private Cloud Guía del usuarioTamaño de VPC y subred

Si el tráfico de una subred se direcciona a un puerto de enlace a Internet, la subred recibe el nombrede subred pública. En este diagrama, la subred 1 es una subred pública. Si desea que su instancia deuna subred pública pueda comunicarse con Internet mediante IPv4, esta debe tener una dirección IPv4pública o una dirección IP elástica (IPv4). Para obtener más información acerca de las direcciones IPv4públicas, consulte Direcciones IPv4 públicas (p. 125). Si desea que su instancia de la subred públicapueda comunicarse con Internet a través de IPv6, esta deberá disponer de una dirección IPv6.

Si una subred no tiene ninguna ruta al puerto de enlace a Internet, la subred recibe el nombre de subredprivada. En este diagrama, la subred 2 es una subred privada.

Si una subred no tiene ninguna ruta a la gateway de Internet pero tiene su tráfico direccionado a unagateway privada virtual para la conexión de Site-to-Site VPN, la subred se conoce como subred de soloVPN. En este diagrama, la subred 3 es una subred de solo VPN. Actualmente, no se admite el tráfico IPv6a través de conexiones de Site-to-Site VPN.

Para obtener más información, consulte Ejemplos de VPC (p. 70), Puertos de enlace a internet (p. 252) y¿Qué es AWS Site-to-Site VPN? en la Guía del usuario de AWS Site-to-Site VPN.

Note

Independientemente del tipo de subred, el rango de direcciones IPv4 de la subred es siempreprivado; es decir, no se anuncia el bloque de direcciones en Internet.

Se ha establecido una cuota en el número de subredes y VPC que puede crear en su cuenta. Para obtenermás información, consulte Cuotas de Amazon VPC (p. 378).

Tamaño de VPC y subredAmazon VPC admite la utilización de direcciones IPv4 e IPv6 y tiene distintas cuotas de tamaño de bloquede CIDR para cada tipo de direcciones. De forma predeterminada, todas las VPC y subredes deben tenerbloques de CIDR IPv4. Este comportamiento no se puede modificar. De forma opcional, puede asociar unbloque de CIDR IPv6 con su VPC.

Para obtener más información sobre el direccionamiento de IP, consulte Direcciones IP en suVPC (p. 123).

Contenido• Tamaño de VPC y subred para direcciones IPv4 (p. 94)• Agregar bloques de CIDR IPv4 a una VPC (p. 95)• Tamaño de VPC y subred para direcciones IPv6 (p. 99)

Tamaño de VPC y subred para direcciones IPv4Cuando crea una VPC, debe especificar un bloque de CIDR IPv4 para la VPC. El tamaño de bloquepermitido oscila entre la máscara de subred /16 (65 536 direcciones IP) y /28 (16 direcciones IP). Unavez que haya creado su VPC, puede asociar bloques de CIDR secundarios con ella. Para obtener másinformación, consulte Agregar bloques de CIDR IPv4 a una VPC (p. 95).

Al crear una VPC, se recomienda especificar un bloque de CIDR (de tamaño /16 o menor) de los rangosde direcciones IPv4 privadas tal como se especifica en RFC 1918:

• 10.0.0.0 - 10.255.255.255 (prefijo 10/8)• 172.16.0.0 - 172.31.255.255 (prefijo 172.16/12)

94


http://www.faqs.org/rfcs/rfc1918.html

Amazon Virtual Private Cloud Guía del usuarioAgregar bloques de CIDR IPv4 a una VPC

• 192.168.0.0 - 192.168.255.255 (prefijo 192.168/16)

Puede crear una VPC con un bloque de CIDR direccionable públicamente externo a los rangos dedirecciones IPv4 privadas especificados en RFC 1918; sin embargo, para esta documentación, lasdirecciones IP privadas son aquellas direcciones IPv4 que se encuentran en el rango de CIDR de su VPC.

Note

Si va a crear una VPC para usarla con otro servicio de AWS, consulte la documentación dedicho servicio para comprobar si hay requisitos específicos para el rango de direcciones IP o loscomponentes de red.

El bloque de CIDR de una subred puede ser el mismo que el de la VPC (para una subred única de la VPC)o un subconjunto del mismo (para varias subredes). El tamaño de bloque permitido oscila entre la máscarade subred /28 y /16. Si crea más de una subred en una VPC, los bloques de CIDR de las subredes no sepueden solapar.

Por ejemplo, si crea una VPC con un bloque de CIDR 10.0.0.0/24, esta admitirá 256 direcciones IP.Este bloque de CIDR se puede dividir en dos subredes con 128 direcciones IP cada una. Una subredutilizará el bloque de CIDR 10.0.0.0/25 (para el intervalo de direcciones 10.0.0.0 - 10.0.0.127)y la otra utilizará el bloque de CIDR 10.0.0.128/25 (para el intervalo de direcciones 10.0.0.128 -10.0.0.255).

Existen muchas herramientas disponibles que le ayudarán a calcular los bloques de CIDR de la subred.Por ejemplo, consulte el sitio web http://www.subnet-calculator.com/cidr.php. Además, su grupo deingeniería de red podrá ayudarle a determinar los bloques de CIDR que debe especificar a las subredes.

Las cuatro primeras direcciones IP y la última dirección IP de cada bloque de CIDR de las subredes no sepodrán utilizar y no se pueden asignar a ninguna instancia. Por ejemplo, en una subred con el bloque deCIDR 10.0.0.0/24, estarán reservadas las cinco direcciones IP siguientes:

• 10.0.0.0: dirección de red.• 10.0.0.1: reservada por AWS para el router de la VPC.• 10.0.0.2: reservada por AWS. La dirección IP del servidor DNS es la base del intervalo de red de

la VPC más dos. En el caso de las VPC con varios bloques de CIDR, la dirección IP del servidor DNSse encuentra en el CIDR principal. También reservamos la base de cada intervalo de red más dospara todos los bloques de CIDR de la VPC. Para obtener más información, consulte Servidor DNS deAmazon (p. 298).

• 10.0.0.3: reservada por AWS para futura utilización.• 10.0.0.255: dirección de difusión de red. Puesto que la difusión no se admite en las VPC, esta

dirección queda reservada.

Si crea una VPC o una subred mediante una herramienta de línea de comandos o la API de AmazonEC2, el bloque de CIDR se modifica automáticamente a su forma canónica. Por ejemplo, si especifica100.68.0.18/18 en el bloque de CIDR, creamos un bloque de CIDR de 100.68.0.0/18.

Agregar bloques de CIDR IPv4 a una VPCPuede asociar bloques de CIDR IPv4 secundarios con su VPC. Al asociar un bloque de CIDR con su VPC,se agrega una ruta automáticamente a sus tables de ruteo de VPC para habilitar el direccionamiento en laVPC (el destino es el bloque de CIDR y el objetivo es local).

En el ejemplo siguiente, la VPC de la izquierda tiene un solo bloque de CIDR (10.0.0.0/16) y dossubredes. La VPC de la derecha representa la arquitectura de la misma VPC después de haber agregado

95

http://www.subnet-calculator.com/cidr.php


un segundo bloque de CIDR (10.2.0.0/16) y haber creado una subred a partir del rango del segundoCIDR.

Para añadir un bloque de CIDR a su VPC, se aplican las siguientes reglas:

• El tamaño de bloque permitido oscila entre la máscara de subred /28 y /16.• El bloque de CIDR no se debe solapar con otro bloque de CIDR existente que esté asociado con la VPC.• Los rangos de las direcciones IPv4 que puede usar están sujetos a ciertas restricciones. Para obtener

más información, consulte Restricciones de asociación de bloques de CIDR IPv4 (p. 97).• No es posible aumentar o reducir el tamaño de un bloque de CIDR existente.• Hay una cuota en el número de bloques de CIDR que se pueden asociar con una VPC y el número de

rutas que se pueden agregar a una tabla de ruteo. No puede asociar un bloque de CIDR si el resultadosupera las cuotas. Para obtener más información, consulte Cuotas de Amazon VPC (p. 378).

• El bloque de CIDR no debe ser igual o mayor que el rango de CIDR de una ruta en cualquiera de lastablas de ruteo de VPC. Por ejemplo, en una VPC donde el bloque de CIDR principal es 10.2.0.0/16,desea asociar un bloque de CIDR secundario en el rango 10.0.0.0/16. Ya tiene una ruta con undestino de 10.0.0.0/24 a una gateway privada virtual, por tanto no puede asociar un bloque de CIDRdel mismo rango o superior. No obstante, puede asociar un bloque de CIDR de 10.0.0.0/25 o menor.

• Si ha habilitado la VPC para ClassicLink, puede asociar bloques de CIDR de los rangos 10.0.0.0/16 y10.1.0.0/16, pero no puede asociar ningún otro bloque de CIDR del rango 10.0.0.0/8.

• Se aplican las siguientes reglas al agregar bloques de CIDR IPv4 a una VPC de forma parte de unainterconexión de VPC:• Si la interconexión de VPC es active, puede agregar bloques de CIDR a una VPC siempre que no

se solapen con un bloque de CIDR de la VPC del mismo nivel.• Si la interconexión de VPC es pending-acceptance, el propietario de la VPC del solicitante no

puede agregar ningún bloque de CIDR a la VPC, independientemente de si se solapa con el bloque deCIDR de la VPC del aceptador. El propietario de la VPC del aceptador debe aceptar la interconexión

96


o el propietario de la VPC del solicitante debe eliminar la solicitud de interconexión de VPC, agregar elbloque de CIDR y, a continuación, solicitar una nueva interconexión de VPC.

• Si la interconexión de VPC es pending-acceptance, el propietario de la VPC del aceptador puedeagregar bloques de CIDR a la VPC. Si un bloque de CIDR secundario se solapa con un bloquede CIDR de la VPC del solicitante, se produce un error en la interconexión de VPC y no se puedeaceptar.

• Si utiliza AWS Direct Connect para conectar con varias VPC a través de una gateway de Direct Connect,las VPC asociadas a la gateway no deben tener bloques de CIDR solapados. Si añade un bloque deCIDR a una de las VPC asociadas a la gateway de Direct Connect, asegúrese de que el nuevo bloquede CIDR no se solape con un bloque de CIDR existente de cualquier otra VPC asociada. Para obtenermás información, consulte Gateways de Direct Connect en la Guía del usuario de AWS Direct Connect.

• Cuando añade o elimina un bloque de CIDR, este puede pasar por varios estados: associating |associated | disassociating | disassociated | failing | failed. El bloque de CIDR está listopara usar cuando se encuentra en el estado associated.

En la siguiente tabla se proporciona información general de las asociaciones de bloques de CIDRpermitidas y restringidas, que dependen del rango de direcciones IPv4 en el que se encuentre el bloque deCIDR principal de la VPC.

Restricciones de asociación de bloques de CIDR IPv4

Rango de direcciones IP en elque se encuentra el bloque deCIDR de VPC principal

Asociaciones de bloques deCIDR restringidas

Asociaciones de bloques deCIDR permitidas

10.0.0.0/8 Bloques de CIDR de otros rangosRFC 1918* (172.16.0.0/12 y192.168.0.0/16).

Si su bloque de CIDR principalse encuentra en el rango10.0.0.0/15, no puede agregarun bloque de CIDR del rango10.0.0.0/16.

Un bloque de CIDR del rango198.19.0.0/16.

Cualquier otro CIDR delrango 10.0.0.0/8 que no estérestringido.

Cualquier bloque de IPv4direccionable públicamente (noRFC 1918), o un bloque de CIDRdel rango 100.64.0.0/10.

172.16.0.0/12 Bloques de CIDR de otrosrangos RFC 1918* (10.0.0.0/8 y192.168.0.0/16).



Cualquier otro CIDR del rango172.16.0.0/12 que no estérestringido.


192.168.0.0/16 Bloques de CIDR de otros rangosRFC 1918* (172.16.0.0/12 y10.0.0.0/8).


Cualquier otro bloque de CIDRdel rango 192.168.0.0/16.


198.19.0.0/16 Bloques de CIDR de rangos RFC1918*.

Cualquier bloque de IPv4direccionable públicamente (no

97

https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-gateways.html


Rango de direcciones IP en elque se encuentra el bloque deCIDR de VPC principal

Asociaciones de bloques deCIDR restringidas

Asociaciones de bloques deCIDR permitidas

RFC 1918), o un bloque de CIDRdel rango 100.64.0.0/10.

Bloque de CIDR direccionablepúblicamente (no RFC 1918),o un bloque de CIDR del rango100.64.0.0/10.

Bloques de CIDR de los rangosRFC 1918*.


Cualquier otro bloque de CIDRIPv4 direccionable públicamente(no RFC 1918), o un bloque deCIDR del rango 100.64.0.0/10.

*Los rangos de RFC 1918 son los rangos de direcciones IPv4 privadas que se especifican en RFC 1918.

Puede desvincular un bloque de CIDR que haya asociado con la VPC; sin embargo, no puede desvincularel bloque de CIDR con el que haya creado originalmente la VPC (el bloque de CIDR principal). Para ver elCIDR principal de su VPC en la consola de Amazon VPC, elija Your VPCs (Sus VPC), seleccione su VPC yanote la primera entrada en CIDR blocks (Bloques de CIDR). También puede utilizar el comando describe-vpcs:

aws ec2 describe-vpcs --vpc-id vpc-1a2b3c4d

En el resultado que se devuelve, el CIDR se devuelve en el elemento CidrBlock de nivel superior (elpenúltimo elemento del resultado de ejemplo siguiente).

{ "Vpcs": [ { "VpcId": "vpc-1a2b3c4d", "InstanceTenancy": "default", "Tags": [ { "Value": "MyVPC", "Key": "Name" } ], "CidrBlockAssociations": [ { "AssociationId": "vpc-cidr-assoc-3781aa5e", "CidrBlock": "10.0.0.0/16", "CidrBlockState": { "State": "associated" } }, { "AssociationId": "vpc-cidr-assoc-0280ab6b", "CidrBlock": "10.2.0.0/16", "CidrBlockState": { "State": "associated" } } ], "State": "available", "DhcpOptionsId": "dopt-e0fe0e88", "CidrBlock": "10.0.0.0/16", "IsDefault": false } ]}

98


https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpcs.html


Amazon Virtual Private Cloud Guía del usuarioTamaño de VPC y subred para direcciones IPv6

Tamaño de VPC y subred para direcciones IPv6Es posible asociar un único bloque de CIDR IPv6 a una VPC existente de su cuenta o al crear una nuevaVPC. El bloque de CIDR es una longitud de prefijo determinada de /56. Puede solicitar un bloque de CIDRIPv6 del grupo de direcciones IPv6 de Amazon.

Si ha asociado un bloque de CIDR IPv6 a su VPC, podrá asociar un bloque de CIDR IPv6 a una subredexistente en su VPC, o bien podrá crear una nueva subred. El bloque de CIDR IPv6 de una subred es unalongitud de prefijo determinada de /64.

Por ejemplo, puede crear una VPC y especificar que desea asociar un bloque de CIDR IPv6proporcionado por Amazon a la VPC. Amazon asigna el siguiente bloque de CIDR IPv6 a suVPC: 2001:db8:1234:1a00::/56. No puede elegir el intervalo de direcciones IP usted mismo.Puede crear una subred y asociar un bloque de CIDR IPv6 desde este rango. Por ejemplo,2001:db8:1234:1a00::/64.

Asimismo, puede anular la asociación de un bloque de CIDR IPv6 de una subred y anular la asociaciónde un bloque de CIDR IPv6 de una VPC. Tras anular la asociación de un bloque de CIDR IPv6 de unaVPC, no podrá esperar recibir el mismo CIDR si vuelve a asociar un bloque de CIDR IPv6 a su VPC másadelante.

Las cuatro primeras direcciones IPv6 y la última dirección IPv6 de cada bloque de CIDR de las subredesno se podrán utilizar y no se pueden asignar a ninguna instancia. Por ejemplo, en una subred con elbloque de CIDR 2001:db8:1234:1a00/64, estarán reservadas las cinco direcciones IP siguientes:

• 2001:db8:1234:1a00::

• 2001:db8:1234:1a00::1

• 2001:db8:1234:1a00::2

• 2001:db8:1234:1a00::3

• 2001:db8:1234:1a00:ffff:ffff:ffff:ffff

Enrutar la subredCada subred debe estar asociada a una tabla de ruteo que, a su vez, especifica las rutas permitidas parael tráfico saliente de la subred. Cada subred que se crea se asocia automáticamente a la tabla de ruteoprincipal de la VPC. Es posible cambiar la asociación y el contenido de la tabla de ruteo principal. Paraobtener más información, consulte Tablas de ruteo (p. 220).

En el diagrama anterior, la tabla de ruteo asociada a la subred 1 direcciona todo el tráfico IPv4(0.0.0.0/0) e IPv6 (::/0) a un puerto de enlace a Internet (por ejemplo, igw-1a2b3c4d). Puesto quela instancia 1A tiene una dirección IP elástica IPv4 y una dirección IPv6, se puede acceder a ella desdeInternet a través de IPv4 e IPv6.

Note

(Solo IPv4) El acceso a la dirección IPv4 elástica o la dirección IPv4 pública asociada a suinstancia se realiza a través del puerto de enlace a Internet de su VPC. El tráfico que pasa por laconexión de AWS Site-to-Site VPN entre su instancia y otra red atraviesa una gateway privadavirtual y no la gateway de Internet; por lo tanto, no obtiene acceso a la dirección IPv4 elástica ni ala dirección IPv4 pública.

La instancia 2A no puede tener acceso a Internet, pero sí puede obtener acceso a otras instancias dela VPC. También puede permitir que una instancia de su VPC inicie conexiones salientes a Interneta través de IPv4 y bloquear las conexiones entrantes no deseadas procedentes de Internet medianteuna instancia o una gateway de conversión de direcciones de red (NAT). Puesto que el número dedirecciones IP elásticas que se puede asignar es limitado, se recomienda utilizar un dispositivo NAT si

99

Amazon Virtual Private Cloud Guía del usuarioSeguridad de la subred

tiene más instancias que requieran dirección IP pública estática. Para obtener más información, consulteNAT (p. 267). Para iniciar comunicaciones de solo salida a Internet mediante IPv6, puede utilizar unpuerto de enlace a Internet de solo salida. Para obtener más información, consulte Gateways de Internetde solo salida (p. 258).

La tabla de ruteo asociada a la subred 3 direcciona todo el tráfico IPv4 (0.0.0.0/0) a una gatewayprivada virtual (por ejemplo, vgw-1a2b3c4d). La instancia 3A puede obtener acceso a los equipos de lared corporativa mediante la conexión de Site-to-Site VPN.

Seguridad de la subredAWS cuenta con dos características que puede usar para aumentar la seguridad de la VPC: los gruposde seguridad y las ACL de red. Los grupos de seguridad controlan el tráfico de entrada y salida de lasinstancias, mientras que las ACL de red controlan el tráfico de entrada y salida de las subredes. En lamayoría de los casos, los grupos de seguridad se ajustarán a sus necesidades. No obstante, puede usartambién las ACL de red si desea agregar un nivel de seguridad adicional en la VPC. Para obtener másinformación, consulte Privacidad del tráfico entre redes en Amazon VPC (p. 145).

Por diseño, cada subred debe estar asociada a una ACL de red. Cada subred que se crea se asociaautomáticamente a la ACL de red predeterminada de la VPC. Es posible cambiar la asociación yel contenido de la ACL de red predeterminada. Para obtener más información, consulte ACL dered (p. 174).

Puede crear un log de flujo en su VPC o subred para capturar el flujo de tráfico entrante y saliente delas interfaces de red de su VPC o subred. También es posible crear un log de flujo en una interfaz dered individual. Los registros de flujo se publican en CloudWatch Logs o Amazon S3. Para obtener másinformación, consulte Logs de flujo de VPC (p. 190).

Usar VPC y subredesLos procedimientos siguientes describen la creación manual de VPC y subredes. También tendrá queañadir manualmente gateways y tablas de ruteo. De manera alternativa, puede utilizar el asistente deAmazon VPC para crear una VPC y sus subredes, gateways y tablas de ruteo en un solo paso. Paraobtener más información, consulte Ejemplos de VPC (p. 70).

Tareas• Creación de una VPC (p. 100)• Crear una subred en la VPC (p. 102)• Asociar un bloque de CIDR IPv4 secundario con su VPC (p. 103)• Asociar un bloque de CIDR IPv6 con su VPC (p. 103)• Asociar un bloque de CIDR IPv6 con su subred (p. 104)• Lanzar una instancia en su subred (p. 104)• Eliminar su subred (p. 105)• Disociar un bloque de CIDR IPv4 de su VPC (p. 105)• Disociar un bloque de CIDR IPv6 de su VPC o subred (p. 106)• Eliminar su VPC (p. 107)

Creación de una VPCPuede crear una VPC vacía mediante la consola de Amazon VPC.

100

Amazon Virtual Private Cloud Guía del usuarioCreación de una VPC

Para crear una VPC con la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Your VPCs, Create VPC.3. Especifique los siguientes detalles de VPC según sea necesario.

• Name tag: indique, de manera opcional, un nombre para su VPC. Esta acción creará una etiquetacon una clave de Name y el valor que especifique.

• IPv4 CIDR block: especifique un bloque de CIDR IPv4 para la VPC. El bloque de CIDR máspequeño que puede especificar es /28 y el más grande es /16. Se recomienda especificar un bloquede CIDR de los rangos de direcciones IP privadas (no direccionables públicamente) tal como seespecifica en RFC 1918. Por ejemplo, 10.0.0.0/16 o 192.168.0.0/16.

Note

Puede especificar un rango de direcciones IPv4 enrutables públicamente. Sin embargo,actualmente no admitimos el acceso directo a Internet desde bloques de CIDR enrutablespúblicamente en una VPC. Las instancias de Windows no se podrán iniciar correctamentesi se lanzan en una VPC con rangos que oscilan desde 224.0.0.0 a 255.255.255.255(rangos de direcciones IP de clase D y clase E).

• Bloque de CIDR IPv6: de forma opcional, puede asociar un bloque de CIDR IPv6 con su VPC. Elijauna de las siguientes opciones y, a continuación, elija Select CIDR (Seleccionar CIDR):• Amazon-provided IPv6 CIDR block (Bloque de CIDR IPv6 proporcionado por Amazon): solicita

un bloque de CIDR IPv6 del grupo de direcciones IPv6 de Amazon. En Grupo de borde de red,seleccione el grupo desde el que AWS anuncia las direcciones IP.

• IPv6 CIDR owned by me (CIDR IPv6 de mi propiedad: (BYOIP) asigna un bloque de CIDR IPv6de su grupo de direcciones IPv6. En Pool (Grupo), elija el grupo de direcciones IPv6 desde el quedesea asignar el bloque de CIDR IPv6.

• Tenancy (Propiedad): seleccione una opción de propiedad. La tenencia dedicada garantiza que lasinstancias se ejecutan en hardware de un solo propietario. Para obtener más información, consulteInstancias dedicadas en la Guía del usuario de Amazon EC2 para instancias de Linux.

• (Opcional) Añada o elimine una etiqueta.

[Añadir una etiqueta] Elija Add tag (Añadir etiqueta) y haga lo siguiente:• En Key (Clave), escriba el nombre de la clave.• En Value (Valor), escriba el valor de la clave.

[Eliminar una etiqueta] Elija Eliminar a la derecha de la clave y el valor de la etiqueta.4. Seleccione Create (Crear).

También puede utilizar una herramienta de la línea de comandos.

Para crear una VPC con una herramienta de la línea de comandos

• create-vpc (AWS CLI)• New-EC2Vpc (Herramientas de AWS para Windows PowerShell)

Para describir una VPC con una herramienta de la línea de comandos

• describe-vpcs (AWS CLI)• Get-EC2Vpc (Herramientas de AWS para Windows PowerShell)

Para obtener más información acerca de las direcciones IP, consulte Direcciones IP en su VPC (p. 123).

101



https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-byoip.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpc.html

https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Vpc.html


https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Vpc.html

Amazon Virtual Private Cloud Guía del usuarioCrear una subred en la VPC

Una vez creada la VPC, podrá crear las subredes. Para obtener más información, consulte Crear unasubred en la VPC (p. 102).

Crear una subred en la VPCPara agregar una nueva subred a su VPC, deberá especificar un bloque de CIDR IPv4 para la subred delrango de su VPC. Puede especificar la zona de disponibilidad en la que desea que se encuentre la subred.Puede tener varias subredes en la misma zona de disponibilidad.

También puede especificar un bloque de CIDR IPv6 para su subred si el bloque de CIDR IPv6 estáasociado a su VPC.

Para crear la subred en una zona local o en una zona de Wavelength, debe habilitar la zona. Para obtenerinformación acerca de cómo habilitar las zonas de Wavelength, consulte Habilitación de zonas en la Guíadel usuario de Amazon EC2 para instancias de Linux.

Para agregar una subred a su VPC con la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Subnets (Subredes), Create Subnet (Crear subred).3. Especifique los detalles de la subred según sea necesario y elija Create (Crear).

• Name tag: indique, de manera opcional, un nombre para su subred. Esta acción creará una etiquetacon una clave de Name y el valor que especifique.

• VPC: elija la VPC para la que va a crear la subred.• Zona de disponibilidad: elija, de manera opcional, la zona en la que residirá su subred, o bien

deje el valor predeterminado Sin preferencia para que AWS elija una zona de disponibilidadautomáticamente.

Para obtener información acerca de las regiones y zonas, consulte Regiones y zonas en la Guía delusuario de Amazon EC2 para instancias de Linux.

• IPv4 CIDR block: especifique un bloque de CIDR IPv4 para su subred. Por ejemplo, 10.0.1.0/24.Para obtener más información, consulte Tamaño de VPC y subred para direcciones IPv4 (p. 94).

• IPv6 CIDR block: (opcional) si ha asociado un bloque de CIDR IPv6 a su VPC, elija Specify acustom IPv6 CIDR. Especifique la pareja de valores hexadecimales de la subred, o bien deje el valorpredeterminado.

4. (Optional) Si es necesario, repita los pasos anteriores para crear más subredes en su VPC.


Para agregar una subred con una herramienta de la línea de comandos

• create-subnet (AWS CLI)• New-EC2Subnet (Herramientas de AWS para Windows PowerShell)

Para describir una subred con una herramienta de la línea de comandos

• describe-subnets (AWS CLI)• Get-EC2Subnet (Herramientas de AWS para Windows PowerShell)

Una vez creada la subred, podrá hacer lo siguiente:

• Configurar el direccionamiento. Para convertir su subred en una subred pública, debe adjuntar unpuerto de enlace a Internet a su VPC. Para obtener más información, consulte Crear y asociar una

102

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-regions-availability-zones.html#enable-zone-group



https://docs.aws.amazon.com/cli/latest/reference/ec2/create-subnet.html

https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Subnet.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-subnets.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Subnet.html

Amazon Virtual Private Cloud Guía del usuarioAsociar un bloque de CIDR IPv4 secundario con su VPC

gateway de Internet (p. 255). A continuación, podrá crear una tabla de ruteo personalizada y agregaruna ruta al puerto de enlace a Internet. Para obtener más información, consulte Crear una tabla deenrutamiento personalizada (p. 256). Para obtener más opciones de direccionamiento, consulte Tablasde ruteo (p. 220).

• Modificar la configuración de la subred para especificar que todas las instancias que se lancen enla subred reciban una dirección IPv4 pública, una dirección IPv6 o ambas cosas. Para obtener másinformación, consulte Comportamiento de las direcciones IP de su subred (p. 126).

• Crear o modificar sus grupos de seguridad según sea necesario. Para obtener más información, consulteGrupos de seguridad de su VPC (p. 165).

• Crear o modificar las ACL de red según sea necesario. Para obtener más información, consulte ACL dered (p. 174).

• Compartir la subred con otras cuentas. Para obtener más información, consulte ??? (p. 109).

Asociar un bloque de CIDR IPv4 secundario con suVPCPuede agregar otro bloque de CIDR IPv4 a su VPC. No se olvide consultar las restricciones (p. 95)aplicables.

Después de haber asociado un bloque de CIDR, el estado cambia a associating. El bloque de CIDRestá listo para usar cuando se encuentra en el estado associated.

Para agregar un bloque de CIDR a su VPC con la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Your VPCs.3. Seleccione la VPC y elija Actions, Edit CIDRs.4. Elija Add IPv4 CIDR y escriba el bloque de CIDR que se agregará, por ejemplo, 10.2.0.0/16.

Seleccione el icono de marca de verificación.5. Seleccione la opción Close.


Para agregar un bloque de CIDR con una herramienta de la línea de comandos

• associate-vpc-cidr-block (AWS CLI)• Register-EC2VpcCidrBlock (Herramientas de AWS para Windows PowerShell)

Después de haber agregado los bloques de CIDR IPv4 que necesita, puede crear las subredes. Paraobtener más información, consulte Crear una subred en la VPC (p. 102).

Asociar un bloque de CIDR IPv6 con su VPCEs posible asociar un bloque de CIDR IPv6 a cualquier VPC existente. La VPC no puede tener ningúnbloque de CIDR IPv6 asociado.

Para asociar un bloque de CIDR IPv6 a una VPC con la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Your VPCs.3. Seleccione su VPC, elija Actions, Edit CIDRs.

103


https://docs.aws.amazon.com/cli/latest/reference/ec2/associate-vpc-cidr-block.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Register-EC2VpcCidrBlock.html


Amazon Virtual Private Cloud Guía del usuarioAsociar un bloque de CIDR IPv6 con su subred

4. Elija Add IPv6 CIDR.5. Elija Add IPv6 CIDR.6. En IPv6 CIDR block (Bloque de CIDR IPv6), elija una de las siguientes opciones y, a continuación,

elija Select CIDR (Seleccionar CIDR):

• Amazon-provided IPv6 CIDR block (Bloque de CIDR IPv6 proporcionado por Amazon): solicita unbloque de CIDR IPv6 del grupo de direcciones IPv6 de Amazon.

• IPv6 CIDR owned by me (CIDR IPv6 de mi propiedad: (BYOIP) Asigna un bloque de CIDR IPv6de su grupo de direcciones IPv6. En Pool (Grupo), elija el grupo de direcciones IPv6 desde el quedesea asignar el bloque de CIDR IPv6.

7. Si seleccionó el bloque de CIDR IPv6 proporcionado por Amazon, en Network border group (Grupo deborde de red), seleccione el grupo desde el que AWS anuncia las direcciones IP.

8. Seleccione Select CIDR (Seleccionar CIDR).9. Seleccione la opción Close.


Para asociar un bloque de CIDR IPv6 a una VPC con una herramienta de la línea de comandos

• associate-vpc-cidr-block (AWS CLI)• Register-EC2VpcCidrBlock (Herramientas de AWS para Windows PowerShell)

Asociar un bloque de CIDR IPv6 con su subredPuede asociar un bloque de CIDR IPv6 a una subred existente de su VPC. La subred no puede tenerningún bloque de CIDR IPv6 asociado.

Para asociar un bloque de CIDR IPv6 a una subred con la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Subnets.3. Seleccione su subred, elija Subnet Actions, Edit IPv6 CIDRs.4. Elija Add IPv6 CIDR. Especifique la pareja de valores hexadecimales para la subred (por ejemplo, 00)

y confirme la entrada seleccionando el icono de marca de verificación.5. Seleccione la opción Close.


Para asociar un bloque de CIDR IPv6 a una subred con una herramienta de la línea de comandos

• associate-subnet-cidr-block (AWS CLI)• Register-EC2SubnetCidrBlock (Herramientas de AWS para Windows PowerShell)

Lanzar una instancia en su subredUna vez creada la subred y configurado el direccionamiento, podrá lanzar la instancia en su subredmediante la consola de Amazon EC2.

Para lanzar una instancia en su subred privada con la consola

1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

104

https://docs.aws.amazon.com/cli/latest/reference/ec2/associate-vpc-cidr-block.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Register-EC2VpcCidrBlock.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/associate-subnet-cidr-block.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Register-EC2SubnetCidrBlock.html


Amazon Virtual Private Cloud Guía del usuarioEliminar su subred

2. En el panel, elija Launch Instance.3. Siga las indicaciones del asistente. Seleccione una AMI y un tipo de instancia y, a continuación, elija

Next: Configure Instance Details.

Note

Si desea que su instancia se comunique mediante IPv6, debe seleccionar un tipo de instanciacompatible. Todos los tipos de instancia de la generación actual admiten direcciones IPv6.

4. En la página Configure Instance Details, asegúrese de haber seleccionado la VPC necesaria en lalista Network. A continuación, seleccione la subred en la que desea lanzar la instancia. Deje las demásopciones predeterminadas de la página y elija Next: Add Storage.

5. En las páginas siguientes del asistente, podrá configurar el almacenamiento de su instancia y añadiretiquetas. En la página Configure Security Group, elija uno de los grupos de seguridad existentes desu propiedad, o bien siga las instrucciones del asistente para crear un nuevo grupo de seguridad. ElijaReview and Launch cuando haya terminado.

6. Revise la configuración y elija Launch.7. Seleccione un par de claves de su propiedad o cree uno nuevo. A continuación, elija Launch Instances

cuando haya terminado.


Para lanzar una instancia en su subred privada con una herramienta de la línea de comandos

• run-instances (AWS CLI)• New-EC2Instance (Herramientas de AWS para Windows PowerShell)

Eliminar su subredSi ya no necesita su subred, puede eliminarla. Para ello, antes deberá terminar las instancias de la subred.

Para eliminar su subred con la consola

1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. Termine todas las instancias de la subred. Para obtener más información, consulte Terminar una

instancia en la Guía del usuario de EC2.3. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.4. En el panel de navegación, elija Subnets.5. Seleccione la subred que desea eliminar y elija Actions (Acciones), Delete subnet (Eliminar subred).6. En el cuadro de diálogo Delete Subnet (Eliminar subred), elija Yes, Delete (Sí, eliminar).


Para eliminar una subred con una herramienta de la línea de comandos

• delete-subnet (AWS CLI)• Remove-EC2Subnet (Herramientas de AWS para Windows PowerShell)

Disociar un bloque de CIDR IPv4 de su VPCSi su VPC tiene varios bloques de CIDR IPv4 asociados a ella, puede desvincular un bloque de CIDRIPv4 de la VPC. No se puede desvincular el bloque de CIDR IPv4 principal. Solo se puede desvincular un

105

https://docs.aws.amazon.com/cli/latest/reference/ec2/run-instances.html

https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Instance.html


https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/terminating-instances.html



https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-subnet.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2Subnet.html

Amazon Virtual Private Cloud Guía del usuarioDisociar un bloque de CIDR IPv6 de su VPC o subred

bloque de CIDR completo, es decir, no se puede desvincular un subconjunto de un bloque de CIDR o unrango fusionado de bloques de CIDR. Primero debe eliminar todas las subredes del bloque de CIDR.

Para eliminar un bloque de CIDR de una VPC con la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Your VPCs.3. Seleccione la VPC y elija Actions, Edit CIDRs.4. En VPC IPv4 CIDRs, elija el botón de eliminación (una cruz) correspondiente al bloque de CIDR que

se eliminará.5. Seleccione la opción Close.


Para eliminar un bloque de CIDR IPv4 de una VPC con una herramienta de la línea de comandos

• disassociate-vpc-cidr-block (AWS CLI)• Unregister-EC2VpcCidrBlock (Herramientas de AWS para Windows PowerShell)

Disociar un bloque de CIDR IPv6 de su VPC o subredSi ya no desea que su VPC o subred admitan IPv6 pero desea seguir utilizando su VPC o su subred paracrear y comunicarse con recursos IPv4, puede anular la asociación del bloque de CIDR IPv6.

Para anular la asociación de un bloque de CIDR IPv6, primero deberá anular la asignación de lasdirecciones IPv6 asignadas a las instancias de su subred. Para obtener más información, consulte Anularla asignación de una dirección IPv6 de una instancia (p. 129).

Para desvincular un bloque de CIDR IPv6 de una subred con la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Subnets.3. Seleccione su subred, elija Actions (Acciones), Edit IPv6 CIDRs (Editar CIDR IPv6).4. Elimine el bloque de CIDR IPv6 de la subred seleccionando el icono con forma de equis.5. Seleccione la opción Close.

Para desvincular un bloque de CIDR IPv6 de una VPC con la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Your VPCs.3. Seleccione su VPC, elija Actions, Edit CIDRs.4. Elimine el bloque de CIDR IPv6 seleccionando el icono con forma de equis.5. Seleccione la opción Close.

Note

La anulación de la asociación de un bloque de CIDR IPv6 no elimina automáticamente las reglasdel grupo de seguridad, las reglas de ACL de red ni las rutas de las tablas de ruteo configuradaspara las redes IPv6. Por lo tanto, deberá modificar o eliminar manualmente dichas reglas o rutas.


106


https://docs.aws.amazon.com/cli/latest/reference/ec2/disassociate-vpc-cidr-block.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Unregister-EC2VpcCidrBlock.html



Amazon Virtual Private Cloud Guía del usuarioEliminar su VPC

Para desvincular un bloque de CIDR IPv6 de una subred con una herramienta de la línea decomandos

• disassociate-subnet-cidr-block (AWS CLI)• Unregister-EC2SubnetCidrBlock (Herramientas de AWS para Windows PowerShell)

Para desvincular un bloque de CIDR IPv6 de una VPC con una herramienta de la línea decomandos

• disassociate-vpc-cidr-block (AWS CLI)• Unregister-EC2VpcCidrBlock (Herramientas de AWS para Windows PowerShell)

Eliminar su VPCPara eliminar una VPC mediante la consola de VPC, primero debe terminar o eliminar los siguientescomponentes:

• Todas las instancias de la VPC: para obtener información acerca de cómo terminar una instancia,consulte Terminar su instancia en la Guía del usuario de Amazon EC2 para instancias de Linux.

• Interconexiones de VPC• Puntos de enlace de interfaz• Gateways NAT

Cuando elimina una VPC mediante la consola de VPC, también eliminamos automáticamente lossiguientes componentes de VPC:

• Subredes• Grupos de seguridad• ACL de red• Tablas de ruteo• Puntos de enlace de gateway• Puertos de enlace a internet• Gateways de Internet de solo salida• Opciones de DHCP

Si tiene una conexión de AWS Site-to-Site VPN, no es necesario eliminarla ni eliminar los demáscomponentes relacionados con la VPN (como, por ejemplo, la gateway de cliente y la gateway privadavirtual). Si tiene pensado utilizar la gateway de cliente con otra VPC, se recomienda conservar la conexiónde Site-to-Site VPN y las gateway. De lo contrario, debe volver a configurar el dispositivo de gateway delcliente después de crear una nueva conexión de Site-to-Site VPN.

Para eliminar su VPC con la consola

1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. Termine todas las instancias de la VPC. Para obtener más información, consulte Terminar la instancia

en la Guía del usuario de Amazon EC2 para instancias de Linux.3. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.4. En el panel de navegación, elija Your VPCs (Sus VPC).5. Seleccione la VPC que desea eliminar y elija Actions, Delete VPC.

107

https://docs.aws.amazon.com/cli/latest/reference/ec2/disassociate-subnet-cidr-block.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Unregister-EC2SubnetCidrBlock.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/disassociate-vpc-cidr-block.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Unregister-EC2VpcCidrBlock.html





Amazon Virtual Private Cloud Guía del usuarioUsar VPC compartidas

6. Si tiene una conexión de Site-to-Site VPN, seleccione la opción para eliminarla; de lo contrario, déjelasin seleccionar. Elija Delete VPC (Eliminar VPC).

También puede utilizar una herramienta de la línea de comandos. Cuando elimina una VPC mediante lalínea de comandos, primero debe terminar todas las instancias y eliminar o desconectar todos los recursosasociados, incluidas las subredes, los grupos de seguridad personalizados, las ACL de red personalizadas,las tablas de enrutamiento personalizadas, las interconexiones con VPC, los puntos de enlace, la gatewayde NAT, la gateway de Internet y la gateway de Internet de solo salida.

Para eliminar una VPC con una herramienta de la línea de comandos

• delete-vpc (AWS CLI)• Remove-EC2Vpc (Herramientas de AWS para Windows PowerShell)

Usar VPC compartidasEl uso compartido de VPC permite que varias cuentas de AWS creen sus recursos de aplicación, comoinstancias Amazon EC2, bases de datos de Amazon Relational Database Service (RDS), clústeres deAmazon Redshift y funciones AWS Lambda, en nubes privadas de Amazon Virtual Private Clouds (VPC)compartidas y administradas de forma centralizada. En este modelo, la cuenta propietaria de la VPC (elpropietario) comparte una o varias subredes con otras cuentas (los participantes) que pertenecen a lamisma organización de AWS Organizations. Después de compartir una subred, los participantes puedenver, crear, modificar y eliminar los recursos de su aplicación en las subredes compartidas con ellos. Losparticipantes no pueden ver, modificar ni eliminar recursos que pertenezcan a otros participantes o alpropietario de la VPC.

También puede compartir las VPC de Amazon para aprovechar el direccionamiento implícito dentrode una VPC en las aplicaciones que requieren un alto grado de interconectividad y están dentro de losmismos límites de confianza. De este modo, se reduce el número de VPC que se crean y administran, altiempo que se utilizan cuentas independientes para la facturación y el control de acceso. Puede simplificarlas topologías de red interconectando las VPC de Amazon compartidas mediante características deconectividad, como AWS PrivateLink, AWS Transit Gateway y la interconexión de la VPC de Amazon.Para obtener más información sobre los beneficios de compartir las VPC, consulte VPC sharing: A newapproach to multiple accounts and VPC management.

Contenido• Requisitos previos para las VPC compartidas (p. 108)• Compartir una subred (p. 109)• Dejar de compartir una subred compartida (p. 109)• Identificar al propietario de una subred compartida (p. 110)• Permisos para las subredes compartidas (p. 110)• Facturar y medir para el propietario y los participantes (p. 110)• Servicios no admitidos para las subredes compartidas (p. 111)• Limitaciones (p. 111)

Requisitos previos para las VPC compartidasDebe habilitar el uso compartido de recursos desde la cuenta maestra para su organización. Para obtenerinformación sobre cómo habilitar el uso compartido de recursos, consulte Habilitar el uso compartido conAWS Organizations en la Guía del usuario de AWS RAM.

108

https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpc.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2Vpc.html

https://aws.amazon.com/blogs/networking-and-content-delivery/vpc-sharing-a-new-approach-to-multiple-accounts-and-vpc-management/

https://aws.amazon.com/blogs/networking-and-content-delivery/vpc-sharing-a-new-approach-to-multiple-accounts-and-vpc-management/

https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs


Amazon Virtual Private Cloud Guía del usuarioCompartir una subred

Compartir una subredPuede compartir subredes distintas de la predeterminada con otras cuentas en su organización. Paracompartir subredes, primero debe crear un recurso compartido con las subredes que se compartirán ylas cuentas de AWS, unidades organizativas o una organización entera con las que desee compartir lassubredes. Para obtener más información sobre la creación de un recurso compartido, consulte Crear unrecurso compartido en la Guía del usuario de AWS RAM.

Para compartir una subred con la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Subnets.3. Seleccione su subred y elija Actions (Acciones), Share subnet (Compartir subred).4. Seleccione su recurso compartido y elija Share subnet (Compartir subred).

Para compartir una subred con la AWS CLI

Utilice los comandos create-resource-share y associate-resource-share.

Mapear subredes con distintas zonas de disponibilidadPara garantizar que los recursos se distribuyen por todas las zonas de disponibilidad de una región,asignamos zonas de disponibilidad de manera independiente a nombres de cada cuenta. Por ejemplo, esposible que la zona de disponibilidad us-east-1a de su cuenta de AWS no se encuentre en la mismaubicación de us-east-1a que otra cuenta de AWS.

Para coordinar las zonas de disponibilidad entre cuentas para compartir VPC, debe usar el ID de AZ, quees un identificador único y constante de una zona de disponibilidad. Por ejemplo, use1-az1 es una de laszonas de disponibilidad de la región us-east-1. Los ID de zona de disponibilidad le permiten determinarla ubicación de los recursos de una cuenta en relación con los recursos de otra cuenta. Para obtener másinformación, consulte ID de zona de disponibilidad para sus recursos en la Guía del usuario de AWS RAM.

Dejar de compartir una subred compartidaEl propietario puede dejar de compartir una subred compartida con los participantes en cualquier momento.Cuando el propietario deja de compartir una subred compartida, se aplican las siguientes reglas:

• Los recursos existentes de los participantes siguen ejecutándose en la subred que se ha dejado decompartir.

• Los participantes ya no pueden crear nuevos recursos en la subred que se ha dejado de compartir.• Los participantes pueden modificar, describir y eliminar los recursos que están en la subred.• Si los participantes siguen teniendo recursos en la subred que se ha dejado de compartir, el propietario

no puede eliminar la subred compartida ni la VPC de la subred compartida. El propietario solo puedeeliminar la subred compartida o la VPC de la subred compartida una vez que todos los participanteshayan eliminado todos los recursos de la subred no compartida.

Para dejar de compartir una subred con la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Subnets.3. Seleccione su subred y elija Actions (Acciones), Share subnet (Compartir subred).4. Elija Actions (Acciones), Stop sharing (Dejar de compartir).

109

https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-create



https://docs.aws.amazon.com/cli/latest/reference/ram/create-resource-share.html

https://docs.aws.amazon.com/cli/latest/reference/ram/associate-resource-share.html

https://docs.aws.amazon.com/ram/latest/userguide/working-with-az-ids.html


Amazon Virtual Private Cloud Guía del usuarioIdentificar al propietario de una subred compartida

Para dejar de compartir una subred con la AWS CLI

Utilice el comando disassociate-resource-share.

Identificar al propietario de una subred compartidaLos participantes pueden ver las subredes que se han compartido con ellos mediante la consola deAmazon VPC o la herramienta de línea de comandos.

Para identificar al propietario de una subred (consola)

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Subnets. La columna Owner (Propietario) muestra el propietario de la

subred.

Para identificar al propietario de una subred con la AWS CLI

Utilice los comandos describe-subnets y describe-vpcs, que incluyen el ID del propietario en la salida.

Permisos para las subredes compartidasOwner permissions (Permisos del propietario)Los propietarios de la VPC son los responsables de crear, administrar y eliminar todos los recursos dela VPC, incluidas las subredes, tablas de enrutamiento, ACL de red, interconexiones, puntos de enlacede gateway, puntos de enlace de interfaz, puntos de enlace de Amazon Route 53 Resolver, gateways deInternet, gateways NAT, gateways privadas virtuales y asociaciones de transit gateway.

Los propietarios de la VPC no pueden modificar ni eliminar los recursos de los participantes, incluidoslos grupos de seguridad que crean los participantes. Los propietarios de la VPC pueden ver los detallesde todas las interfaces de red y los grupos de seguridad que están asociados a los recursos de losparticipantes para solucionar problemas y realizar auditorías. Los propietarios de la VPC pueden crearsuscripciones de registro de flujo en la VPC, la subred o la ENI para monitorizar el tráfico y solucionarproblemas.

Permisos de los participantesLos participantes que están en una VPC compartida son responsables de crear, administrar y eliminar susrecursos, incluidas las instancias Amazon EC2, las bases de datos de Amazon RDS y los balanceadoresde carga. Los participantes no pueden ver ni modificar los recursos que pertenezcan a otras cuentasparticipantes. Los participantes pueden ver los detalles de las tablas de ruteo y las ACL de red asociadasa las subredes compartidas con ellos. Sin embargo, no pueden modificar los recursos de nivel de VPC,incluidas las tablas de ruteo, las ACL de red y las subredes. Los participantes pueden hacer referencia alos grupos de seguridad que pertenecen a otros participantes o al propietario mediante el ID de grupo deseguridad. Los participantes solo pueden crear suscripciones de registro de flujo para las interfaces de lasque son propietarios.

Facturar y medir para el propietario y los participantesEn una VPC compartida, cada participante paga los recursos de su aplicación, incluidas las instanciasAmazon EC2, las bases de datos de Amazon Relational Database Service, los clústeres de AmazonRedshift y las funciones AWS Lambda. Los participantes también pagan los gastos de la transferenciade datos asociados a la transferencia de datos entre zonas de disponibilidad, la transferencia de datos através de interconexiones con VPC y la transferencia de datos a través de una gateway de AWS DirectConnect. Los propietarios de la VPC pagan los gastos por hora (si procede) y los cargos de procesamientoy por transferencia de datos a través de gateways NAT, gateways privadas virtuales, gateways de tránsito,

110

https://docs.aws.amazon.com/cli/latest/reference/ram/disassociate-resource-share.html




Amazon Virtual Private Cloud Guía del usuarioServicios no admitidos para las subredes compartidas

puntos de enlace de la VPC y AWS PrivateLink. La transferencia de datos dentro de la misma zona dedisponibilidad (identificada de forma exclusiva mediante el AZ-ID) es gratuita independientemente de lapropiedad de los recursos de comunicación.

Servicios no admitidos para las subredes compartidasLos participantes no pueden crear recursos para los servicios siguientes en una subred compartida:

• AWS CloudHSM Classic• AWS Transit Gateways

LimitacionesSe aplican las siguientes limitaciones al uso compartido de VPC:

• Los propietarios solo pueden compartir subredes con otras cuentas o unidades organizativas que esténen la misma organización de AWS Organizations.

• Los propietarios no pueden compartir subredes que estén en una VPC predeterminada.• Los participantes no pueden lanzar recursos mediante grupos de seguridad que sean propiedad de otros

participantes que comparten la VPC o del propietario de la VPC.• Los participantes no pueden lanzar recursos mediante el grupo de seguridad predeterminado de la VPC

porque pertenece al propietario.• Los propietarios no pueden lanzar recursos mediante grupos de seguridad que sean propiedad de otros

participantes.• Las cuotas de servicio se aplican a cada cuenta. Para obtener más información sobre las cuotas de

servicio, consulte Cuotas de servicio de AWS en Referencia general de Amazon Web Services.• Las etiquetas de VPC y las etiquetas de los recursos de la VPC compartida no se comparten con los

participantes.• Cuando los participantes lanzan recursos en una subred compartida, deben asegurarse de adjuntar su

grupo de seguridad al recurso y no contar con el grupo de seguridad predeterminado. Los participantesno pueden utilizar el grupo de seguridad predeterminado ya que pertenece al propietario de la VPC.

• No se admiten políticas de grupos de seguridad deAWS Firewall Manager para los recursos de losparticipantes en una VPC compartida.

Ampliación de las VPCPuede alojar recursos de VPC, como subredes, en varias ubicaciones de todo el mundo. Estas ubicacionesse componen de regiones, zonas de disponibilidad, zonas locales y zonas de Wavelength. Cada región esun área geográfica independiente.

• Las zonas de disponibilidad son varias ubicaciones aisladas dentro de cada región.• Las zonas locales le proporcionan la capacidad de colocar recursos, como computación y

almacenamiento, en varias ubicaciones más cercanas a los usuarios finales.• AWS Outposts brinda servicios, infraestructura y modelos operativos nativos de AWS a prácticamente

cualquier centro de datos, espacio de coubicación o instalación local.• Las zonas de Wavelength permiten a los desarrolladores crear aplicaciones que ofrecen una latencia

extremadamente baja para dispositivos 5G y usuarios finales. Wavelength implementa servicios estándarde computación y almacenamiento de AWS al borde de redes 5G de operadores de telecomunicaciones.

AWS opera centros de datos de alta disponibilidad con tecnología de vanguardia. Aunque es infrecuente,puede suceder que se produzcan errores que afecten a la disponibilidad de las instancias que están en

111

https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html

Amazon Virtual Private Cloud Guía del usuarioAmpliar los recursos de VPC a las zonas locales

la misma ubicación. Si aloja todas las instancias en una misma ubicación y se produce un error en ella,ninguna de las instancias estaría disponible.

Para ayudarle a determinar qué implementación es la mejor en su caso, consulte las preguntas frecuentesde AWS Wavelength.

Ampliar los recursos de VPC a las zonas localesLas zonas locales de AWS le permiten conectarse sin interrupciones a la gama completa de servicios dela región de AWS, como Amazon Simple Storage Service y Amazon DynamoDB, a través de los mismosconjuntos de herramientas y API. Puede ampliar la región de VPC mediante la creación de una nuevasubred que tenga una asignación de zona local. Cuando crea una subred en una zona local, la VPCtambién se extiende a esta zona local.

Para utilizar una zona local, primero debe inscribirse en la zona. A continuación, cree una subred en lazona local. Por último, lance cualquiera de los siguientes recursos en la subred de la zona local para quelas aplicaciones estén más cerca de los usuarios finales:

• Instancias Amazon EC2• Volúmenes de Amazon EBS• Servidores de archivos de Amazon FSx• Balanceador de carga de aplicaciones• Hosts dedicados

Un grupo de bordes de red es un conjunto único de zonas de disponibilidad o zonas locales desde dondeAWS anuncia direcciones IP públicas.

Al crear una VPC que tenga direcciones IPv6, puede optar por asignar un conjunto de direcciones IPpúblicas proporcionadas por Amazon a la VPC y también establecer un grupo de bordes de red paralas direcciones que limitan las direcciones al grupo. Cuando establece un grupo de bordes de red, lasdirecciones IP no pueden moverse entre grupos de bordes de red. El grupo de bordes de red us-west-2contiene las cuatro zonas de disponibilidad EE.UU. Oeste (Oregón). El grupo de bordes de red us-west-2-lax-1 contiene las zonas locales de Los Ángeles.

Las siguientes reglas se aplican a las zonas locales:

• Las subredes de zona local siguen las mismas reglas de enrutamiento que la subred de la zona dedisponibilidad, incluidas las tablas de enrutamiento, los grupos de seguridad y las ACL de red.

• Puede asignar zonas locales a subredes mediante la Consola de Amazon VPC, la AWS CLI o la API.• Debe aprovisionar las direcciones IP públicas para utilizarlas en una zona local. Cuando asigna

direcciones, puede especificar la ubicación desde la que se anuncia la dirección IP. Nos referimos aesto como un grupo de bordes de red; puede establecer este parámetro para limitar la dirección a estaubicación. Cuando aprovisiona las direcciones IP, no puede moverlas entre la zona local y la regiónprincipal (por ejemplo, desde s-west-2-lax-1a a us-west-2).

• Puede solicitar las direcciones IP proporcionadas por IPv6 de Amazon y asociarlas con el grupo debordes de red para una VPC nueva o existente.

Ampliación de los recursos de VPC a las zonas deWavelengthAWS Wavelength permite a los desarrolladores crear aplicaciones que ofrecen una latenciaextremadamente baja para dispositivos móviles y usuarios finales. Wavelength implementa serviciosestándar de computación y almacenamiento de AWS al borde de redes 5G de operadores de

112

http://aws.amazon.com/wavelength/faqs/

http://aws.amazon.com/wavelength/faqs/

Amazon Virtual Private Cloud Guía del usuarioSubredes en AWS Outposts

telecomunicaciones. Los desarrolladores pueden ampliar una Amazon Virtual Private Cloud (VPC) a unao varias zonas de Wavelength y, a continuación, utilizar recursos de AWS como las instancias AmazonElastic Compute Cloud (EC2) para ejecutar aplicaciones que requieren una latencia extremadamente bajay una conexión a servicios de AWS en la región.

Para utilizar una zona de Wavelength, primero debe optar por la zona. A continuación, cree una subred enla zona de Wavelength. Puede crear instancias Amazon EC2, volúmenes de Amazon EBS, subredes deAmazon VPC y gateways de operador en las zonas de Wavelength. También puede utilizar servicios queorganizan o trabajan con EC2, EBS y VPC como Amazon EC2 Auto Scaling, clústeres de Amazon EKS,clústeres de Amazon ECS, Amazon EC2 Systems Manager, Amazon CloudWatch, AWS CloudTrail y AWSCloudFormation. Los servicios de Wavelength son parte de una VPC que está conectada mediante unaconexión de confianza de alta velocidad a una región de AWS para brindar un fácil acceso a los servicios,incluidos Amazon DynamoDB y Amazon RDS.

Las siguientes reglas se aplican a las zonas de Wavelength:

• Una VPC se extiende a una zona de Wavelength al crear una subred en la VPC y asociarla a la zona deWavelength.

• De forma predeterminada, cada subred que cree en una VPC que abarca una zona de Wavelengthhereda la tabla de enrutamiento de VPC principal, incluida la ruta local.

• Cuando lanza una instancia EC2 en una subred en una zona de Wavelength, le asigna una direcciónIP de operador. La gateway de operador utiliza la dirección para el tráfico desde la interfaz a Internet odispositivos móviles. La gateway de operador utiliza NAT para traducir la dirección y, a continuación,envía el tráfico al destino. El tráfico de la red del operador de telecomunicaciones se dirige a través de lagateway de operador.

• Puede establecer el objetivo de una tabla de enrutamiento de VPC o de una tabla de enrutamiento desubred en una zona de Wavelength en una gateway de operador, que permite el tráfico entrante desdeuna red de operador en una ubicación específica y el tráfico saliente a la red de operador y a Internet.Para obtener más información acerca de las opciones de enrutamiento en una zona de Wavelength,consulte Enrutamiento en la Guía para desarrolladores de AWS Wavelength.

• Puede asignar zonas de Wavelength a subredes mediante la Consola de Amazon VPC, la AWS CLI o laAPI.

• Las subredes de las zonas de Wavelength tienen los mismos componentes de red que las subredes delas zonas de disponibilidad, incluidas direcciones IPv4, conjuntos de opciones DHCP y ACL de red.

Subredes en AWS OutpostsAWS Outposts le ofrece las mismas herramientas, API, servicios e infraestructura de hardware de AWSpara crear y ejecutar las aplicaciones en las instalaciones y en la nube. AWS Outposts es perfecto paracargas de trabajo que necesitan una acceso de baja latencia a los sistemas o las aplicaciones en lasinstalaciones y para cargas de trabajo que necesitan almacenar y procesar datos localmente. Para obtenermás información acerca de AWS Outposts, consulte AWS Outposts.

Amazon VPC abarca todas las zonas de disponibilidad de una región de AWS. Al conectar Outposts a laregión principal, todas las VPC existentes y creadas recientemente en la cuenta abarcan todas las zonasde disponibilidad y cualquier ubicación de Outpost asociada de la región.

Las siguientes reglas se aplican a AWS Outposts:

• Las subredes deben residir en una ubicación de Outpost.• Una gateway local gestiona la conectividad de red entre la VPC y las redes en las instalaciones. Para

obtener información acerca de las gateways locales, consulte Gateways locales en la Guía del usuariode AWS Outposts.

• Si la cuenta está asociada a AWS Outposts, debe asignar la subred a un Outpost especificando el ARNdel Outpost cuando crea la subred.

113

https://docs.aws.amazon.com/wavelength/latest/developerguide/how-wavelengths-work.html#wavelength-routing-overview

https://aws.amazon.com/outposts

https://docs.aws.amazon.com/outposts/latest/userguide/outposts-local-gateways.html

Amazon Virtual Private Cloud Guía del usuarioSubredes en AWS Outposts

• De forma predeterminada, cada subred que crea en una VPC asociada a un Outpost hereda la tabla deruteo de la VPC principal, incluida la ruta de la gateway local. También puede asociar explícitamenteuna tabla de ruteo personalizada a las subredes de la VPC y tener una gateway local como destino delsiguiente salto para todo el tráfico que se tiene que enrutar en la red en las instalaciones.

114

Amazon Virtual Private Cloud Guía del usuarioComponentes de VPC predeterminados

VPC predeterminada y subredespredeterminadas

Si creó su cuenta de AWS después del 04/12/2013, solo admitirá EC2-VPC. En este caso, tiene una VPCpredeterminada en cada región de AWS. Una VPC predeterminada ya está lista para usarse, por lo que notiene que crear y configurar su propia VPC. Puede comenzar a lanzar inmediatamente instancias AmazonEC2 en la VPC predeterminada. También puede usar servicios como Elastic Load Balancing, Amazon RDSy Amazon EMR en la VPC predeterminada.

Una VPC predeterminada resulta adecuada para comenzar rápidamente y para lanzar instancias públicas,como un blog o un sitio web simple. Puede modificar los componentes de la VPC predeterminada segúnsea necesario. Si prefiere crear una VPC no predeterminada según sus requisitos específicos, porejemplo, con el rango de bloque de CIDR y tamaños de subred que prefiera, consulte las situaciones deejemplo (p. 70).

Contenido• Componentes de VPC predeterminados (p. 115)• Disponibilidad y plataformas compatibles (p. 117)• Consultar la VPC y las subredes predeterminadas (p. 118)• Lanzar una instancia EC2 en su VPC predeterminada (p. 119)• Eliminar sus subredes predeterminadas y la VPC predeterminada (p. 120)• Crear una VPC predeterminada (p. 120)• Crear una subred predeterminada (p. 121)

Componentes de VPC predeterminadosAl crear una VPC predeterminada, hacemos lo siguiente para configurarla para usted:

• Crear una VPC con un bloque de CIDR de IPv4 de tamaño /16 (172.31.0.0/16). Esto proporcionahasta 65 536 direcciones IPv4 privadas.

• Crear una subred predeterminada de tamaño /20 en cada zona de disponibilidad. Proporciona hasta4096 direcciones por subred, de las cuales unas cuantas están reservadas para nuestro uso.

• Crear un puerto de enlace a Internet (p. 252) y conectarlo con su VPC predeterminada.• Crear un grupo de seguridad predeterminado y asociarlo a su VPC predeterminada.• Crear una lista de control de acceso (ACL) de red predeterminada y asociarla a su VPC predeterminada.• Asociar las opciones de DHCP predeterminadas configuradas para su cuenta de AWS con su VPC

predeterminada.

Note

Amazon crea los recursos anteriores en su nombre. Las políticas de IAM no se aplican a estasacciones porque usted no lleva a cabo estas acciones. Por ejemplo, si tiene una política de

115

Amazon Virtual Private Cloud Guía del usuarioComponentes de VPC predeterminados

IAM que deniega la capacidad de llamar a CreateInternetGateway y, a continuación, llama aCreateDefaultVpc, se sigue creando la gateway de Internet en la VPC predeterminada.

El siguiente gráfico muestra los componentes clave que configuramos para una VPC predeterminada.

Puede usar una VPC predeterminada como lo haría con otras VPC:

• Agregue subredes no predeterminadas adicionales.• Modifique la tabla de ruteo principal.• Agregue tablas de ruteo adicionales.• Asocie grupos de seguridad adicionales.• Actualice las reglas del grupo de seguridad predeterminado.• Agregue conexiones de AWS Site-to-Site VPN.• Agregue más bloques de CIDR IPv4.• Acceda a las VPC en una región remota mediante una gateway de Direct Connect. Para obtener

información acerca de las opciones de gateway de Direct Connect, consulte Gateways de Direct Connecten la Guía de usuario de AWS Direct Connect.

Puede utilizar una subred predeterminada al igual que usaría cualquier otra subred; agregue tablas deruteo personalizadas y establezca ACL de red. También puede especificar una subred predeterminadaespecífica al lanzar una instancia EC2.

116

https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-gateways-intro.html

Amazon Virtual Private Cloud Guía del usuarioSubredes predeterminadas

De forma opcional, puede asociar un bloque de CIDR IPv6 con su VPC predeterminada. Para obtener másinformación, Usar VPC y subredes (p. 100).

Subredes predeterminadasDe forma predeterminada, las subredes predeterminadas son subredes públicas, ya que la tabla de ruteoprincipal envía al puerto de enlace a Internet el tráfico de la subred que está destinado a Internet. Puedeconvertir una subred predeterminada en una subred privada eliminando la ruta del destino 0.0.0.0/0 alpuerto de enlace a Internet. Sin embargo, si hace esto, ninguna instancia EC2 que se esté ejecutando enesa subred podrá obtener acceso a Internet.

Las instancias que lance en una subred predeterminada reciben direcciones IPv4 públicas y una direcciónIPv4 privada, y nombres de host DNS públicos y privados. Las instancias que lance en una subred que nosea predeterminada en una VPC predeterminada no reciben una dirección IPv4 pública ni un nombre dehost DNS. Puede cambiar el comportamiento predeterminado de asignación de direcciones IP públicas desu subred. Para obtener más información, consulte Modificar el atributo de direcciones IPv4 públicas de susubred (p. 127).

De vez en cuando, puede que AWS añada una nueva zona de disponibilidad a una región. En lamayoría de los casos, crearemos automáticamente una nueva subred predeterminada en esta zonade disponibilidad para su VPC predeterminada en unos pocos días. Sin embargo, si ha hecho algunamodificación en su VPC predeterminada, no agregaremos una subred predeterminada nueva. Si una zonade disponibilidad no tienen una subred predeterminada, puede crearla. Para obtener más información,consulte Crear una subred predeterminada (p. 121).

Disponibilidad y plataformas compatiblesSi creó su cuenta de AWS después del 04/12/2013, solo admite EC2-VPC y tiene una VPCpredeterminada en cada región de AWS. Por tanto, a menos que cree una VPC que no seapredeterminada y la especifique al lanzar una instancia, lanzaremos sus instancias en su VPCpredeterminada.

Si creó su cuenta de AWS antes del 18/03/2013, admite tanto EC2-Classic como EC2-VPC en las regionesque ha utilizado antes, y solo EC2-VPC en las regiones que no haya utilizado. En este caso, hemos creadouna VPC predeterminada en cada región en la que no haya creado ningún recurso de AWS. A menos quecree una VPC no predeterminada y lo especifique al lanzar una instancia en una región nueva, lanzaremosla instancia en su VPC predeterminada para dicha región. Sin embargo, si lanza una instancia en unaregión que haya utilizado antes, lanzaremos la instancia en EC2-Classic.

Si creó su cuenta de AWS entre 2013-03-18 y 2013-12-04, puede que solo admita EC2-VPC. Tambiénpuede admitir EC2-Classic y EC2-VPC en algunas de las regiones que haya usado. Para obtenerinformación acerca de cómo detectar la compatibilidad de la plataforma en cada región para su cuentade AWS, consulte Detección de plataformas compatibles (p. 118). Para obtener información acercade cuándo se ha activado cada región para las VPC predeterminadas, consulte el anuncio acerca de lahabilitación de regiones para el conjunto de características de VPC predeterminadas en el foro de AWSacerca de Amazon VPC.

Si una cuenta de AWS solo admite EC2-VPC, las cuentas de IAM asociadas a esta cuenta de AWStambién admitirán únicamente EC2-VPC, y utilizaremos la misma VPC predeterminada de la cuenta deAWS.

Si su cuenta de AWS admite tanto EC2-Classic como EC2-VPC, puede crear una cuenta AWS o lanzarlas instancias en una región que no haya usado antes. Podría hacerlo para obtener los beneficios deusar EC2-VPC con la simplicidad de lanzar instancias en EC2-Classic. Si prefiere agregar una VPCpredeterminada en una región que no tenga una y admita EC2-Classic, consulte "Deseo disponer de unaVPC predeterminada para mi cuenta de EC2. ¿Es posible?" en Preguntas frecuentes acerca de VPCpredeterminadas.

117

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-classic-platform.html

https://forums.aws.amazon.com/ann.jspa?annID=1875#

https://forums.aws.amazon.com/ann.jspa?annID=1875#

http://aws.amazon.com/vpc/faqs/#Default_VPCs

http://aws.amazon.com/vpc/faqs/#Default_VPCs

Amazon Virtual Private Cloud Guía del usuarioDetección de plataformas compatibles

Detección de plataformas compatiblesPuede utilizar la consola de Amazon EC2 o la línea de comandos para determinar si su cuenta de AWSadmite ambas plataformas o si tiene una VPC predeterminada.

Para detectar la compatibilidad de la plataforma con la consola de Amazon EC2

1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En la barra de navegación, use el selector de regiones de la parte superior derecha para seleccionar

su región.3. En el panel de la consola de Amazon EC2, busque Supported Platforms (Plataformas admitidas) en

Account Attributes (Atributos de cuenta). Si hay dos valores, EC2 y VPC, puede lanzar instancias enambas plataformas. Si hay un solo valor, VPC, solo puede lanzar instancias en EC2-VPC.

Por ejemplo, lo siguiente indica que la cuenta admite solo la plataforma EC2-VPC, y tiene una VPCpredeterminada con el identificador vpc-1a2b3c4d.

Si elimina su VPC predeterminada, el valor de VPC predeterminada mostrado será None.

Para detectar la compatibilidad de la plataforma con la línea de comandos

• describe-account-attributes (AWS CLI)• Get-EC2AccountAttribute (Herramientas de AWS para Windows PowerShell)

El atributo supported-platforms en la salida indica en qué plataformas puede lanzar instancias EC2.

Consultar la VPC y las subredes predeterminadasPuede ver la VPC y las subredes predeterminadas con la consola de Amazon VPC o la línea decomandos.

Para ver la VPC y las subredes predeterminadas con la consola de Amazon VPC

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Your VPCs.3. En la columna Default VPC, busque el valor Yes. Anote el ID de la VPC predeterminada.4. En el panel de navegación, elija Subnets.5. En la barra de búsqueda, escriba el ID de la VPC predeterminada. Las subredes devueltas son las que

se encuentran en su VPC predeterminada.6. Para comprobar qué subredes son las predeterminadas, busque el valor Yes en la columna Default

Subnet.

Para describir la VPC predeterminada con la línea de comandos

• Utilice describe-vpcs (AWS CLI)• Utilice Get-EC2Vpc (Herramientas de AWS para Windows PowerShell)

118


https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-account-attributes.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2AccountAttribute.html



https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Vpc.html

Amazon Virtual Private Cloud Guía del usuarioLanzar una instancia EC2 en su VPC predeterminada

Use los comandos con el filtro isDefault y establezca el valor de filtro en true.

Para describir las subredes predeterminadas con la línea de comandos

• Utilice describe-subnets (AWS CLI)• Utilice Get-EC2Subnet (Herramientas de AWS para Windows PowerShell)

Use los comandos con el filtro vpc-id y establezca el valor de filtro en el ID de la VPC predeterminada.En el resultado, el campo DefaultForAz se establece en true para las subredes predeterminadas.

Lanzar una instancia EC2 en su VPCpredeterminada

Al lanzar una instancia EC2 sin especificar una subred, esta se lanza automáticamente en una subredpredeterminada de la VPC predeterminada. De forma predeterminada, seleccionaremos una zonade disponibilidad por usted y lanzaremos la instancia en la subred correspondiente de dicha zonade disponibilidad. Como alternativa, puede seleccionar la zona de disponibilidad para su instanciaseleccionando su subred predeterminada correspondiente en la consola, o bien especificando la subred ola zona de disponibilidad en la AWS CLI.

Lanzar una instancia EC2 mediante la consolaPara lanzar una instancia EC2 en su VPC predeterminada

1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de EC2, elija Launch Instance.3. Siga las indicaciones del asistente. Seleccione una AMI, y elija un tipo de instancia. Puede aceptar

los valores predeterminados del resto del asistente; para ello, elija Review and Launch. Esto le llevarádirectamente a la página Review Instance Launch.

4. Revise la configuración. En la sección Instance Details, el valor predeterminado de Subnet es Nopreference (default subnet in any Availability Zone). Esto significa que la instancia se ha lanzado enla subred predeterminada de la zona de disponibilidad que seleccionamos. Como alternativa, puedeelegir Edit instance details y seleccionar la subred predeterminada de una zona de disponibilidadconcreta.

5. Elija Launch para seleccionar un par de claves y lanzar la instancia.

Lanzar una instancia EC2 mediante la línea decomandosPuede utilizar uno de los siguientes comandos para lanzar una instancia EC2:

• run-instances (AWS CLI)• New-EC2Instance (Herramientas de AWS para Windows PowerShell)

Para lanzar una instancia EC2 en su VPC predeterminada, utilice estos comandos sin especificar unasubred o una zona de disponibilidad.

Para lanzar una instancia EC2 en una subred predeterminada específica en su VPC predeterminada,especifique su ID de subred o su zona de disponibilidad.

119


https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Subnet.html




Amazon Virtual Private Cloud Guía del usuarioEliminar sus subredes predeterminadas

y la VPC predeterminada

Eliminar sus subredes predeterminadas y la VPCpredeterminada

Puede eliminar una subred predeterminada o una VPC predeterminada de la misma forma quepuede eliminar cualquier otra subred o VPC. Para obtener más información, consulte Usar VPC ysubredes (p. 100). Sin embargo, si elimina sus subredes predeterminadas o su VPC predeterminada,debe especificar explícitamente una subred en otra VPC en la que lance la instancia, ya que no se puedenlanzar instancias en EC2-Classic. Si no tiene otra VPC, debe crear una VPC y una subred que no seanpredeterminadas. Para obtener más información, consulte Creación de una VPC (p. 100).

Si elimina la VPC predeterminada, puede crear otra. Para obtener más información, consulte Crear unaVPC predeterminada (p. 120).

Si elimina una subred predeterminada, puede crear otra. Para obtener más información, consulte Crearuna subred predeterminada (p. 121). Como alternativa, puede crear una subred no predeterminadaen la VPC predeterminada y contactar con AWS Support para marcar la subred como predeterminada.Debe proporcionar los siguientes detalles: su ID de cuenta de AWS, la región y el ID de la subred.Para asegurarse de que su nueva subred predeterminada se comporta según lo esperado, modifiqueel atributo de la subred para que asigne las direcciones IP públicas a instancias lanzadas en esasubred. Para obtener más información, consulte Modificar el atributo de direcciones IPv4 públicas de susubred (p. 127). Solo puede tener una subred predeterminada por zona de disponibilidad. No es posiblecrear una subred predeterminada en una VPC que no sea predeterminada.

Crear una VPC predeterminadaSi elimina la VPC predeterminada, puede crear otra. No puede restaurar una VPC predeterminada anteriorque haya eliminado y no puede marcar una VPC no predeterminada existente como predeterminada. Si sucuenta admite EC2-Classic, no puede usar estos procedimientos para crea una VPC predeterminada enuna región que admite EC2-Classic.

Al crear una VPC predeterminada, se crea con los componentes (p. 115) estándar de una VPCpredeterminada, incluida una subred predeterminada en cada zona de disponibilidad. No puedeespecificar sus propios componentes. Es posible que los bloques de CIDR de subred de la nueva VPCpredeterminada no se mapeen a las mismas zonas de disponibilidad que la VPC predeterminada anterior.Por ejemplo, si la subred con el bloque de CIDR 172.31.0.0/20 se creó en us-east-2a en la VPCpredeterminada anterior, se puede crear en us-east-2b en la nueva VPC predeterminada.

Si ya tiene una VPC predeterminada en la región, no puede crear otra.

Para crear una VPC predeterminada con la consola de Amazon VPC

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Your VPCs.3. Elija Actions, Create Default VPC.4. Seleccione Create. Cierre la pantalla de confirmación.

Para crear una VPC predeterminada con la línea de comandos

• Puede utilizar el comando create-default-vpc de la AWS CLI. Este comando no tiene parámetros deentrada.

aws ec2 create-default-vpc

120


https://docs.aws.amazon.com/cli/latest/reference/ec2/create-default-vpc.html

Amazon Virtual Private Cloud Guía del usuarioCrear una subred predeterminada

{ "Vpc": { "VpcId": "vpc-3f139646", "InstanceTenancy": "default", "Tags": [], "Ipv6CidrBlockAssociationSet": [], "State": "pending", "DhcpOptionsId": "dopt-61079b07", "CidrBlock": "172.31.0.0/16", "IsDefault": true }}

También puede usar el comando New-EC2DefaultVpc de Herramientas para Windows PowerShell o laacción de la API CreateDefaultVpc de Amazon EC2.

Crear una subred predeterminadaSi una zona de disponibilidad no tienen una subred predeterminada, puede crearla. Por ejemplo, puede serconveniente crear una subred predeterminada después de haber eliminado una anterior, o cuando AWS haagregado una nueva zona de disponibilidad y no ha creado automáticamente una subred predeterminadapara esa zona en su VPC predeterminada.

Cuando se crea una subred predeterminada, su tamaño es de un bloque de CIDR IPv4 de tamaño /20 enel espacio contiguo disponible más cercano de la VPC predeterminada. Se aplican las siguientes reglas:

• No puede especificar otro bloque de CIDR.• No es posible restaurar una subred predeterminada previamente eliminada.• Solo puede tener una subred predeterminada por zona de disponibilidad.• No es posible crear una subred predeterminada en una VPC que no sea predeterminada.

Si el espacio de direcciones de la VPC predeterminada no basta para crear un bloque de CIDR de tamaño/20, la solicitud fracasa. Si necesita agregar más espacio de direcciones, puede agregar un bloque deCIDR IPv4 a su VPC (p. 95).

Si ha asociado un bloque de CIDR IPv6 a su VPC predeterminada, la nueva subred predeterminada norecibirá automáticamente un bloque e CIDR IPv6. Sin embargo, puede asociarle un bloque de CIDR IPv6después de haberla creado. Para obtener más información, consulte Asociar un bloque de CIDR IPv6 consu subred (p. 104).

Actualmente solo es posible crear una subred predeterminada con la AWS CLI, un SDK de AWS o la APIde Amazon EC2.

Para crear una subred predeterminada mediante la AWS CLI

• Use el comando create-default-subnet de la AWS CLI y especifique la zona de disponibilidad en la quese debe crear la subred.

aws ec2 create-default-subnet --availability-zone us-east-2a

{ "Subnet": { "AvailabilityZone": "us-east-2a",

121

https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2DefaultVpc.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateDefaultVpc.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/create-default-subnet.html

Amazon Virtual Private Cloud Guía del usuarioCrear una subred predeterminada

"Tags": [], "AvailableIpAddressCount": 4091, "DefaultForAz": true, "Ipv6CidrBlockAssociationSet": [], "VpcId": "vpc-1a2b3c4d", "State": "available", "MapPublicIpOnLaunch": true, "SubnetId": "subnet-1122aabb", "CidrBlock": "172.31.32.0/20", "AssignIpv6AddressOnCreation": false }}

Para obtener más información acerca de la configuración de la AWS CLI, consulte AWS CommandLine Interface Guía del usuario.

De forma alternativa, puede usar el comando de Herramientas para Windows PowerShell New-EC2DefaultSubnet o la acción de la API de Amazon EC2 CreateDefaultSubnet.

122

https://docs.aws.amazon.com/cli/latest/userguide/

https://docs.aws.amazon.com/cli/latest/userguide/

https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2DefaultSubnet.html

https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2DefaultSubnet.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateDefaultSubnet.html


Direcciones IP en su VPCLas direcciones IP permite que los recursos de su VPC se comuniquen entre sí y con otros recursos através de Internet. Amazon EC2 y Amazon VPC admiten los protocolos de direcciones IPv4 e IPv6.

De manera predeterminada, Amazon EC2 y Amazon VPC utilizan el protocolo de direcciones IPv4. Al crearuna VPC, debe asignarle un bloque de CIDR IPv4 (un rango de direcciones IPv4 privadas). No es posibleobtener acceso a las direcciones IPv4 privadas a través de Internet. Para conectar su instancia a travésde Internet o para habilitar la comunicación entre sus instancias y otros servicios de AWS con puntos deconexión públicos, puede asignar a su instancia una dirección IPv4 pública globalmente única.

De manera opcional, puede asociar un bloque de CIDR IPv6 a su VPC y sus subredes y asignardirecciones IPv6 desde dicho bloque a los recursos de su VPC. Las direcciones IPv6 son públicas y estándisponibles a través de Internet.

Note

Para asegurarse de que sus instancias pueden comunicarse con Internet, también deberáadjuntar un puerto de enlace a Internet a su VPC. Para obtener más información, consulte Puertosde enlace a internet (p. 252).

Su VPC puede funcionar en modo de pila doble: esto implica que los recursos se pueden comunicarmediante IPv4, IPv6 o ambos. Las direcciones IPv4 e IPv6 son independientes entre sí. Por lo tanto, debeconfigurar el direccionamiento y la seguridad de su VPC de forma individual para IPv4 e IPv6.

En la tabla siguiente se resumen las diferencias entre IPv4 e IPv6 en Amazon EC2 y Amazon VPC.

Características y restricciones de IPv4 e IPv6

IPv4 IPv6

El formato es de 32 bits, 4 grupos de hasta 3 dígitosdecimales.

El formato es de 128 bits, 8 grupos de 4 dígitoshexadecimales.

Predeterminada y obligatoria para las VPC. No sepuede quitar.

Solo opcional.

El tamaño del bloque de CIDR de VPC puede serde /16 a /28.

El tamaño del bloque de CIDR de la VPC es fijode /56.

El tamaño del bloque de CIDR de la subred puedeser de /16 a /28.

El tamaño del bloque de CIDR de la subred es fijode /64.

Posibilidad de elegir el bloque de CIDR IPv4privado para su VPC.

El bloque de CIDR IPv6 para su VPC se eligedel grupo de direcciones IPv6 de Amazon. No esposible seleccionar un rango propio.

Existe una distinción entre las direcciones IPpúblicas y privadas. Para habilitar la comunicacióncon Internet, la dirección IPv4 pública se asignaa la dirección IPv4 privada principal medianteconversión de direcciones de red (NAT).

No se hace distinción entre las direcciones IPpúblicas y privadas. Las direcciones IPv6 sonpúblicas.

Compatible en todos los tipos de instancias. Se admite en todos los tipos de instancia degeneración actual y los tipos de instancia degeneración anterior C3, R3 e I2. Para obtener másinformación, consulte Tipos de instancias.

123

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-types.html

Amazon Virtual Private Cloud Guía del usuarioDirecciones IPv4 privadas

IPv4 IPv6

Compatible con EC2-Classic y con las conexionesde EC2-Classic con VPC mediante ClassicLink.

No compatible con EC2-Classic ni con lasconexiones de EC2-Classic con VPC medianteClassicLink.

Compatible con todas las AMI. Compatible automáticamente con las AMIconfiguradas para DHCPv6. Las versiones deAmazon Linux 2016.09.0 y posteriores, así comode Windows Server 2008 R2 y posteriores estánconfiguradas para DHCPv6. Para otras AMI, debeconfigurar manualmente su instancia (p. 138)para que reconozca las direcciones IPv6asignadas.

Una instancia recibe un nombre de host deDNS privado proporcionado por Amazon quecorresponde a su dirección IPv4 privada y, sicorresponde, un nombre de host DNS público quecorresponde a su dirección IPv4 pública o direcciónIP elástica.

No se admiten los nombres de host de DNSproporcionados por Amazon.

Compatible con las direcciones IPv4 elásticas. No compatible con las direcciones IPv6 elásticas.

Compatible con gateways de clientes, gatewaysprivadas virtuales, dispositivos NAT y puntos deenlace de la VPC.

No compatible con gateways de clientes, gatewaysprivadas virtuales, dispositivos NAT y puntos deenlace de la VPC.

El tráfico IPv6 a través de gateway privada virtual a una conexión de AWS Direct Connect es compatible.Para obtener más información, consulte Guía del usuario de AWS Direct Connect.

Direcciones IPv4 privadasLas direcciones IPv4 privadas (también denominadas direcciones IP privadas en este tema) no estándisponibles a través de Internet y puede utilizarse para la comunicación entre las instancias de su VPC.Al lanzar una instancia en una VPC, se asigna una dirección IP privada principal del rango de direccionesIPv4 de la subred a la interfaz de red predeterminada (eth0) de la instancia. A cada instancia se leasigna también un nombre de host DNS privado (interno) que se resuelve en la dirección IP privadade la instancia. Si no especifica ninguna dirección IP privada principal, se seleccionará una direcciónIP disponible en el rango de la subred. Para obtener más información acerca de las interfaces de red,consulte Interfaces de redes elásticas en la Guía del usuario de Amazon EC2 para instancias de Linux.

Es posible asignar direcciones IP privadas adicionales, conocidas como direcciones IP privadassecundarias, a las instancias en ejecución en la VPC. A diferencia de la dirección IP privada principal, esposible volver a asignar una dirección IP privada secundaria de una interfaz de red a otra. La direcciónIP privada permanecerá asociada a la interfaz de red al detener y reiniciar la instancia. Asimismo, seliberará cuando se termine la instancia. Para obtener información acerca de las direcciones IP principalesy secundarias, consulte Varias direcciones IP en la Guía del usuario de Amazon EC2 para instancias deLinux.

Note

Las direcciones IP privadas son las direcciones IP que se encuentran en el rango del CIDRIPv4 de la VPC. La mayoría de los rangos de direcciones IP de la VPC se engloban en losrangos de direcciones IP privadas (no direccionables públicamente) especificados en RFC1918. Sin embargo, puede utilizar los bloques de CIDR direccionables públicamente para su

124


https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/MultipleIP.html

Amazon Virtual Private Cloud Guía del usuarioDirecciones IPv4 públicas

VPC. Independientemente del rango de direcciones IP de su VPC, no se admite el accesodirecto a Internet desde el bloque de CIDR de su VPC, incluido el bloque de CIDR públicamentedireccionable. Por ello, debe configurar el acceso a Internet a través de una gateway como, porejemplo, una gateway de Internet, una gateway privada virtual, una conexión de AWS Site-to-SiteVPN o AWS Direct Connect.

Direcciones IPv4 públicasTodas las subredes tienen un atributo que determina si una interfaz de red creada en la subred recibeautomáticamente una dirección IPv4 pública (también denominada dirección IP pública en este tema).Por lo tanto, al lanzar una instancia en una subred con este atributo habilitado, se asigna una dirección IPpública a la interfaz de red principal (eth0) que se crea para la instancia. La dirección IP pública se asignaa la dirección IP privada principal mediante conversión de direcciones de red (NAT).

Para controlar si su instancia recibe una dirección IP pública, haga lo siguiente:

• Modifique el atributo de direcciones IP públicas de su subred. Para obtener más información, consulteModificar el atributo de direcciones IPv4 públicas de su subred (p. 127).

• Habilite o deshabilite la característica de direcciones IP públicas durante el lanzamiento de la instancia.Esta acción anulará el atributo de direcciones IP públicas de su subred. Para obtener más información,consulte Asignar una dirección IPv4 pública durante el lanzamiento de la instancia (p. 127).

La dirección IP pública se asigna desde el grupo de direcciones IP públicas de Amazon. Por lo tanto, no seasocia a su cuenta. Cuando se desasocia una dirección IP pública de su instancia, esta se libera de nuevoal grupo y deja de estar disponible para su utilización. Por lo tanto, no es posible asociar o desasociarmanualmente las direcciones IP públicas. En su lugar, en determinados casos, se libera la dirección IPpública desde su instancia, o bien se asigna una dirección nueva. Para obtener más información, consulteDirecciones IP públicas en la Guía del usuario de Amazon EC2 para instancias de Linux.

Si necesita asignar una dirección IP pública persistente a su cuenta con la posibilidad de asignarla oeliminarla de las instancias según sus necesidades, utilice una dirección IP elástica. Para obtener másinformación, consulte Direcciones IP elásticas (p. 307).

Si su VPC está habilitada para ofrecer compatibilidad con los nombres de host DNS, cada instanciaque reciba una dirección IP pública o una dirección IP elástica también recibirá un nombre de host DNSpúblico. El nombre de host DNS público se resuelve en la dirección IP pública de la instancia fuera de lared de la instancia y en una dirección IP privada de la instancia desde dentro de la red de la instancia. Paraobtener más información, consulte Utilizar DNS con su VPC (p. 302).

Direcciones IPv6Es posible asociar de manera opcional un bloque de CIDR IPv6 a su VPC y sus subredes. Para obtenermás información, consulte los siguientes temas:

• Asociar un bloque de CIDR IPv6 con su VPC (p. 103)• Asociar un bloque de CIDR IPv6 con su subred (p. 104)

Su instancia de la VPC recibirá una dirección IPv6 si se asocia un bloque de CIDR IPv6 a su VPC y susubred y si se cumple alguna de las condiciones siguientes:

• La subred está configurada para asignar automáticamente una dirección IPv6 a la interfaz de redprincipal de una instancia durante el lanzamiento.

125

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-instance-addressing.html#concepts-public-addresses

Amazon Virtual Private Cloud Guía del usuarioComportamiento de las direcciones IP de su subred

• Al asignar manualmente una dirección IPv6 a su instancia durante el lanzamiento.• Al asignar una dirección IPv6 a su instancia tras el lanzamiento.• Al asignar una dirección IPv6 a una interfaz de red de la misma subred y al adjuntar la interfaz de red a

su instancia tras el lanzamiento.

Cuando su instancia recibe una dirección IPv6 durante el lanzamiento, la dirección se asocia a la interfazde red principal (eth0) de la instancia. Es posible desasociar la dirección IPv6 de la interfaz de redprincipal. No se admite la utilización de nombres de host de DNS IPv6 con su instancia.

Tenga en cuenta que la dirección IPv6 persiste al detener e iniciar la instancia. Asimismo, se libera alterminar la instancia. No puede volver a asignar la dirección IPv6 mientras esté asignada a otra interfaz dered. Primero debe desasignarla.—

Puede asignar direcciones IPv6 adicionales a su instancia. Para ello, asígnelas a una interfaz de redadjunta a su instancia. El número de direcciones IPv6 que puede asignar a una interfaz de red, así comoel número de interfaces de red que puede adjuntar a una instancia varía según el tipo de instancia. Paraobtener más información, consulte Direcciones IP por interfaz de red por tipo de instancia en la Guía delusuario de Amazon EC2.

Las direcciones IPv6 son únicas de forma global y, por lo tanto, están disponibles a través de Internet.Es posible controlar si las instancias están disponibles a través de sus direcciones IPv6 controlando eldireccionamiento de su subred, o bien utilizando un grupo de seguridad y reglas de ACL de red. Paraobtener más información, consulte Privacidad del tráfico entre redes en Amazon VPC (p. 145).

Para obtener más información acerca de los rangos de direcciones IPv6 reservados, consulte IANA IPv6Special-Purpose Address Registry y RFC4291.

Comportamiento de las direcciones IP de su subredTodas las subredes tienen un atributo modificable que determina si se asigna a la interfaz de red creadaen dicha subred una dirección IPv4 pública y, si procede, una dirección IPv6. Esto incluye la interfaz de redprincipal (eth0) que se crea para una instancia al lanzar una instancia en dicha subred.

Independientemente del atributo de la subred, durante el lanzamiento podrá anular este parámetropara instancias específicas. Para obtener más información, consulte Asignar una dirección IPv4 públicadurante el lanzamiento de la instancia (p. 127) y Asignar una dirección IPv6 durante el lanzamiento de lainstancia (p. 128).

Usar direcciones IPEs posible modificar el comportamiento de las direcciones IP de su subred, asignar una dirección IPv4pública a su instancia durante el lanzamiento y asignar o desasignar direcciones IPv6 a su instancia.

Tareas• Modificar el atributo de direcciones IPv4 públicas de su subred (p. 127)• Modificar el atributo de direcciones IPv6 de su subred (p. 127)• Asignar una dirección IPv4 pública durante el lanzamiento de la instancia (p. 127)• Asignar una dirección IPv6 durante el lanzamiento de la instancia (p. 128)• Asignar una dirección IPv6 a una instancia (p. 129)• Anular la asignación de una dirección IPv6 de una instancia (p. 129)• Información general de la API y de los comandos (p. 130)

126

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html#AvailableIpPerENI

http://www.iana.org/assignments/iana-ipv6-special-registry/iana-ipv6-special-registry.xhtml

http://www.iana.org/assignments/iana-ipv6-special-registry/iana-ipv6-special-registry.xhtml


Amazon Virtual Private Cloud Guía del usuarioModificar el atributo de direcciones

IPv4 públicas de su subred

Modificar el atributo de direcciones IPv4 públicas desu subredDe forma predeterminada, las subredes no predeterminadas tienen el atributo de direcciones IPv4 públicasconfigurado como false, mientras que las subredes predeterminadas tienen este atributo configuradocomo true. Las subredes no predeterminadas creadas con el asistente para instancias de lanzamiento deAmazon EC2 son una excepción a esta configuración, ya que el asistente establece el atributo como true.Este atributo puede modificarse con la consola de Amazon VPC.

Para modificar el comportamiento de las direcciones IPv4 públicas de su subred

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Subnets.3. Seleccione su subred y elija Subnet Actions, Modify auto-assign IP settings.4. Si se activa la casilla de verificación Enable auto-assign public IPv4 address, se solicitará una

dirección IPv4 pública para todas las instancias que se lancen en la subred seleccionada. Active odesactive la casilla de verificación según sea necesario y, a continuación, elija Save.

Modificar el atributo de direcciones IPv6 de su subredDe forma predeterminada, todas las subredes tienen el atributo de direcciones IPv6 configurado comofalse. Este atributo puede modificarse con la consola de Amazon VPC. Si habilita el atributo dedirecciones IPv6 para su subred, las interfaces de red creadas en la subred recibirán una dirección IPv6del rango de la subred. Las instancias lanzadas en la subred recibirán una dirección IPv6 en la interfaz dered principal.

Su subred debe tener asociado un bloque de CIDR IPv6.Note

Si habilita la característica de direcciones IPv6 para su subred, la interfaz de red o la instanciasolo recibirá una dirección IPv6 si se crean con la versión 2016-11-15 o posterior de la API deAmazon EC2. La consola de Amazon EC2 utiliza la versión de la API más reciente.

Para modificar el comportamiento de las direcciones IPv6 de su subred

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Subnets.3. Seleccione su subred y elija Subnet Actions, Modify auto-assign IP settings.4. Si se activa la casilla de verificación Enable auto-assign public IPv6 address, se solicitará una

dirección IPv6 para todas las interfaces de red que se creen en la subred seleccionada. Active odesactive la casilla de verificación según sea necesario y, a continuación, elija Save.

Asignar una dirección IPv4 pública durante ellanzamiento de la instanciaEs posible controlar si durante el lanzamiento se asignará a la instancia de una subred predeterminada ono predeterminada una dirección IPv4 pública.

Important

Tenga en cuenta que no es posible desasociar manualmente la dirección IPv4 pública de lainstancia tras el lanzamiento. En su lugar, esta se libera automáticamente en determinados casos

127



Amazon Virtual Private Cloud Guía del usuarioAsignar una dirección IPv6 durante

el lanzamiento de la instancia

tras los cuales no se puede volver a utilizar. Si necesita una dirección IP pública persistente quepueda asociar o desasociar según sus necesidades, asocie una dirección IP elástica a la instanciatras el lanzamiento. Para obtener más información, consulte Direcciones IP elásticas (p. 307).

Para asignar una dirección IPv4 pública a una instancia durante el lanzamiento

1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. Elija Launch Instance.3. Elija una AMI, un tipo de instancia y, a continuación, elija Next: Configure Instance Details.4. En la página Configure Instance Details, seleccione una VPC de la lista Network. Aparecerá la lista

Auto-assign Public IP. Seleccione Enable o Disable para anular la configuración predeterminada de lasubred.

Important

No es posible asignar una dirección IPv4 pública si especifica más de una interfaz de red.Además, no podrá anular la configuración de la subred con la característica de asignaciónautomática de IPv4 pública si especifica una interfaz de red existente para eth0.

5. Siga el resto de pasos del asistente para lanzar su instancia.6. En la pantalla Instances, seleccione su instancia. En la pestaña Description, en el campo IPv4 Public

IP, podrá ver la dirección IP pública de su instancia. De manera alternativa, en el panel de navegación,elija Network Interfaces y seleccione la interfaz de red eth0 para su instancia. La dirección IP públicase muestra en el campo IPv4 Public IP.

Note

La dirección IPv4 pública se muestra como propiedad de la interfaz de red en la consola,aunque se asigna a la dirección IPv4 privada principal mediante NAT. Por lo tanto, ladirección IP pública no se mostrará si comprueba las propiedades de su interfaz de red en suinstancia como, por ejemplo, mediante ipconfig en una instancia de Windows, o medianteifconfig en una instancia de Linux. Para determinar la dirección IP pública de su instanciadesde la instancia, utilice los metadatos de la instancia. Para obtener más información,consulte Metadatos de instancia y datos de usuario.

Esta característica solo está disponible durante el lanzamiento. Sin embargo, independientemente desi asigna una dirección IPv4 pública a su instancia durante el lanzamiento, podrá asociar una direcciónIP elástica a su instancia tras el lanzamiento. Para obtener más información, consulte Direcciones IPelásticas (p. 307).

Asignar una dirección IPv6 durante el lanzamiento dela instanciaEs posible asignar automáticamente una dirección IPv6 a su instancia durante el lanzamiento. Para ello,debe lanzar su instancia en una VPC y una subred que tenga un bloque de CIDR IPv6 asociado (p. 103).La dirección IPv6 se asigna del rango de la subred y se asigna a la interfaz de red principal (eth0).

Para asignar automáticamente una dirección IPv6 a una instancia durante el lanzamiento

1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. Elija Launch Instance.3. Seleccione una AMI y un tipo de instancia y, a continuación, elija Next: Configure Instance Details.

Note

Seleccione un tipo de instancia que admita direcciones IPv6.

128


https://docs.aws.amazon.com/AWSEC2/latest/DeveloperGuide/ec2-instance-metadata.html


Amazon Virtual Private Cloud Guía del usuarioAsignar una dirección IPv6 a una instancia

4. En la página Configure Instance Details, seleccione una VPC en Network y una subred en Subnet. EnAuto-assign IPv6 IP, elija Enable.

5. Siga el resto de pasos del asistente para lanzar su instancia.

De manera alternativa, si desea asignar una dirección IPv6 específica desde el rango de subred a suinstancia durante el lanzamiento, puede asignar la dirección a la interfaz de red principal de su instancia.

Para asignar una dirección IPv6 específica a una instancia durante el lanzamiento

1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. Elija Launch Instance.3. Seleccione una AMI y un tipo de instancia y, a continuación, elija Next: Configure Instance Details.

Note

Seleccione un tipo de instancia que admita direcciones IPv6.4. En la página Configure Instance Details, seleccione una VPC en Network y una subred en Subnet.5. Vaya a la sección Network interfaces. Para la interfaz de red eth0, en IPv6 IPs, elija Add IP.6. Escriba una dirección IPv6 del rango de la subred.7. Siga el resto de pasos del asistente para lanzar su instancia.

Para obtener más información acerca de la asignación de múltiples direcciones IPv6 a su instancia duranteel lanzamiento, consulte Trabajar con varias direcciones IPv6 en la Guía del usuario de Amazon EC2 parainstancias de Linux.

Asignar una dirección IPv6 a una instanciaSi su instancia se encuentra en una VPC y una subred con un bloque de CIDR IPv6 asociado (p. 103),podrá utilizar la consola de Amazon EC2 para asignar una dirección IPv6 a su instancia desde el rango dela subred.

Para asociar una dirección IPv6 a su instancia

1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, elija Instances y seleccione la instancia.3. Elija Actions (Acciones), Networking (Redes), Manage IP Addresses (Administrar direcciones IP).4. En IPv6 Addresses, elija Assign new IP. Puede especificar una dirección IPv6 del rango de la subred

o dejar el valor Auto-assign (Asignación automática) para que Amazon elija una dirección IPv6automáticamente.

5. Seleccione Save.

De manera alternativa, puede asignar una dirección IPv6 a una interfaz de red. Para obtener másinformación, consulte la sección sobre la Asignación de una dirección IPv6 en el tema Interfaces de redeselásticas en la Guía del usuario de Amazon EC2 para instancias de Linux.

Anular la asignación de una dirección IPv6 de unainstanciaSi ya no necesita dirección IPv6 para su instancia, puede anular su asociación de la instancia mediante laconsola de Amazon EC2.

129


https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/MultipleIP.html#working-with-multiple-ipv6


https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html#eni-assign-ipv6

Amazon Virtual Private Cloud Guía del usuarioInformación general de la API y de los comandos

Para anular la asociación de una dirección IPv6 de su instancia

1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, elija Instances y seleccione la instancia.3. Elija Actions (Acciones), Networking (Redes), Manage IP Addresses (Administrar direcciones IP).4. En IPv6 Addresses, elija Unassign para la dirección IPv6.5. Seleccione Save.

De manera alternativa, puede anular la asociación de una dirección IPv6 a una interfaz de red. Paraobtener más información, consulte Anulación de la asignación de una dirección IPv6 en el tema Interfacesde redes elásticas en la Guía del usuario de Amazon EC2 para instancias de Linux.

Información general de la API y de los comandosPuede realizar las tareas descritas en esta página utilizando la línea de comandos o una API. Para obtenermás información acerca de las interfaces de la línea de comandos, junto con una lista de API disponibles,consulte Acceso a Amazon VPC (p. 1).

Asignación de una dirección IPv4 pública durante el lanzamiento

• Utilice la opción --associate-public-ip-address o --no-associate-public-ip-addresscon el comando run-instances (AWS CLI)

• Utilice el parámetro -AssociatePublicIp con el comando New-EC2Instance (Herramientas de AWSpara Windows PowerShell)

Asignación de una dirección IPv6 durante el lanzamiento

• Utilice la opción --ipv6-addresses con el comando run-instances (AWS CLI).• Utilice el parámetro -Ipv6Addresses con el comando New-EC2Instance (Herramientas de AWS para

Windows PowerShell)

Modificación del comportamiento de las direcciones IP de una subred

• modify-subnet-attribute (AWS CLI)• Edit-EC2SubnetAttribute (Herramientas de AWS para Windows PowerShell)

Asignación de una dirección IPv6 a una interfaz de red

• assign-ipv6-addresses (AWS CLI)• Register-EC2Ipv6AddressList (Herramientas de AWS para Windows PowerShell)

Anulación de la asignación de una dirección IPv6 a una interfaz de red

• unassign-ipv6-addresses (AWS CLI)• Unregister-EC2Ipv6AddressList (Herramientas de AWS para Windows PowerShell)

Migración a IPv6Si tiene una VPC existente que solo admite IPv4 y los recursos de su subred están configurados parautilizar solamente IPv4, puede habilitar la compatibilidad con IPv6 para su VPC y sus recursos. Su VPC

130


https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html#eni-unassign-ipv6





https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-subnet-attribute.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2SubnetAttribute.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/assign-ipv6-addresses.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Register-EC2Ipv6AddressList.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/unassign-ipv6-addresses.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Unregister-EC2Ipv6AddressList.html

Amazon Virtual Private Cloud Guía del usuarioMigración a IPv6

puede funcionar en modo de pila doble. Esto implica que los recursos se pueden comunicar mediante IPv4,IPv6 o ambos. Las comunicaciones IPv4 e IPv6 son independientes.

No puede deshabilitar la compatibilidad con IPv4 para su VPC y sus subredes, ya que este es el sistemade direccionamiento IP predeterminado para Amazon VPC y Amazon EC2.

Note

En esta información se presupone que hay una VPC con subredes públicas y privadas. Paraobtener información sobre cómo configurar una nueva VPC para usarla con IPv6, consulte thesection called “Información general de IPv6” (p. 22).

La tabla siguiente ofrece información general de los pasos que debe seguir para habilitar su VPC y sussubredes para utilizar IPv6.

Paso Notas

Paso 1: Asociar un bloque de CIDR IPv6 a su VPCy subredes (p. 134)

Asocie un bloque de CIDR IPv6 proporcionado porAmazon a su VPC y a sus subredes.

Paso 2: Actualizar las tablas deenrutamiento (p. 135)

Actualice sus tablas de ruteo para direccionar eltráfico IPv6. Para una subred pública, cree una rutaque direccione todo el tráfico IPv6 desde la subredal puerto de enlace a Internet. Para una subredprivada, cree una ruta que direccione todo el tráficoIPv6 entrante desde la subred a un gateway deInternet de solo salida.

Paso 3: Actualizar las reglas del grupo deseguridad (p. 135)

Actualice las reglas de su grupo de seguridad paraque incluyan reglas para direcciones IPv6. Estopermite el flujo de tráfico IPv6 entrante y salienteen las instancias. Si ha creado reglas de ACL dered personalizadas para controlar el flujo de tráficoentrante y saliente de su subred, debe incluirreglas para el tráfico IPv6.

Paso 4: Cambiar el tipo de instancia (p. 136) Si su tipo de instancia no es compatible con IPv6,cambie el tipo de instancia.

Paso 5: Asignar direcciones IPv6 a susinstancias (p. 137)

Asigne direcciones IPv6 a sus instancias desde elrango de direcciones IPv6 de su subred.

Paso 6: (opcional) Configurar IPv6 en susinstancias (p. 138)

Si su instancia se ha lanzado desde una AMIque no está configurado para utilizar DHCPv6,deberá configurar manualmente su instanciapara reconocer una dirección IPv6 asignada a lainstancia.

Antes de migrar a la utilización de IPv6, asegúrese de leer las características de las direcciones IPv6 paraAmazon VPC: Características y restricciones de IPv4 e IPv6 (p. 123).

Contenido• Ejemplo: habilitar IPv6 en una VPC con una subred privada y pública (p. 132)• Paso 1: Asociar un bloque de CIDR IPv6 a su VPC y subredes (p. 134)• Paso 2: Actualizar las tablas de enrutamiento (p. 135)• Paso 3: Actualizar las reglas del grupo de seguridad (p. 135)

131

Amazon Virtual Private Cloud Guía del usuarioEjemplo: habilitar IPv6 en una VPCcon una subred privada y pública

• Paso 4: Cambiar el tipo de instancia (p. 136)• Paso 5: Asignar direcciones IPv6 a sus instancias (p. 137)• Paso 6: (opcional) Configurar IPv6 en sus instancias (p. 138)

Ejemplo: habilitar IPv6 en una VPC con una subredprivada y públicaEn este ejemplo, su VPC tiene una subred pública y privada. También dispone de una instancia de basede datos en su subred privada que tiene comunicación saliente a Internet mediante una gateway NAT ensu VPC. Asimismo, tiene un servidor web público en su subred pública con acceso a Internet mediante lagateway de Internet. El diagrama siguiente representa la arquitectura de su VPC.

El grupo de seguridad de su servidor web (sg-11aa22bb11aa22bb1) tiene las siguientes reglasentrantes:

Type Protocolo Rango de puerto Fuente Comentario

Todo el tráfico Todo Todos sg-33cc44dd33cc44dd3Permite el accesoentrante de

132

Amazon Virtual Private Cloud Guía del usuarioEjemplo: habilitar IPv6 en una VPCcon una subred privada y pública

Type Protocolo Rango de puerto Fuente Comentariotodo el tráficode instanciasasociadas al grupode seguridadsg-33cc44dd33cc44dd3(instancia de labase de datos).

HTTP TCP 80 0.0.0.0/0 Permite el tráficoentrante desdeInternet medianteHTTP.

HTTPS TCP 443 0.0.0.0/0 Permite el tráficoentrante desdeInternet medianteHTTPS.

SSH TCP 22 203.0.113.123/32 Permite el accesoSSH entrantedesde su equipolocal. Por ejemplo,cuando necesitaconectarse a suinstancia pararealizar tareas deadministración.

El grupo de seguridad de su instancia de base de datos (sg-33cc44dd33cc44dd3) tiene la regla entrantesiguiente:

Tipo Protocolo Rango de puerto Fuente Comentario

MySQL TCP 3306 sg-11aa22bb11aa22bb1Permite el accesoentrante detráfico MySQLdesde instanciasasociadas al grupode seguridadsg-11aa22bb11aa22bb1(instancia delservidor web).

Ambos grupos de seguridad tienen la regla saliente predeterminada que permite todo el tráfico IPv4saliente y ninguna otra regla saliente.

El servidor web es un tipo de instancia t2.medium. El servidor de la base de datos es del tipo m3.large.

Usted desea que su VPC y sus recursos admitan IPv6. Asimismo, desea que puedan funcionar en modode pila doble. En otras palabras, desea utilizar las direcciones IPv4 e IPv6 entre los recursos de su VPC ylos recursos a través de Internet.

Una vez completados los pasos, su VPC tendrá la configuración siguiente.

133

Amazon Virtual Private Cloud Guía del usuarioPaso 1: Asociar un bloque de

CIDR IPv6 a su VPC y subredes

Paso 1: Asociar un bloque de CIDR IPv6 a su VPC ysubredesPuede asociar un bloque de CIDR IPv6 a su VPC y, a continuación, asociar un bloque de CIDR /64 dedicho rango a cada subred.

Para asociar un bloque de CIDR IPv6 a una VPC

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Your VPCs.3. Seleccione su VPC, elija Actions, Edit CIDRs.4. Elija Añadir CIDR IPv6, elija una de las siguientes opciones y, a continuación, elija Select CIDR

(Seleccionar CIDR):

• Amazon-provided IPv6 CIDR block (Bloque de CIDR IPv6 proporcionado por Amazon): solicitaun bloque de CIDR IPv6 del grupo de direcciones IPv6 de Amazon. En Grupo de borde de red,seleccione el grupo desde el que AWS anuncia las direcciones IP.

• IPv6 CIDR owned by me (CIDR IPv6 de mi propiedad: (BYOIP) asigna un bloque de CIDR IPv6de su grupo de direcciones IPv6. En Pool (Grupo), elija el grupo de direcciones IPv6 desde el quedesea asignar el bloque de CIDR IPv6.

134



Amazon Virtual Private Cloud Guía del usuarioPaso 2: Actualizar las tablas de enrutamiento

Para asociar un bloque de CIDR IPv6 a una subred

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Subnets.3. Seleccione su subred, elija Subnet Actions, Edit IPv6 CIDRs.4. Elija Add IPv6 CIDR. Especifique la pareja de valores hexadecimales para la subred (por ejemplo, 00)

y confirme la entrada seleccionando el icono de marca de verificación.5. Seleccione la opción Close. Repita los pasos para las demás subredes de su VPC.

Para obtener más información, consulte Tamaño de VPC y subred para direcciones IPv6 (p. 99).

Paso 2: Actualizar las tablas de enrutamientoPara una subred pública, debe actualizar la tabla de ruteo para habilitar instancias (tales como servidoresweb) para utilizar el puerto de enlace a Internet para tráfico IPv6.

Para una subred privada, debe actualizar la tabla de ruteo para habilitar instancias (tales como instanciasde base de datos) para utilizar una gateway de Internet de solo salida para tráfico IPv6.

Para actualizar la tabla de ruteo para una subred pública

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Route Tables y seleccione la tabla de ruteo asociada a la subred

pública.3. En la pestaña Routes, elija Edit.4. Elija Add another route. Especifique ::/0 en Destination (Destino), seleccione el ID de la gateway de

Internet en Target (Destino) y, a continuación, elija Save (Guardar).

Para actualizar la tabla de ruteo para una subred privada

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. Si usa un dispositivo NAT en su subred privada, no admite el tráfico IPv6. En lugar de ello, cree

un puerto de enlace a Internet de solo salida para que su subred privada permita la comunicaciónsaliente a Internet mediante IPv6 y para impedir las comunicaciones entrantes. El puerto de enlace aInternet de solo salida solo admite el tráfico IPv6. Para obtener más información, consulte Gatewaysde Internet de solo salida (p. 258).

3. En el panel de navegación, elija Route Tables y seleccione la tabla de ruteo asociada a la subredprivada.

4. En la pestaña Routes, elija Edit.5. Elija Add another route. En Destination (Destino), especifique ::/0. Para Target (Destino), seleccione

el ID de la gateway de Internet de solo salida y, a continuación, elija Save (Guardar).

Para obtener más información, consulte Opciones de enrutamiento de ejemplo (p. 228).

Paso 3: Actualizar las reglas del grupo de seguridadPara habilitar sus instancias de modo que puedan enviar y recibir tráfico por IPv6 debe actualizar las reglasdel grupo de seguridad para incluir reglas para direcciones IPv6.

Por ejemplo, en el ejemplo anterior, puede actualizar el grupo de seguridad del servidor web(sg-11aa22bb11aa22bb1) para agregar reglas que permitan acceso entrante HTTP, HTTPS y SSH

135




Amazon Virtual Private Cloud Guía del usuarioPaso 4: Cambiar el tipo de instancia

desde direcciones IPv6. No es necesario que haga ningún cambio a las reglas entrantes del grupode seguridad de su base de datos; la regla que permite todas las comunicaciones desde el grupo deseguridad sg-11aa22bb11aa22bb1 incluye la comunicación IPv6 de manera predeterminada.

Para actualizar las reglas de su grupo de seguridad

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Security Groups y seleccione el grupo de seguridad de su servidor

web.3. En la pestaña Inbound Rules, elija Edit.4. Para cada regla, elija Add another rule y elija Save cuando haya terminado. Por ejemplo, para agregar

una regla que permita todo el tráfico HTTP por IPv6, para Type (Tipo), seleccione HTTP, y paraSource (Origen), escriba ::/0.

De forma predeterminada se ha añadido automáticamente a los grupos de seguridad una regla salienteque permite todo el tráfico IPv6 cuando se asocia un bloque de CIDR IPv6 a su VPC. Sin embargo,si ha modificado las reglas salientes originales de su grupo de seguridad, esta regla no se añadiráautomáticamente, por lo que deberá añadir las reglas salientes equivalentes para el tráfico IPv6. Paraobtener más información, consulte Grupos de seguridad de su VPC (p. 165).

Actualizar las reglas de ACL de redSi asocia un bloque de CIDR IPv6 a su VPC, se añadirán automáticamente reglas a la ACL de redpredeterminada para permitir el tráfico IPv6 siempre que no haya modificado las reglas predeterminadas.Si ha modificado la ACL de red predeterminada o si ha creado una ACL de red personalizada con reglaspara controlar el flujo de tráfico entrante y saliente de la subred, deberá añadir manualmente las reglaspara el tráfico IPv6. Para obtener más información, consulte ACL de red (p. 174).

Paso 4: Cambiar el tipo de instanciaTodos los tipos de instancia de la generación actual admiten IPv6. Para obtener más información, consulteTipos de instancias.

Si su tipo de instancia no es compatible con IPv6, deberá cambiar el tamaño de la instancia a un tipocompatible de instancia. En el ejemplo anterior, la instancia de la base de datos es del tipo m3.large,que no es compatible con IPv6. Por lo tanto, debe redimensionar la instancia con un tipo de instanciacompatible como, por ejemplo, m4.large.

Para redimensionar la instancia, tenga en cuenta las limitaciones de compatibilidad. Para obtener másinformación, consulte Compatibilidad con el redimensionamiento de instancias en la Guía del usuario deAmazon EC2 para instancias de Linux. En este escenario, si la instancia de la base de datos se lanzódesde una AMI que utiliza virtualización HVM, podrá redimensionarla al tipo de instancia m4.largeutilizando el procedimiento siguiente.

Important

Para redimensionar su instancia, debe detenerla. La detención y el inicio de la instancia modificala dirección IPv4 pública de la instancia, si es que dispone de alguna. Si tiene datos almacenadosen volúmenes de almacén de instancias, los datos se borrarán.

Para redimensionar su instancia

1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, elija Instances y seleccione la instancia de la base de datos.3. Elija Actions, Instance State, Stop.

136


https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-types.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-resize.html#resize-limitations


Amazon Virtual Private Cloud Guía del usuarioPaso 5: Asignar direcciones IPv6 a sus instancias

4. En el cuadro de diálogo de confirmación, elija Yes, Stop.5. Con la instancia aún seleccionada, elija Actions, Instance Settings, Change Instance Type.6. En Instance Type (Tipo de instancia), elija el nuevo tipo de instancia y luego elija Apply (Aplicar).7. Para reiniciar la instancia detenida, seleccione la instancia y elija Actions, Instance State, Start. En el

cuadro de diálogo de confirmación, elija Yes, Start.

Si su instancia es una AMI con respaldo en el almacenamiento de la instancia, no podrá redimensionarla instancia con el procedimiento anterior. En su lugar, cree una AMI con respaldo en el almacenamientode la instancia desde su instancia y lance una nueva instancia desde su AMI utilizando un nuevo tipo deinstancia. Para obtener más información, consulte Crear una AMI de Linux con respaldo en el almacén deinstancias en la Guía del usuario de Amazon EC2 para instancias de Linux y Crear una AMI de Windowscon respaldo en el almacén de instancias en la Guía del usuario de Amazon EC2 para instancias deWindows.

Es posible que no pueda migrar a un nuevo tipo de instancia si hay limitaciones de compatibilidad. Porejemplo, si su instancia se lanzó desde una AMI que utiliza virtualización de PV, el único tipo de instanciaque admite virtualización de PV e IPv6 es el tipo C3. Es posible que este tipo de instancia no se ajuste asus necesidades. En este caso, es posible que tenga que volver a instalar el software en una AMI HVMbásica y lanzar una nueva instancia.

Si lanza una instancia desde una nueva AMI, puede asignar una dirección IPv6 a su instancia durante ellanzamiento.

Paso 5: Asignar direcciones IPv6 a sus instanciasTras comprobar que su tipo de instancia admite IPv6, podrá asignar una dirección IPv6 a su instanciamediante la consola de Amazon EC2. La dirección IPv6 se asigna a la interfaz de red principal (eth0) parala instancia.

Para asignar una dirección IPv6 a su instancia

1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, seleccione Instances (Instancias).3. Seleccione su instancia y elija Actions, Networking, Manage IP Addresses.4. En IPv6 Addresses, elija Assign new IP. Puede escribir una dirección IPv6 específica del rango de

su subred, o bien puede dejar el valor Auto-Assign predeterminado para que Amazon elija unadirección por usted.

5. Elija Yes, Update.

También, si lanza una instancia nueva (por ejemplo, si no pudo cambiar el tipo de instancia y creó unanueva AMI en su lugar), podrá asignar una dirección IPv6 durante el lanzamiento.

Para asignar una dirección IPv6 a una instancia durante el lanzamiento

1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. Seleccione su AMI y un tipo de instancia compatible con IPv6 y elija Next: Configure Instance Details.3. En la página Configure Instance Details, seleccione una VPC en Network y una subred en Subnet. En

Auto-assign IPv6 IP, seleccione Enable.4. Siga el resto de pasos del asistente para lanzar su instancia.

Puede conectarse a una instancia utilizando su dirección IPv6. Si se conecta desde un equipo local,asegúrese de que el equipo local tiene una dirección IPv6 y que está configurada para usar IPv6. Paraobtener más información, consulte Conexión con la instancia de Linux en la Guía del usuario de Amazon

137

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/creating-an-ami-instance-store.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/creating-an-ami-instance-store.html

https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/Creating_InstanceStoreBacked_WinAMI.html

https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/Creating_InstanceStoreBacked_WinAMI.html




Amazon Virtual Private Cloud Guía del usuarioPaso 6: (opcional) Configurar IPv6 en sus instancias

EC2 para instancias de Linux y Conexión con la instancia de Windows en la Guía del usuario de AmazonEC2 para instancias de Windows.

Paso 6: (opcional) Configurar IPv6 en sus instanciasSi ha lanzado su instancia utilizando Amazon Linux 2016.09.0 o posterior, o bien con Windows Server2008 R2 o posterior, su instancia está configurada para IPv6 y no es necesario realizar ningún pasoadicional.

Si ha lanzado su instancia desde una AMI distinta, es posible que no esté configurada para DHCPv6, loque significa que las direcciones IPv6 que asigne a la instancia no se reconocerán automáticamente en lainterfaz de red principal. Para comprobar si la dirección IPv6 está configurada en su interfaz de red, utiliceel comando ifconfig en Linux o el comando ipconfig en Windows.

Puede configurar su instancia siguiendo los pasos que se describen a continuación. Necesitará conectarsea su instancia utilizando su dirección IPv4 pública. Para obtener más información, consulte Conectarse ala instancia de Linux en la Guía del usuario de Amazon EC2 para instancias de Linux y Conectarse a lainstancia de Windows en la Guía del usuario de Amazon EC2 para instancias de Windows.

Sistema operativo• Amazon Linux (p. 138)• Ubuntu (p. 139)• RHEL/CentOS (p. 141)• Windows (p. 142)

Amazon LinuxPara configurar DHCPv6 en Amazon Linux

1. Conecte su instancia utilizando la dirección IPv4 pública de la instancia.2. Obtenga los paquetes de software más recientes para su instancia:

sudo yum update -y

3. Con el editor de texto que desee, abra /etc/sysconfig/network-scripts/ifcfg-eth0 ylocalice la línea siguiente:

IPV6INIT=no

Sustituya dicha línea por lo siguiente:

IPV6INIT=yes

Añada las siguientes dos líneas y guarde sus cambios:

DHCPV6C=yesDHCPV6C_OPTIONS=-nw

4. Abra /etc/sysconfig/network, quite las líneas siguientes y guarde los cambios:

NETWORKING_IPV6=noIPV6INIT=noIPV6_ROUTER=noIPV6_AUTOCONF=no

138







IPV6FORWARDING=noIPV6TO4INIT=noIPV6_CONTROL_RADVD=no

5. Abra /etc/hosts, sustituya los contenidos por los siguientes y guarde los cambios:

127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4::1 localhost6 localhost6.localdomain6

6. Reinicie su instancia. Vuelva a conectarse a su instancia y utilice el comando ifconfig paracomprobar que la dirección IPv6 se reconoce en la interfaz de red principal.

UbuntuPuede configurar su instancia de Ubuntu para que reconozca de forma dinámica cualquier dirección IPv6asignada a la interfaz de red. Si su instancia no tiene dirección IPv6, esta configuración hará que el tiempode inicio de su instancia se amplíe hasta 5 minutos.

Estos pasos deben realizarse como usuario raíz.

Ubuntu Server 16

Para configurar IPv6 en una instancia de Ubuntu Server 16 en ejecución

1. Conecte su instancia utilizando la dirección IPv4 pública de la instancia.2. Visualice el contenido del archivo /etc/network/interfaces.d/50-cloud-init.cfg:

cat /etc/network/interfaces.d/50-cloud-init.cfg

# This file is generated from information provided by# the datasource. Changes to it will not persist across an instance.# To disable cloud-init's network configuration capabilities, write a file# /etc/cloud/cloud.cfg.d/99-disable-network-config.cfg with the following:# network: {config: disabled}auto loiface lo inet loopback

auto eth0iface eth0 inet dhcp

Compruebe que el dispositivo de red de bucle invertido (lo) esté configurado y anote el nombre de lainterfaz de red. En este ejemplo, el nombre de la interfaz de red es eth0. Es posible que el nombrevaríe en función del tipo de instancia.

3. Cree el archivo /etc/network/interfaces.d/60-default-with-ipv6.cfg y añada la líneasiguiente. Si es necesario, sustituya eth0 por el nombre de la interfaz de red que recuperó en el pasoanterior.

iface eth0 inet6 dhcp

4. Reinicie su instancia o la interfaz de red. Para ello, ejecute el comando que se describe acontinuación. Si es necesario, sustituya eth0 por el nombre de su interfaz de red.

sudo ifdown eth0 ; sudo ifup eth0

5. Vuelva a conectarse a su instancia y utilice el comando ifconfig para comprobar que la direcciónIPv6 está configurada en la interfaz de red.

139


Para configurar IPv6 mediante datos de usuario

• Puede lanzar una nueva instancia de Ubuntu y asegurarse de que las direcciones IPv6 asignadas ala instancia se configuren automáticamente en la interfaz de red especificando los datos de usuariosiguientes durante el lanzamiento:

#!/bin/bashecho "iface eth0 inet6 dhcp" >> /etc/network/interfaces.d/60-default-with-ipv6.cfgdhclient -6

En este caso, no tiene que conectarse a la instancia para configurar la dirección IPv6.

Para obtener más información, consulte Ejecutar comandos en la instancia de Linux en el lanzamientoen la Guía del usuario de Amazon EC2 para instancias de Linux.

Ubuntu Server 14

Si va a utilizar Ubuntu Server 14, debe incluir una solución a un problema conocido que se produce alreiniciar la interfaz de red de pila doble (al reiniciarse, se agota el tiempo de espera y no se puede obteneracceso a la instancia durante dicho periodo).

Estos pasos deben realizarse como usuario raíz.

Para configurar IPv6 en una instancia de Ubuntu Server 14 en ejecución

1. Conecte su instancia utilizando la dirección IPv4 pública de la instancia.2. Edite el archivo /etc/network/interfaces.d/eth0.cfg para que contenga lo siguiente:

auto loiface lo inet loopbackauto eth0iface eth0 inet dhcp up dhclient -6 $IFACE

3. Reinicie su instancia:

sudo reboot

4. Vuelva a conectarse a su instancia y utilice el comando ifconfig para comprobar que la direcciónIPv6 está configurada en la interfaz de red.

Iniciar el cliente DHCPv6

De manera alternativa, para mostrar la dirección IPv6 de la interfaz de red de inmediato sin tener querealizar ninguna configuración adicional, puede iniciar el cliente DHCPv6 de la instancia. Sin embargo, ladirección IPv6 no se mantiene en la interfaz de red tras el reinicio.

Para iniciar el cliente DHCPv6 en Ubuntu

1. Conecte su instancia utilizando la dirección IPv4 pública de la instancia.2. Inicie el cliente DHCPv6:

sudo dhclient -6

3. Utilice el comando ifconfig para comprobar que la interfaz de red principal reconoce la direcciónIPv6.

140

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/user-data.html

https://bugs.launchpad.net/ubuntu/+source/ifupdown/+bug/1013597


RHEL/CentOSRHEL 7.4 y CentOS 7 y posteriores usan cloud-init para configurar su interfaz de red y generar el archivo/etc/sysconfig/network-scripts/ifcfg-eth0. Puede crear un archivo de configuración cloud-init personalizado para habilitar DHCPv6, que genera un archivo ifcfg-eth0 con configuraciones quehabilitan DHCPv6 después de cada reinicio.

Note

Un problema conocido hace que, si utiliza RHEL/CentOS 7.4 con la última versión de cloud-init-0.7.9, al realizar estos pasos puede que pierda la conectividad con su instancia tras reiniciar.Una alternativa es editar manualmente el archivo /etc/sysconfig/network-scripts/ifcfg-eth0.

Para configurar DHCPv7.4 en RHEL 7 o CentOS 6

1. Conecte su instancia utilizando la dirección IPv4 pública de la instancia.2. Con el editor de texto que desee, cree un archivo personalizado, por ejemplo:

/etc/cloud/cloud.cfg.d/99-custom-networking.cfg

3. Añada las siguientes líneas al archivo y guarde los cambios:

network: version: 1 config: - type: physical name: eth0 subnets: - type: dhcp - type: dhcp6

4. Con el editor de texto que desee, agregue la línea siguiente al archivo específico de la interfaz en /etc/sysctl.d. Si deshabilitó la nomenclatura coherente de dispositivos de red, el nombre de lainterfaz de red es ethX o la interfaz secundaria.

net.ipv6.conf.network-interface-name.accept_ra=1

En el ejemplo siguiente, la interfaz de red es en5.

net.ipv6.conf.en5.accept_ra=1

5. Reinicie su instancia.6. Vuelva a conectarse a su instancia y utilice el comando ifconfig para comprobar que la dirección

IPv6 está configurada en la interfaz de red.

Para RHEL versiones 7.3 y anteriores, puede utilizar el procedimiento siguiente para modificar el archivo /etc/sysconfig/network-scripts/ifcfg-eth0 directamente.

Para configurar DHCPv6 en RHEL 7.3 y anteriores

1. Conecte su instancia utilizando la dirección IPv4 pública de la instancia.2. Con el editor de texto que desee, abra /etc/sysconfig/network-scripts/ifcfg-eth0 y

localice la línea siguiente:

IPV6INIT="no"

141

http://cloudinit.readthedocs.io/en/latest/index.html


Sustituya dicha línea por lo siguiente:

IPV6INIT="yes"

Añada las siguientes dos líneas y guarde sus cambios:

DHCPV6C=yesNM_CONTROLLED=no

3. Abra /etc/sysconfig/network, añada o modifique la línea siguiente como se indica acontinuación y guarde los cambios:

NETWORKING_IPV6=yes

4. Reinicie las redes en su instancia ejecutando el comando siguiente:

sudo service network restart

Puede utilizar el comando ifconfig para comprobar que la interfaz de red principal reconoce ladirección IPv6.

Para configurar DHCPv6 en RHEL 6 o CentOS 6

1. Conecte su instancia utilizando la dirección IPv4 pública de la instancia.2. Siga los pasos del 2 al 4 del procedimiento anterior para configurar RHEL 7/CentOS 7.3. Si reinicia las redes y obtiene un error que indica que no se puede obtener la dirección IPv6.

abra /etc/sysconfig/network-scripts/ifup-eth y localice la siguiente línea (de formapredeterminada el contenido se encuentra en la línea 327):

if /sbin/dhclient "$DHCLIENTARGS"; then

Quite las comillas antes y después de $DHCLIENTARGS y guarde los cambios. Reinicie las redes ensu instancia:

sudo service network restart

WindowsUtilice los procedimientos siguientes para configurar IPv6 en Windows Server 2003 y Windows Server2008 SP2.

Para asegurarse de que el sistema prefiere IPv6 frente a IPv4, descargue la corrección Preferir IPv4acerca de IPv6 en las directivas de prefijo de la siguiente página de soporte de Microsoft: https://support.microsoft.com/en-us/help/929852/how-to-disable-ipv6-or-its-components-in-windows.

Para habilitar y configurar IPv6 en Windows Server 2003

1. Obtenga la dirección IPv6 de su instancia utilizando el comando de AWS CLI describe-instances oconsultando el campo IPv6 IPs (Direcciones IP IPv6) de la instancia en la consola de Amazon EC2.

2. Conecte su instancia utilizando la dirección IPv4 pública de la instancia.3. Desde su instancia, elija Inicio, Panel de control, Conexiones de red, Conexión de área local.

142

https://support.microsoft.com/en-us/help/929852/how-to-disable-ipv6-or-its-components-in-windows

https://support.microsoft.com/en-us/help/929852/how-to-disable-ipv6-or-its-components-in-windows

https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instances.html


4. Elija Propiedades y, a continuación, elija Instalar.5. Elija Protocolo y Agregar. En la lista Protocolo de red, elija Microsoft TCP/IP versión 6 y, a

continuación, elija Aceptar.6. Abra el símbolo del sistema y el shell de red.

netsh

7. Cambie al contexto IPv6 de la interfaz.

interface ipv6

8. Añada la dirección IPv6 a la conexión de área local utilizando el comando siguiente. Sustituya el valorde la dirección IPv6 por la dirección IPv6 para su instancia.

add address "Local Area Connection" "ipv6-address"

Por ejemplo:

add address "Local Area Connection" "2001:db8:1234:1a00:1a01:2b:12:d08b"

9. Salga del shell de red.

exit

10. Utilice el comando ipconfig para comprobar que la conexión de área local reconoce la direcciónIPv6.

Para habilitar y configurar IPv6 en Windows Server 2008 SP2

1. Obtenga la dirección IPv6 de su instancia utilizando el comando de AWS CLI describe-instances oconsultando el campo IPv6 IPs (Direcciones IP IPv6) de la instancia en la consola de Amazon EC2.

2. Conecte su instancia de Windows utilizando la dirección IPv4 pública de la instancia.3. Elija Inicio, Panel de control.4. Abra Centro de redes y recursos compartidos y, a continuación, abra Conexiones de red.5. Haga clic con el botón derecho en Red de área local (para la interfaz de red) y elija Propiedades.6. Elija la casilla de verificación Protocolo de Internet versión 6 (TCP/IPv6) y elija Aceptar.7. Vuelva a abrir el cuadro de diálogo de propiedades de Red de área local. Elija Protocolo de Internet

versión 6 (TCP/IPv6) y elija Propiedades.8. Elija Usar la siguiente dirección IPv6: y haga lo siguiente:

• En Dirección IPV6, escriba la dirección IPv6 que obtuvo en el paso 1.• En Longitud del prefijo de subred, escriba 64.

9. Elija Aceptar y cierre el cuadro de diálogo de propiedades.10. Abra el símbolo del sistema. Utilice el comando ipconfig para comprobar que la conexión de área

local reconoce la dirección IPv6.

143


Amazon Virtual Private Cloud Guía del usuarioProtección de los datos

Seguridad en Amazon Virtual PrivateCloud

La seguridad en la nube de AWS es la mayor prioridad. Como cliente de AWS, se beneficiará de unaarquitectura de red y un centro de datos diseñados para satisfacer los requisitos de seguridad de lasorganizaciones más exigentes.

La seguridad es una responsabilidad compartida entre AWS y usted. El modelo de responsabilidadcompartida la describe como seguridad de la nube y seguridad en la nube:

• Seguridad de la nube – AWS es responsable de proteger la infraestructura que ejecuta servicios deAWS en la nube de AWS. AWS también proporciona servicios que puede utilizar de forma segura. Losauditores externos prueban y verifican periódicamente la eficacia de nuestra seguridad como parte delos Programas de conformidad de AWS . Para obtener información sobre los programas de conformidadque se aplican a Amazon Virtual Private Cloud, consulte Servicios de AWS en el ámbito del programa deconformidad.

• Seguridad en la nube – su responsabilidad viene determinada por el servicio de AWS que utilice.También es responsable de otros factores, incluida la confidencialidad de los datos, los requisitos de laempresa y la legislación y los reglamentos aplicables.

Esta documentación le ayuda a comprender cómo puede aplicar el modelo de responsabilidad compartidacuando se utiliza Amazon VPC. En los siguientes temas, aprenderá a configurar Amazon VPC parasatisfacer sus objetivos de seguridad y conformidad. También aprenderá a utilizar otros servicios de AWSque le ayudarán a monitorizar y proteger sus recursos de Amazon VPC.

Temas• Proteger los datos en Amazon Virtual Private Cloud (p. 144)• Administración de identidades y accesos para Amazon VPC (p. 147)• Registrar y monitorear para Amazon VPC (p. 163)• Resiliencia en Amazon Virtual Private Cloud (p. 164)• Validación de la conformidad para Amazon Virtual Private Cloud (p. 164)• Grupos de seguridad de su VPC (p. 165)• ACL de red (p. 174)• Logs de flujo de VPC (p. 190)• Prácticas recomendadas de seguridad de la VPC (p. 217)

Proteger los datos en Amazon Virtual Private CloudAmazon Virtual Private Cloud cumple los requisitos del modelo de responsabilidad compartida de AWS,que incluye reglamentos y directrices para la protección de los datos. AWS es responsable de protegerla infraestructura global que ejecuta todos los servicios de AWS. AWS mantiene el control de los datosalojados en esta infraestructura, incluidos los controles de configuración de la seguridad para el tratamientodel contenido y los datos personales de los clientes. Los clientes de AWS y los socios de APN, que actúancomo controladores o procesadores de datos, son responsables de todos los datos personales quecolocan en la nube de AWS.

Para fines de protección de datos, le recomendamos proteger las credenciales de la cuenta de AWS yconfigurar cuentas de usuario individuales con AWS Identity and Access Management (IAM), de modo que

144

http://aws.amazon.com/compliance/shared-responsibility-model/


http://aws.amazon.com/compliance/programs/

http://aws.amazon.com/compliance/services-in-scope/



Amazon Virtual Private Cloud Guía del usuarioPrivacidad del tráfico entre redes

a cada usuario se le concedan únicamente los permisos necesarios para llevar a cabo su trabajo. Tambiénle recomendamos proteger sus datos de las siguientes formas:

• Utilice la autenticación multifactor (MFA) con cada cuenta. Para obtener información sobre MFA,consulte AWS Multi-Factor Authentication (MFA).

• Utilice SSL/TLS para comunicarse con los recursos de AWS.• Configure la API y el registro de actividad del usuario con AWS CloudTrail. Para obtener información

sobre cómo trabajar con AWS CloudTrail, consulte Trabajar con CloudTrail en la Guía del usuario deAWS CloudTrail.

• Utilice las soluciones de cifrado de AWS, junto con todos los controles de seguridad predeterminadosdentro de los servicios de AWS.

• Utilice los servicios de seguridad administrados avanzados como, por ejemplo, Amazon Macie,que ayudan a detectar y proteger los datos personales almacenados en Amazon S3. Para obtenerinformación sobre Amazon Macie, consulte la Guía del usuario de Amazon Macie.

Le recomendamos encarecidamente que nunca introduzca información de identificación confidencial,como, por ejemplo, números de cuenta de sus clientes, en los campos de formato libre, como el campoName (Nombre). No debe especificar esta información cuando trabaje con Amazon VPC u otros serviciosde AWS a través de la consola, la API, la AWS CLI de AWS o los SDK de AWS. Cualquier dato queescriba en Amazon VPC o en otros servicios se puede incluir en los registros de diagnóstico. Cuandoproporcione una URL a un servidor externo, no incluya información de credenciales en la URL para validarla solicitud para ese servidor.

Para obtener más información sobre la protección de datos, consulte la entrada de blog relativa al modelode responsabilidad compartida de AWS y GDPR en el blog de seguridad de AWS.

Privacidad del tráfico entre redes en Amazon VPCAmazon Virtual Private Cloud ofrece características que puede utilizar para aumentar y monitorear laseguridad de su nube virtual privada (VPC):

• Grupos de seguridad: los grupos de seguridad actúan como firewall para las instancias Amazon EC2asociadas al controlar el tráfico entrante y saliente en el ámbito de la instancia. Cuando lanza unainstancia, puede asociarla a uno o varios grupos de seguridad que haya creado. Cada instancia desu VPC podría pertenecer a un conjunto distinto de grupos de seguridad. Si no especifica ningúngrupo de seguridad al lanzar una instancia, esta se asocia automáticamente al grupo de seguridadpredeterminado de la VPC. Para obtener más información, consulte Grupos de seguridad de suVPC (p. 165).

• Listas de control de acceso (ACL) de red: las ACL de red actúan como firewall para las subredesasociadas y controlan el tráfico entrante y saliente en el ámbito de la subred. Para obtener másinformación, consulte ACL de red (p. 174).

• Registros de flujo: los registros de flujo capturan información acerca del tráfico IP entrante y salientede las interfaces de red en su VPC. Puede crear un registro de flujo para una VPC, una subred o unainterfaz de red individual. Los datos del registro de flujo se publican en CloudWatch Logs o AmazonS3 y pueden ayudarle a diagnosticar reglas de ACL de red y de grupos de seguridad excesivamenterestrictivas o permisivas. Para obtener más información, consulte Logs de flujo de VPC (p. 190).

• Replicación del tráfico: puede copiar el tráfico de red desde una interfaz de red elástica de una instanciade Amazon EC2. A continuación, puede enviar el tráfico a dispositivos de supervisión y seguridad fuerade banda. Para obtener más información, consulte la guía de replicación del tráfico.

Puede utilizar AWS Identity and Access Management (IAM) para controlar quién de su organización tienepermiso para crear y administrar grupos de seguridad, ACL de red y registros de flujo. Por ejemplo, puedeconceder ese permiso a sus administradores de red, pero no dar permiso al personal que solo necesita

145

https://docs.aws.amazon.com/whitepapers/latest/aws-overview-security-processes/aws-multi-factor-authentication-mfa.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-getting-started.html

https://docs.aws.amazon.com/macie/latest/user/what-is-macie.html

http://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/

http://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/

https://docs.aws.amazon.com/vpc/latest/mirroring/

Amazon Virtual Private Cloud Guía del usuarioPrivacidad del tráfico entre redes

lanzar instancias. Para obtener más información, consulte Administración de identidades y accesos paraAmazon VPC (p. 147).

Los grupos de seguridad y las ACL de red de Amazon no filtran el tráfico entrante o saliente de lasdirecciones de enlace local (169.254.0.0/16) o direcciones IPv4 reservadas de AWS (estas son lascuatro primeras direcciones IPv4 de la subred, incluida la dirección del servidor DNS de Amazon para laVPC). De forma similar, los logs de flujo no capturan el tráfico IP entrante o saliente de estas direcciones.Estas direcciones son compatibles con lo siguiente:

• Servicios de nombres de dominio (DNS)• Protocolo de configuración dinámica de host (DHCP)• Metadatos de la instancia de Amazon EC2• Servicio de administración de claves (KMS): administración de licencias para las instancias de Windows• Enrutamiento en la subred

Puede implementar soluciones adicionales de firewall en sus instancias para bloquear la comunicación dered con direcciones de enlace local.

Comparación de grupos de seguridad y ACL de redLa siguiente tabla resume las diferencias básicas entre grupos de seguridad y ACL de red.

Security group (Grupo de seguridad) ACL de red

Opera en el nivel de la instancia Opera en el nivel de la subred

Solo admite reglas de permiso Admite reglas de permiso y de denegación

Es con estado: el tráfico de retorno se admiteautomáticamente, independientemente de lasreglas

Es sin estado: las reglas deben permitir de formaexplícita el tráfico de retorno

Evaluamos todas las normas antes de decidir sipermitir el tráfico

Procesamos las reglas en orden, empezando porla regla numerada más baja, al decidir si permitir eltráfico

Se aplica a una instancia únicamente si alguienespecifica el grupo de seguridad al lanzar lainstancia, o asocia el grupo de seguridad a lainstancia más adelante

Se aplica automáticamente a todas las instanciasde las subredes con las que se ha asociado (por lotanto, proporciona una capa de defensa adicionalsi las reglas del grupo de seguridad son demasiadopermisivas)

El siguiente diagrama muestra las capas de seguridad proporcionadas por los grupos de seguridad y lasACL de red. Por ejemplo, el tráfico de un puerto de enlace a Internet se dirige a la subred correspondientemediante las rutas de la tabla de ruteo. Las reglas de la ACL de red que se asocian a la subred controlanel tráfico que se permite en la subred. Las reglas del grupo de seguridad que se asocian a una instanciacontrolan el tráfico que se permite en la instancia.

146

Amazon Virtual Private Cloud Guía del usuarioAdministración de identidades y accesos

Puede proteger sus instancias utilizando sólo grupos de seguridad. Sin embargo, puede añadir ACL dered como una capa adicional de defensa. Para ver un ejemplo, consulte Ejemplo: controlar el acceso a lasinstancias en una subred (p. 187).

Administración de identidades y accesos paraAmazon VPC

AWS Identity and Access Management (IAM) es un servicio de AWS que ayuda a un administrador acontrolar de forma segura el acceso a los recursos de AWS. Los administradores de IAM controlan quiénpuede ser autenticado (iniciar sesión) y estar autorizado (tener permisos) para utilizar los recursos deAmazon VPC. IAM es un servicio de AWS que se puede utilizar sin costo adicional.

Temas• Público (p. 148)• Autenticación con identidades (p. 148)• Administración de acceso mediante políticas (p. 150)• Cómo funciona Amazon VPC con IAM (p. 151)• Ejemplos de políticas de Amazon VPC (p. 155)• Solucionar problemas de identidad y acceso de Amazon VPC (p. 161)

147

Amazon Virtual Private Cloud Guía del usuarioPúblico

PúblicoLa forma en que utilice AWS Identity and Access Management (IAM) difiere, en función del trabajo querealice en Amazon VPC.

Usuario de servicio: si utiliza el servicio Amazon VPC para realizar su trabajo, su administrador leproporciona las credenciales y los permisos que necesita. A medida que utilice más características deAmazon VPC para realizar su trabajo, es posible que necesite permisos adicionales. Entender cómo seadministra el acceso puede ayudarle a solicitar los permisos correctos a su administrador. Si no puedeacceder a una característica en Amazon VPC, consulte Solucionar problemas de identidad y acceso deAmazon VPC (p. 161).

Administrador de servicio: si está a cargo de los recursos de Amazon VPC en su empresa, probablementetenga acceso completo a Amazon VPC. Su trabajo consiste en determinar qué a características y recursosde Amazon VPC deben acceder sus empleados. Envíe solicitudes a su administrador de IAM para cambiarlos permisos de los usuarios de su servicio. Revise la información de esta página para conocer losconceptos básicos de IAM. Para obtener más información sobre cómo su empresa puede utilizar IAM conAmazon VPC, consulte Cómo funciona Amazon VPC con IAM (p. 151).

Administrator de IAM: si es un administrador de IAM, es posible que quiera conocer información sobrecómo escribir políticas para administrar el acceso a Amazon VPC. Para ver ejemplos de políticas, consulteEjemplos de políticas de Amazon VPC (p. 155).

Autenticación con identidadesLa autenticación es la manera de iniciar sesión en AWS mediante credenciales de identidad. Para obtenermás información acerca del inicio de sesión con la Consola de administración de AWS, consulte Laconsola de IAM y la página de inicio de sesión en la Guía del usuario de IAM.

Debe estar autenticado (haber iniciado sesión en AWS) como Usuario de la cuenta raíz de AWS, usuariode IAM o asumiendo un rol de IAM. También puede utilizar la autenticación de inicio de sesión único desu empresa o incluso iniciar sesión con Google o Facebook. En estos casos, su administrador habráconfigurado previamente la federación de identidad mediante roles de IAM. Cuando obtiene acceso a AWSmediante credenciales de otra empresa, asume un rol indirectamente.

Para iniciar sesión directamente en la Consola de administración de AWS, use su contraseña con sucorreo electrónico usuario raíz o su nombre de usuario de IAM. Puede obtener acceso a AWS medianteprogramación utilizando sus claves de acceso usuario raíz o de usuario de IAM. AWS proporciona SDK yherramientas de línea de comandos para firmar criptográficamente su solicitud con sus credenciales. Si noutiliza las herramientas de AWS, debe firmar usted mismo la solicitud. Para ello, utilice Signature Version4, un protocolo para autenticar solicitudes de API de entrada. Para obtener más información acerca de laautenticación de solicitudes, consulte Proceso de firma Signature Version 4 en la AWS General Reference.

Independientemente del método de autenticación que utilice, es posible que también deba proporcionarinformación de seguridad adicional. Por ejemplo, AWS le recomienda el uso de la autenticación multifactor(MFA) para aumentar la seguridad de su cuenta. Para obtener más información, consulte Uso de Multi-Factor Authentication (MFA) en AWS en la Guía del usuario de IAM.

Usuario raíz de la cuenta de AWSCuando se crea por primera vez una cuenta de AWS, se comienza con una única identidad de inicio desesión que tiene acceso completo a todos los servicios y recursos de AWS de la cuenta. Esta identidadrecibe el nombre de AWS de la cuenta de usuario raíz y se obtiene acceso a ella iniciando sesión con ladirección de correo electrónico y la contraseña que utilizó para crear la cuenta. Le recomendamos queno utilice usuario raíz en sus tareas cotidianas, ni siquiera en las tareas administrativas. En lugar de ello,es mejor ceñirse a la práctica recomendada de utilizar exclusivamente usuario raíz para crear el primerusuario de IAM. A continuación, guarde las credenciales de usuario raíz en un lugar seguro y utilícelasúnicamente para algunas tareas de administración de cuentas y servicios.

148

https://docs.aws.amazon.com/IAM/latest/UserGuide/console.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/console.html

https://console.aws.amazon.com/

https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html


https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#create-iam-users

https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#create-iam-users

Amazon Virtual Private Cloud Guía del usuarioAutenticación con identidades

Usuarios y grupos de IAMUn usuario de IAM es una entidad de la cuenta de AWS que dispone de permisos específicos para unasola persona o aplicación. Un usuario de IAM puede tener credenciales a largo plazo, como un nombrede usuario y una contraseña o un conjunto de claves de acceso. Para obtener más información acerca decómo generar claves de acceso, consulte Administración de las claves de acceso de los usuarios de IAMen la Guía del usuario de IAM. Al generar claves de acceso para un usuario de IAM, asegúrese de ver yguardar de forma segura el par de claves. No puede recuperar la clave de acceso secreta en el futuro. Ensu lugar, debe generar un nuevo par de claves de acceso.

Un grupo de IAM es una identidad que especifica un conjunto de usuarios de IAM. No puede iniciar sesióncomo grupo. Puede usar los grupos para especificar permisos para varios usuarios a la vez. Los gruposfacilitan la administración de los permisos de grandes conjuntos de usuarios. Por ejemplo, podría tener ungrupo cuyo nombre fuese Administradores de IAM y conceder permisos a dicho grupo para administrar losrecursos de IAM.

Los usuarios son diferentes de los roles. Un usuario se asocia exclusivamente a una persona o aplicación,pero la intención es que cualquier usuario pueda asumir un rol que necesite. Los usuarios tienencredenciales permanentes a largo plazo y los roles proporcionan credenciales temporales. Para obtenermás información, consulte Cuándo crear un usuario de IAM (en lugar de un rol) en la Guía del usuario deIAM.

Roles de IAMUn rol de IAM es una entidad de la cuenta de AWS que dispone de permisos específicos. Es similar aun usuario de IAM, pero no está asociado a una determinada persona. Puede asumir temporalmente unrol de IAM en la Consola de administración de AWS cambiando de roles. Puede asumir un rol llamandoa una operación de la AWS CLI o de la API de AWS, o utilizando una URL personalizada. Para obtenermás información acerca de los métodos para el uso de roles, consulte Uso de roles de IAM en la Guía delusuario de IAM.

Los roles de IAM con credenciales temporales son útiles en las siguientes situaciones:

• Permisos de usuario temporales de IAM: un usuario de IAM puede asumir un rol de IAM para recibirtemporalmente permisos distintos que le permitan realizar una tarea concreta.

• Acceso de usuario federado: En lugar de crear un usuario de IAM, puede utilizar identidades existentesde AWS Directory Service, del directorio de usuarios de la empresa o de un proveedor de identidadesweb. A estas identidades se les llama usuarios federados. AWS asigna una función a un usuariofederado cuando se solicita acceso a través de un proveedor de identidad. Para obtener másinformación acerca de los usuarios federados, consulte Usuarios federados y roles en la Guía delusuario de IAM.

• Acceso entre cuentas: puede utilizar un rol de IAM para permitir que alguien (una entidad principal deconfianza) de otra cuenta obtenga acceso a los recursos de su cuenta. Los roles son la forma principalde conceder acceso entre cuentas. Sin embargo, con algunos servicios de AWS, puede asociar unapolítica directamente a un recurso (en lugar de utilizar un rol como proxy). Para obtener informaciónacerca de la diferencia entre los roles y las políticas basadas en recursos para el acceso entre cuentas,consulte Cómo los roles de IAM difieren de las políticas basadas en recursos en la Guía del usuario deIAM.

• Acceso a servicios de AWS: Un rol de servicio es un rol de IAM que un servicio asume para realizaracciones en su cuenta en su nombre. Al configurar algunos de los entornos de los servicios de AWS,debe definir un rol que el servicio asumirá. Este rol de servicio debe incluir todos los permisos queson necesarios para que el servicio pueda acceder a los recursos de AWS que necesita. Los roles deservicio varían de servicio a servicio, pero muchos le permiten elegir sus permisos, siempre y cuandose cumplan los requisitos documentados para dicho servicio. Los roles de servicio ofrecen acceso solodentro de su cuenta y no se pueden utilizar para otorgar acceso a servicios en otras cuentas. Puedecrear, modificar y eliminar un rol de servicio desde IAM. Por ejemplo, puede crear un rol que permitaa Amazon Redshift tener acceso a un bucket de Amazon S3 en su nombre y, a continuación, cargar

149

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_which-to-choose

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_access-management.html#intro-access-roles

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_compare-resource-policies.html

Amazon Virtual Private Cloud Guía del usuarioAdministración de acceso mediante políticas

los datos de ese bucket en un clúster de Amazon Redshift. Para obtener más información, consulteCreación de un rol para delegar permisos a un servicio de AWS en la Guía del usuario de IAM.

• Aplicaciones que se ejecutan en Amazon EC2: Puede utilizar un rol de IAM para administrarcredenciales temporales para las aplicaciones que se ejecutan en una instancia EC2 y realizansolicitudes de la AWS CLI o la API de AWS. Es preferible hacerlo de este modo a almacenar claves deacceso en la instancia EC2. Para asignar un rol de AWS a una instancia EC2 y ponerla a disposición detodas las aplicaciones, cree un perfil de instancia asociado a la misma. Un perfil de instancia contiene elrol y permite a los programas que se ejecutan en la instancia EC2 obtener credenciales temporales. Paraobtener más información, consulte Uso de un rol de IAM para conceder permisos a aplicaciones que seejecutan en instancias Amazon EC2 en la Guía del usuario de IAM.

Para obtener información acerca del uso de los roles de IAM, consulte Cuándo crear un rol de IAM (en vezde un usuario) en la Guía del usuario de IAM.

Administración de acceso mediante políticasPara controlar el acceso en AWS, se crean políticas y se asocian a identidades de IAM o recursos deAWS. Una política es un objeto de AWS que, cuando se asocia a una identidad o un recurso, definesus permisos. AWS evalúa estas políticas cuando una entidad principal (usuario raíz, usuario de IAM orol de IAM) realiza una solicitud. Los permisos en las políticas determinan si la solicitud se permite o sedeniega. Las mayoría de las políticas se almacenan en AWS como documentos JSON. Para obtenermás información acerca de la estructura y el contenido de los documentos de política JSON, consulteInformación general de las políticas de JSON en la Guía del usuario de IAM.

Un administrador de IAM puede utilizar las políticas para especificar quién tiene acceso a los recursos deAWS y qué acciones se pueden realizar en dichos recursos. Cada entidad de IAM (usuario o rol) comienzasin permisos. En otras palabras, de forma predeterminada, los usuarios no pueden hacer nada, ni siquieracambiar sus propias contraseñas. Para conceder permiso a un usuario para hacer algo, el administradordebe asociarle una política de permisos. O bien el administrador puede añadir al usuario a un grupo quetenga los permisos necesarios. Cuando el administrador concede permisos a un grupo, todos los usuariosde ese grupo obtienen los permisos.

Las políticas de IAM definen permisos para una acción independientemente del método que se utilicepara realizar la operación. Por ejemplo, suponga que dispone de una política que permite la accióniam:GetRole. Un usuario con dicha política puede obtener información del usuario de la Consola deadministración de AWS, la AWS CLI o la API de AWS.

Políticas basadas en identidadLas políticas basadas en identidad son documentos de políticas de permisos JSON que puede asociara una identidad, como por ejemplo un usuario, un rol o un grupo de IAM. Estas políticas controlan quéacciones puede realizar dicha identidad, en qué recursos y en qué condiciones. Para obtener másinformación acerca de cómo crear una política basada en identidad, consulte Creación de políticas de IAMen la Guía del usuario de IAM.

Las políticas basadas en identidad pueden clasificarse además como políticas insertadas o políticasadministradas. Las políticas insertadas se integran directamente en un único usuario, grupo o rol. Laspolíticas administradas son políticas independientes que puede asociar a varios usuarios, grupos y rolesde su cuenta de AWS. Las políticas administradas incluyen las políticas administradas por AWS y laspolíticas administradas por el cliente. Para obtener más información acerca de cómo elegir una políticaadministrada o una política insertada, consulte Elegir entre políticas administradas y políticas insertadas enla Guía del usuario de IAM.

Políticas basadas en recursosLas políticas basadas en recursos son documentos de política JSON que puede asociar a un recursocomo, por ejemplo, un bucket de Amazon S3. Los administradores de servicios pueden utilizar estas

150

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_which-to-choose_role

https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_which-to-choose_role

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#choosing-managed-or-inline

Amazon Virtual Private Cloud Guía del usuarioCómo funciona Amazon VPC con IAM

políticas para definir qué acciones puede realizar un principal especificado (miembro de cuenta, usuario orol) en dicho recurso y bajo qué condiciones. Las políticas basadas en recursos son políticas insertadas.No existen políticas basadas en recursos que sean administradas.

Listas de control de acceso (ACL)Las listas de control de acceso (ACL) son un tipo de política que controlan qué entidades principales(cuentas, miembros, usuarios o roles) tienen permisos para obtener acceso a un recurso. Las ACL sonsimilares a las políticas basadas en recursos, aunque no utilizan el formato de documento de políticaJSON. Amazon S3, AWS WAF y Amazon VPC son ejemplos de servicios que admiten ACL. Para obtenermás información sobre las ACL, consulte Información general de las Access Control Lists (ACL, Listas decontrol de acceso) en la Guía para desarrolladores de Amazon Simple Storage Service.

Otros tipos de políticasAWS admite otros tipos de políticas menos frecuentes. Estos tipos de políticas pueden establecer elmáximo de permisos que los tipos de políticas más frecuentes le otorgan.

• Límites de permisos: un límite de permisos es una característica avanzada que le permite definir lospermisos máximos que una política basada en identidad puede conceder a una entidad de IAM (usuarioo rol de IAM). Puede establecer un límite de permisos para una identidad. Los permisos resultantes sonla intersección de las políticas basadas en identidades de la entidad y los límites de sus permisos. Laspolíticas basadas en recursos que especifiquen el usuario o rol en el campo Principal no estaránrestringidas por el límite de permisos. Una denegación explícita en cualquiera de estas políticas anularáel permiso. Para obtener más información acerca de los límites de permisos, consulte see Límites depermisos para las entidades de IAM en la Guía del usuario de IAM.

• Políticas de control de servicios (SCP): las SCP son políticas de JSON que especifican los permisosmáximos para una organización o unidad organizativa (OU) en AWS Organizations. AWS Organizationses un servicio que le permite agrupar y administrar de forma centralizada varias cuentas de AWSque posee su negocio. Si habilita todas las funciones en una organización, entonces podrá aplicarpolíticas de control de servicio (SCP) a una o todas sus cuentas. Una SCP limita los permisos para lasentidades de las cuentas de miembros, incluido cada Usuario de la cuenta raíz de AWS. Para obtenermás información acerca de Organizaciones y las SCP, consulte Funcionamiento de las SCP en la Guíadel usuario de AWS Organizations.

• Políticas de sesión: las políticas de sesión son políticas avanzadas que se pasan como parámetrocuando se crea una sesión temporal mediante programación para un rol o un usuario federado. Lospermisos de la sesión resultantes son la intersección de las políticas basadas en identidades del rol y laspolíticas de la sesión. Los permisos también pueden proceder de una política basada en recursos. Unadenegación explícita en cualquiera de estas políticas anulará el permiso. Para obtener más información,consulte Políticas de sesión en la Guía del usuario de IAM.

Varios tipos de políticasCuando se aplican varios tipos de políticas a una solicitud, los permisos resultantes son más complicadosde entender. Para obtener información acerca de cómo AWS determina si permitir una solicitud cuandohay varios tipos de políticas implicados, consulte Lógica de evaluación de políticas en la Guía del usuariode IAM.

Cómo funciona Amazon VPC con IAMAntes de utilizar IAM para administrar el acceso a Amazon VPC, debe saber qué características deIAM están disponibles para utilizarse con Amazon VPC. Para obtener una perspectiva general de cómoAmazon VPC y otros servicios de AWS funcionan con IAM, consulte Servicios de AWS que funcionan conIAM en la Guía del usuario de IAM.

151

https://docs.aws.amazon.com/AmazonS3/latest/dev/acl-overview.html


https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html

https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_about-scps.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html


Temas• Acciones (p. 152)• Recursos (p. 152)• Claves de condición (p. 153)• Políticas basadas en recursos de Amazon VPC (p. 154)• Autorización basada en etiquetas (p. 154)• Roles de IAM (p. 154)

Con las políticas basadas en identidad de IAM, puede especificar acciones permitidas o denegadas. Paraalgunas acciones, puede especificar los recursos y las condiciones en las que se permiten o denieganlas acciones. Amazon VPC admite acciones, claves de condiciones y recursos específicos. Para obtenermás información acerca de los elementos que utiliza en una política de JSON, consulte Referencia de loselementos de las políticas de JSON de IAM en la Guía del usuario de IAM.

AccionesEl elemento Action de una política basada en la identidad de IAM describe la acción o las accionesespecíficas que la política permitirá o denegará. Las acciones de la política generalmente tienen el mismonombre que la operación de API de AWS asociada. La acción se utiliza en una política para otorgarpermisos para realizar la operación asociada.

Amazon VPC comparte su espacio de nombres de la API con Amazon EC2. Las acciones de políticas deAmazon VPC incluyen el siguiente prefijo antes de la acción: ec2:. Por ejemplo, para conceder a alguienpermiso para crear una VPC con la operación de la API CreateVpc de Amazon EC2, incluya la acciónec2:CreateVpc en su política. Las instrucciones de la política deben incluir un elemento Action o unelemento NotAction.

Para especificar varias acciones en una única instrucción, sepárelas con comas como se muestra en elsiguiente ejemplo.

"Action": [ "ec2:action1", "ec2:action2"]

Puede utilizar caracteres comodín para especificar varias acciones (*). Por ejemplo, para especificar todaslas acciones que comiencen con la palabra Describe, incluya la siguiente acción.

"Action": "ec2:Describe*"

Para ver una lista de acciones de Amazon VPC, consulte Acciones, recursos y claves de condición deAmazon EC2 en la Guía del usuario de IAM.

RecursosEl elemento Resource especifica el objeto u objetos a los que se aplica la acción. Las instrucciones debencontener un elemento Resource o NotResource. Especifique un recurso con un ARN o el caráctercomodín (*) para indicar que la instrucción se aplica a todos los recursos.

Important

Actualmente, no todas las acciones de la API de Amazon EC2 admiten los permisos de nivel derecurso. Si una acción de la API de Amazon EC2 no admite este tipo de permisos de nivel de

152

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonec2.html



recurso, puede conceder permisos a los usuarios para que la utilicen, pero tendrá que usar un *(asterisco) para el elemento de recurso de la instrucción de la política. Para ver las acciones paralas que puede especificar un ARN para el elemento de recurso, consulte Acciones definidas porAmazon EC2.

El recurso de VPC tiene el ARN que se muestra en el ejemplo siguiente.

arn:${Partition}:ec2:${Region}:${Account}:vpc/${VpcId}

Para obtener más información acerca del formato de los ARN, consulte Nombres de recursos de Amazon(ARN).

Por ejemplo, para especificar la VPC vpc-1234567890abcdef0 en su instrucción, utilice el ARN que semuestra en el ejemplo siguiente.

"Resource": "arn:aws:ec2:us-east-1:123456789012:vpc/vpc-1234567890abcdef0"

Para especificar todas las VPC que pertenecen a una cuenta específica, utilice el carácter comodín (*).

"Resource": "arn:aws:ec2:us-east-1:123456789012:vpc/*"

Algunas acciones de Amazon VPC, como las empleadas para la creación de recursos, no se pueden llevara cabo en un recurso específico. En dichos casos, debe utilizar el carácter comodín (*).

"Resource": "*"

En muchas acciones de la API de Amazon EC2 se utilizan varios recursos. Para especificar variosrecursos en una única instrucción, separe los ARN con comas.

"Resource": [ "resource1", "resource2"]

Para ver una lista de tipos de recursos de Amazon VPC y sus ARN, consulte Recursos definidos porAmazon EC2 en la Guía del usuario de IAM.

Claves de condiciónEl elemento Condition (o bloque de Condition) permite especificar condiciones en las que entra envigor una instrucción. El elemento Condition es opcional. Puede crear expresiones condicionales queutilizan operadores de condición, tales como igual o menor que, para que coincida la condición de lapolítica con valores de la solicitud.

Si especifica varios elementos de Condition en una instrucción o varias claves en un único elemento deCondition, AWS las evalúa mediante una operación AND lógica. Si especifica varios valores para unaúnica clave de condición, AWS evalúa la condición con una operación lógica OR. Se deben cumplir todaslas condiciones antes de que se concedan los permisos de la instrucción.

También puede utilizar variables de marcador de posición al especificar condiciones. Por ejemplo, puedeconceder un permiso de usuario de IAM para acceder a un recurso solo si está etiquetado con su nombrede usuario de IAM. Para obtener más información, consulte Elementos de la política de IAM: Variables yetiquetas en la Guía del usuario de IAM.

153

https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonec2.html#amazonec2-actions-as-permissions


https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html

https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonec2.html#amazonec2-resources-for-iam-policies

https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonec2.html#amazonec2-resources-for-iam-policies

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html


Amazon VPC define su propio conjunto de claves de condición y también admite el uso de algunas clavesde condición globales. Para ver todas las claves de condición globales de AWS, consulte Claves decontexto de condición globales de AWS en la Guía del usuario de IAM.

Todas las acciones de Amazon EC2 admiten las claves de condición aws:RequestedRegion yec2:Region. Para obtener más información, consulte Ejemplo: restricción del acceso a una regiónespecífica.

Para ver una lista de las claves de condición de Amazon VPC, consulte Claves de condición de AmazonEC2 en la Guía del usuario de IAM. Para obtener más información acerca de las acciones y los recursoscon los que puede utilizar una clave de condición, consulte Acciones definidas por Amazon EC2.

Políticas basadas en recursos de Amazon VPCLas políticas basadas en recursos son documentos de política JSON que especifican qué acciones puederealizar una entidad principal especificada en el recurso de Amazon VPC y en qué condiciones.

Para hacer posible el acceso entre cuentas, puede especificar toda una cuenta o entidades de IAM deotra cuenta como la entidad principal de la política basada en recursos. Añadir a una política basada enrecursos una entidad principal entre cuentas es solo una parte del establecimiento de una relación deconfianza. Cuando el principal y el recurso se encuentran en cuentas de AWS diferentes, también debeconceder a la entidad principal permiso para obtener acceso al recurso. Conceda permiso asociando ala entidad una política basada en identidades. Sin embargo, si la política basada en recursos concedeel acceso a una entidad principal de la misma cuenta, no es necesaria una política basada en identidadadicional. Para obtener más información, consulte Cómo los roles de IAM difieren de las políticas basadasen recursos en la Guía del usuario de IAM.

Autorización basada en etiquetasPuede adjuntar etiquetas a los recursos de Amazon VPC o transferirlas en una solicitud. Para controlar elacceso según las etiquetas, debe proporcionar información de las etiquetas en el elemento de condición deuna política mediante las claves de condición ec2:ResourceTag/key-name, aws:RequestTag/key-name o aws:TagKeys. Para obtener más información, consulte Permisos de nivel de recursos paraetiquetar en la Guía de usuario de Amazon EC2.

Para ver un ejemplo de política basada en la identidad para limitar el acceso a un recurso basado en lasetiquetas de dicho recurso, consulte Lanzamiento de instancias en una VPC específica (p. 160).

Roles de IAMUn rol de IAM es una entidad de la cuenta de AWS que dispone de permisos específicos.

Uso de credenciales temporales

Puede utilizar credenciales temporales para iniciar sesión con federación, asumir un rol de IAM o asumir unrol de acceso entre cuentas. Las credenciales de seguridad temporales se obtienen mediante una llamadaa operaciones de la API de AWS STS, como AssumeRole o GetFederationToken.

Amazon VPC admite el uso de credenciales temporales.

Roles vinculados a servicios

Los roles vinculados a servicios permiten a los servicios de AWS obtener acceso a los recursos de otrosservicios para completar una acción en su nombre. Los roles vinculados a servicios aparecen en la cuentade IAM y son propiedad del servicio. Un administrador de IAM puede ver, pero no editar, los permisos delos roles vinculados a servicios.

154

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ExamplePolicies_EC2.html#iam-example-region

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ExamplePolicies_EC2.html#iam-example-region

https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonec2.html#amazonec2-policy-keys

https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonec2.html#amazonec2-policy-keys


https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html



https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-supported-iam-actions-resources.html#supported-iam-actions-tagging

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-supported-iam-actions-resources.html#supported-iam-actions-tagging

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html

https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html

https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role

Amazon Virtual Private Cloud Guía del usuarioEjemplos de políticas

Las gateways de tránsito admiten roles vinculados a servicios.

Roles de servicio

Esta característica permite que un servicio asuma un rol de servicio en nombre de usted. Este rol permiteque el servicio obtenga acceso a los recursos de otros servicios para completar una acción en su nombre.Los roles de servicio aparecen en su cuenta de IAM y son propiedad de la cuenta. Esto significa que unadministrador de IAM puede cambiar los permisos de este rol. Sin embargo, hacerlo podría deteriorar lafuncionalidad del servicio.

La Amazon VPC admite roles de servicio para registros de flujo. Al crear un registro de flujo, debe elegir unrol que permita al servicio de registros de flujo acceder a CloudWatch Logs. Para obtener más información,consulte Roles de IAM para publicar registros de flujo en CloudWatch Logs (p. 202).

Ejemplos de políticas de Amazon VPCDe forma predeterminada, los usuarios y roles de IAM no tienen permiso para crear ni modificar losrecursos de VPC. Tampoco pueden realizar tareas mediante la Consola de administración de AWS, laAWS CLI, o la API de AWS. Un administrador de IAM debe crear políticas de IAM que concedan permisosa los usuarios y a los roles para realizar operaciones de la API concretas en los recursos especificadosque necesiten. El administrador debe adjuntar esas políticas a los usuarios o grupos de IAM que necesitenesos permisos.

Para obtener más información acerca de cómo crear una política basada en identidad de IAM con estosdocumentos de políticas de JSON de ejemplo, consulte Creación de políticas en la pestaña JSON en laGuía del usuario de IAM.

Temas• Prácticas recomendadas relativas a políticas (p. 155)• Consultar la consola de Amazon VPC (p. 156)• Permitir a los usuarios consultar sus propios permisos (p. 157)• Crear una VPC con una subred pública (p. 158)• Modificar y eliminar recursos de VPC (p. 158)• Administración de grupos de seguridad (p. 159)• Lanzamiento de instancias en una subred específica (p. 160)• Lanzamiento de instancias en una VPC específica (p. 160)• Ejemplos de políticas de Amazon VPC adicionales (p. 161)

Prácticas recomendadas relativas a políticasLas políticas basadas en identidad son muy eficaces. Determinan si alguien puede crear, acceder oeliminar los recursos de Amazon VPC de su cuenta. Estas acciones pueden generar costes adicionalespara su cuenta de AWS. Siga estas directrices y recomendaciones al crear o editar políticas basadas enidentidad:

• Introducción sobre el uso de políticas administradas de AWS: para comenzar a utilizar Amazon VPCrápidamente, utilice las políticas administradas de AWS para proporcionar a los empleados los permisosnecesarios. Estas políticas ya están disponibles en su cuenta y las mantiene y actualiza AWS. Paraobtener más información, consulte Introducción sobre el uso de permisos con políticas administradas deAWS en la Guía del usuario de IAM.

• Conceder privilegios mínimos: al crear políticas personalizadas, conceda solo los permisos necesariospara llevar a cabo una tarea. Comience con un conjunto mínimo de permisos y conceda permisosadicionales según sea necesario. Por lo general, es más seguro que comenzar con permisos que son

155

https://docs.aws.amazon.com/vpc/latest/tgw/tgw-service-linked-roles.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor

https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies

https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies


demasiado tolerantes e intentar hacerlos más severos más adelante. Para obtener más información,consulte Conceder privilegios mínimos en la Guía del usuario de IAM.

• Habilitar MFA para operaciones confidenciales: para mayor seguridad, obligue a los usuarios deIAM a que utilicen la autenticación multifactor (MFA) para acceder a recursos u operaciones de APIconfidenciales. Para obtener más información, consulte Uso de Multi-Factor Authentication (MFA) enAWS en la Guía del usuario de IAM.

• Utilizar condiciones de política para mayor seguridad: en la medida en que sea práctico, defina lascondiciones en las que sus políticas basadas en identidad permitan el acceso a un recurso. Por ejemplo,puede escribir condiciones para especificar un rango de direcciones IP permitidas desde el que debeproceder una solicitud. También puede escribir condiciones para permitir solicitudes solo en un intervalode hora o fecha especificado o para solicitar el uso de SSL o MFA. Para obtener más información,consulte Elementos de la política de JSON de IAM: condición en la Guía del usuario de IAM.

Consultar la consola de Amazon VPCPara acceder a la consola de Amazon VPC, debe tener un conjunto mínimo de permisos. Estos permisosdeben permitirle mostrar y consultar los detalles sobre los recursos de Amazon VPC de su cuenta de AWS.Si crea una política basada en identidad que sea más restrictiva que el mínimo de permisos necesarios,la consola no funcionará del modo esperado para las entidades (usuarios o roles de IAM) que tengan esapolítica.

La siguiente política concede permiso de usuario para enumerar los recursos de la consola de VPC, perono para crearlos, actualizarlos ni eliminarlos.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeAccountAttributes", "ec2:DescribeAddresses", "ec2:DescribeAvailabilityZones", "ec2:DescribeClassicLinkInstances", "ec2:DescribeClientVpnEndpoints", "ec2:DescribeCustomerGateways", "ec2:DescribeDhcpOptions", "ec2:DescribeEgressOnlyInternetGateways", "ec2:DescribeFlowLogs", "ec2:DescribeInternetGateways", "ec2:DescribeManagedPrefixLists", "ec2:DescribeMovingAddresses", "ec2:DescribeNatGateways", "ec2:DescribeNetworkAcls", "ec2:DescribeNetworkInterfaceAttribute", "ec2:DescribeNetworkInterfacePermissions", "ec2:DescribeNetworkInterfaces", "ec2:DescribePrefixLists", "ec2:DescribeRouteTables", "ec2:DescribeSecurityGroupReferences", "ec2:DescribeSecurityGroups", "ec2:DescribeStaleSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeTags", "ec2:DescribeTrafficMirrorFilters", "ec2:DescribeTrafficMirrorSessions", "ec2:DescribeTrafficMirrorTargets", "ec2:DescribeTransitGateways", "ec2:DescribeTransitGatewayVpcAttachments", "ec2:DescribeTransitGatewayRouteTables",

156

https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege



https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html


"ec2:DescribeVpcAttribute", "ec2:DescribeVpcClassicLink", "ec2:DescribeVpcClassicLinkDnsSupport", "ec2:DescribeVpcEndpoints", "ec2:DescribeVpcEndpointConnectionNotifications", "ec2:DescribeVpcEndpointConnections", "ec2:DescribeVpcEndpointServiceConfigurations", "ec2:DescribeVpcEndpointServicePermissions", "ec2:DescribeVpcEndpointServices", "ec2:DescribeVpcPeeringConnections", "ec2:DescribeVpcs", "ec2:DescribeVpnConnections", "ec2:DescribeVpnGateways", "ec2:GetManagedPrefixListAssociations", "ec2:GetManagedPrefixListEntries" ], "Resource": "*" } ]}

No es necesario que conceda permisos mínimos para la consola a los usuarios que solo realizan llamadasa la AWS CLI o a la API de AWS. En su lugar, para dichos usuarios, permita únicamente el acceso a lasacciones que coincidan con la operación de API que tienen que realizar.

Permitir a los usuarios consultar sus propios permisosEn este ejemplo, se muestra cómo podría crear una política que permita a los usuarios de IAM ver laspolíticas administradas e insertadas que se asocian a la identidad de sus usuarios. Esta política incluyepermisos para llevar a cabo esta acción en la consola o mediante programación con la AWS CLI o la APIde AWS.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ]

157


}

Crear una VPC con una subred públicaEl siguiente ejemplo permite a los usuarios crear VPC, subredes, tablas de ruteo y gateways de Internet.Los usuarios también pueden adjuntar una gateway de Internet a una VPC y crear rutas en las tablas deruteo. La acción ec2:ModifyVpcAttribute permite a los usuarios habilitar los nombres de host de DNSpara la VPC, para que cada instancia lanzada en una VPC reciba un nombre de host de DNS.

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ec2:CreateVpc", "ec2:CreateSubnet", "ec2:DescribeAvailabilityZones", "ec2:CreateRouteTable", "ec2:CreateRoute", "ec2:CreateInternetGateway", "ec2:AttachInternetGateway", "ec2:AssociateRouteTable", "ec2:ModifyVpcAttribute" ], "Resource": "*" } ]}

La política anterior también permite a los usuarios crear una VPC mediante la primera opción deconfiguración del asistente de VPC de la consola de Amazon VPC. Para ver el asistente de VPC, losusuarios también deben tener permiso para utilizar ec2:DescribeVpcEndpointServices. Estogarantiza que la sección de puntos de enlace de la VPC del asistente de VPC se cargue correctamente.

Modificar y eliminar recursos de VPCEs posible que desee controlar los recursos de VPC que los usuarios pueden modificar o eliminar. Porejemplo, la siguiente política permite a los usuarios utilizar y eliminar tablas de ruteo con la etiquetaPurpose=Test. La política también especifica que los usuarios solo pueden eliminar gateways de Internetcon la etiqueta Purpose=Test. Los usuarios no pueden utilizar tablas de ruteo ni gateways de Internetque no tengan esta etiqueta.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:DeleteInternetGateway", "Resource": "arn:aws:ec2:*:*:internet-gateway/*", "Condition": { "StringEquals": { "ec2:ResourceTag/Purpose": "Test" } } }, { "Effect": "Allow", "Action": [ "ec2:DeleteRouteTable", "ec2:CreateRoute", "ec2:ReplaceRoute", "ec2:DeleteRoute" ], "Resource": "arn:aws:ec2:*:*:route-table/*", "Condition": { "StringEquals": { "ec2:ResourceTag/Purpose": "Test"

158


} } } ]}

Administración de grupos de seguridadLa siguiente política concede a los usuarios permiso para crear y eliminar reglas entrantes y salientes decualquier grupo de seguridad de una VPC específica. Esto se consigue al aplicar en la política una clavede condición (ec2:Vpc) para el recurso del grupo de seguridad de las acciones Authorize y Revoke.

La segunda instrucción concede a los usuarios permisos para describir todos los grupos de seguridad.Esto permite a los usuarios ver las reglas de los grupos de seguridad para modificarlas.

{"Version": "2012-10-17", "Statement":[{ "Effect":"Allow", "Action": [ "ec2:AuthorizeSecurityGroupIngress", "ec2:AuthorizeSecurityGroupEgress", "ec2:RevokeSecurityGroupIngress", "ec2:RevokeSecurityGroupEgress"], "Resource": "arn:aws:ec2:region:account:security-group/*", "Condition": { "StringEquals": { "ec2:Vpc": "arn:aws:ec2:region:account:vpc/vpc-11223344556677889" } } }, { "Effect": "Allow", "Action": "ec2:DescribeSecurityGroups", "Resource": "*" } ]}

Para ver los grupos de seguridad en la página Security Groups (Grupos de seguridad) de la consola deAmazon VPC, los usuarios deben tener permiso para utilizar la acción ec2:DescribeSecurityGroups.Para poder utilizar la página Create security group (Crear grupo de seguridad), los usuarios deben tenerpermiso para utilizar las acciones ec2:DescribeVpcs y ec2:CreateSecurityGroup.

La siguiente política permite a los usuarios ver y crear grupos de seguridad. También lespermite añadir y eliminar reglas de entrada y salida en cualquier grupo de seguridad asociado avpc-11223344556677889.

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ec2:DescribeSecurityGroups", "ec2:DescribeVpcs", "ec2:CreateSecurityGroup" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:DeleteSecurityGroup", "ec2:AuthorizeSecurityGroupIngress", "ec2:AuthorizeSecurityGroupEgress",

159


"ec2:RevokeSecurityGroupIngress", "ec2:RevokeSecurityGroupEgress" ], "Resource": "arn:aws:ec2:*:*:security-group/*", "Condition":{ "ArnEquals": { "ec2:Vpc": "arn:aws:ec2:*:*:vpc/vpc-11223344556677889" } } } ]}

Para permitir que los usuarios cambien el grupo de seguridad asociado a una instancia, añadala acción ec2:ModifyInstanceAttribute a la política. Como alternativa, para permitirque los usuarios cambien los grupos de seguridad de una interfaz de red, añada la acciónec2:ModifyNetworkInterfaceAttribute a la política.

Lanzamiento de instancias en una subred específicaLa siguiente política concede a los usuarios permiso para lanzar instancias en una subred específica, asícomo para utilizar un grupo de seguridad determinado en la solicitud. Esto se consigue al especificar elARN de subnet-11223344556677889 y el ARN de sg-11223344551122334 en la política. De estemodo, si los usuarios intentan lanzar una instancia en una subred distinta o si tratan de utilizar otro grupode seguridad, se producirá un error en la solicitud (a no ser que otra política o instrucción conceda a losusuarios permiso para realizar tales acciones).

La política también concede permiso para utilizar el recurso de interfaz de red. Al realizar el lanzamientoen una subred, la solicitud RunInstances creará una interfaz de red principal de manera predeterminada,por lo que el usuario necesitará permiso para crear este recurso cuando lance la instancia.

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "ec2:RunInstances", "Resource": [ "arn:aws:ec2:region::image/ami-*", "arn:aws:ec2:region:account:instance/*", "arn:aws:ec2:region:account:subnet/subnet-11223344556677889", "arn:aws:ec2:region:account:network-interface/*", "arn:aws:ec2:region:account:volume/*", "arn:aws:ec2:region:account:key-pair/*", "arn:aws:ec2:region:account:security-group/sg-11223344551122334" ] } ]}

Lanzamiento de instancias en una VPC específicaLa siguiente política concede a los usuarios permiso para lanzar instancias en cualquier subred de unaVPC específica. Esto se consigue al aplicar en la política una clave de condición (ec2:Vpc) para elrecurso de la subred.

La política también concede a los usuarios permiso para lanzar instancias utilizando solo AMI que tenganla etiqueta "department=dev".

{ "Version": "2012-10-17", "Statement": [{

160

Amazon Virtual Private Cloud Guía del usuarioSolución de problemas

"Effect": "Allow", "Action": "ec2:RunInstances", "Resource": "arn:aws:ec2:region:account:subnet/*", "Condition": { "StringEquals": { "ec2:Vpc": "arn:aws:ec2:region:account:vpc/vpc-11223344556677889" } } }, { "Effect": "Allow", "Action": "ec2:RunInstances", "Resource": "arn:aws:ec2:region::image/ami-*", "Condition": { "StringEquals": { "ec2:ResourceTag/department": "dev" } } }, { "Effect": "Allow", "Action": "ec2:RunInstances", "Resource": [ "arn:aws:ec2:region:account:instance/*", "arn:aws:ec2:region:account:volume/*", "arn:aws:ec2:region:account:network-interface/*", "arn:aws:ec2:region:account:key-pair/*", "arn:aws:ec2:region:account:security-group/*" ] } ]}

Ejemplos de políticas de Amazon VPC adicionalesPuede encontrar ejemplos de políticas de IAM adicionales relacionadas con la Amazon VPC en lossiguientes temas:

• ClassicLink• Listas de prefijos administradas (p. 249)• Replicación de tráfico• Gateways de tránsito• Puntos de conexión de la VPC y servicios de Punto de conexión VPC• Políticas de punto de enlace de la VPC (p. 346)• Interconexión de VPC• AWS Wavelength

Solucionar problemas de identidad y acceso deAmazon VPCUtilice la siguiente información para diagnosticar y solucionar los problemas comunes que puedan surgircuando se trabaja con Amazon VPC e IAM.

Temas• No tengo autorización para realizar una acción en Amazon VPC (p. 162)• No tengo autorización para realizar la operación iam:PassRole (p. 162)

161

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/vpc-classiclink.html#iam-example-classiclink

https://docs.aws.amazon.com/vpc/latest/mirroring/traffic-mirroring-security.html

https://docs.aws.amazon.com/vpc/latest/tgw/transit-gateway-authentication-access-control.html#tgw-example-iam-policies

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-iam.html

https://docs.aws.amazon.com/vpc/latest/peering/security-iam.html

https://docs.aws.amazon.com/wavelength/latest/developerguide/wavelength-policy-examples.html


• Quiero ver mis claves de acceso (p. 162)• Soy administrador y deseo permitir que otros obtengan acceso a Amazon VPC (p. 163)• Deseo permitir a personas externas a mi cuenta de AWS el acceso a mis recursos de Amazon

VPC (p. 163)

No tengo autorización para realizar una acción en Amazon VPCSi la Consola de administración de AWS le indica que no está autorizado para llevar a cabo una acción,debe ponerse en contacto con su administrador para recibir ayuda. Su administrador es la persona que lefacilitó su nombre de usuario y contraseña.

En el siguiente ejemplo, el error se produce cuando el usuario mateojackson de IAM intenta utilizar laconsola para ver detalles sobre una subred, pero no tiene permisos ec2:DescribeSubnets.

User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: ec2:DescribeSubnets on resource: subnet-id

En este caso, Mateo pide a su administrador que actualice sus políticas de forma que pueda obteneracceso a la subred.

No tengo autorización para realizar la operación iam:PassRoleSi recibe un error que indica que no está autorizado para llevar a cabo la acción iam:PassRole, debeponerse en contacto con su administrador para recibir ayuda. Su administrador es la persona que le facilitósu nombre de usuario y contraseña. Pida a la persona que actualice sus políticas de forma que puedatransferir un rol a Amazon VPC.

Algunos servicios de AWS le permiten transferir un rol existente a dicho servicio en lugar de crear un nuevorol de servicio o uno vinculado al servicio. Para ello, debe tener permisos para transferir el rol al servicio.

En el siguiente ejemplo, el error se produce cuando un usuario de IAM denominado marymajor intentautilizar la consola para realizar una acción en Amazon VPC. Sin embargo, la acción requiere que el serviciocuente con permisos otorgados por un rol de servicio. Mary no tiene permisos para transferir el rol alservicio.

User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole

En este caso, Mary pide a su administrador que actualice sus políticas para que pueda realizar la accióniam:PassRole.

Quiero ver mis claves de accesoDespués de crear sus claves de acceso de usuario de IAM, puede ver su ID de clave de acceso encualquier momento. Sin embargo, no puede volver a ver su clave de acceso secreta. Si pierde la clave deacceso secreta, debe crear un nuevo par de claves de acceso.

Las claves de acceso se componen de dos partes: un ID de clave de acceso (por ejemplo,AKIAIOSFODNN7EXAMPLE) y una clave de acceso secreta (por ejemplo, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY). El ID de clave de acceso y la clave de acceso secreta se utilizan juntos, como unnombre de usuario y contraseña, para autenticar sus solicitudes. Administre sus claves de acceso con elmismo nivel de seguridad que para el nombre de usuario y la contraseña.

Important

No proporcione las claves de acceso a terceras personas, ni siquiera para que le ayuden a buscarel ID de usuario canónico. Si lo hace, podría conceder a otra persona acceso permanente a sucuenta.

162

https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html#FindingCanonicalId

https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html#FindingCanonicalId

Amazon Virtual Private Cloud Guía del usuarioRegistro y monitorización

Cuando cree un par de claves de acceso, se le pide que guarde el ID de clave de acceso y la clave deacceso secreta en un lugar seguro. La clave de acceso secreta solo está disponible en el momento de sucreación. Si pierde la clave de acceso secreta, debe añadir nuevas claves de acceso a su usuario de IAM.Puede tener un máximo de dos claves de acceso. Si ya cuenta con dos, debe eliminar un par de clavesantes de crear uno nuevo. Para ver las instrucciones, consulte Administración de las claves de acceso enla Guía del usuario de IAM.

Soy administrador y deseo permitir que otros obtengan acceso aAmazon VPCPara permitir que otros obtengan acceso a Amazon VPC, debe crear una entidad de IAM (usuario o rol)para la persona o aplicación que necesita acceso. Esta persona utilizará las credenciales de la entidadpara obtener acceso a AWS. A continuación, debe asociar una política a la entidad que le conceda lospermisos correctos en Amazon VPC.

Para comenzar de inmediato, consulte Creación del primer grupo y usuario delegado de IAM en la Guía delusuario de IAM.

Deseo permitir a personas externas a mi cuenta de AWS elacceso a mis recursos de Amazon VPCPuede crear un rol que los usuarios de otras cuentas o las personas externas a la organización puedanutilizar para acceder a sus recursos. Puede especificar una persona de confianza para que asuma el rol.En el caso de los servicios que admitan las políticas basadas en recursos o las listas de control de acceso(ACL), puede utilizar dichas políticas para conceder a las personas acceso a sus recursos.

Para obtener más información, consulte lo siguiente:

• Para obtener información acerca de si Amazon VPC admite estas características, consulte Cómofunciona Amazon VPC con IAM (p. 151).

• Para aprender cómo proporcionar acceso a sus recursos en cuentas de AWS de su propiedad, consulteProporcionar acceso a un usuario de IAM a otra cuenta de AWS de la que es propietario en la Guía delusuario de IAM.

• Para obtener información acerca de cómo ofrecer acceso a sus recursos a cuentas de AWS de terceros,consulte Proporcionar acceso a las cuentas de AWS propiedad de terceros en la Guía del usuario deIAM.

• Para obtener información acerca de cómo ofrecer acceso a la identidad federada, consulte Proporcionaracceso a usuarios autenticados externamente (identidad federada) en la Guía del usuario de IAM.

• Para obtener información acerca de la diferencia entre utilizar los roles y las políticas basadas enrecursos para el acceso entre cuentas, consulte Cómo los roles de IAM difieren de las políticas basadasen recursos en la Guía del usuario de IAM.

Registrar y monitorear para Amazon VPCPuede utilizar las siguientes herramientas de monitoreo automatizado para ver los componentes en suVPC e informar cuando haya algún problema:

• Registros de flujo: los registros de flujo capturan información acerca del tráfico IP entrante y salientede las interfaces de red en su VPC. Puede crear un registro de flujo para una VPC, una subred o unainterfaz de red individual. Los datos del registro de flujo se publican en CloudWatch Logs o AmazonS3, y pueden ayudarle a diagnosticar reglas de ACL de red y de grupos de seguridad excesivamenterestrictivas o excesivamente permisivas. Para obtener más información, consulte Logs de flujo deVPC (p. 190).

163

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_CreateAccessKey

https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-delegated-user.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html



Amazon Virtual Private Cloud Guía del usuarioResiliencia

• Monitorear gateways NAT: puede monitorear la gateway NAT con CloudWatch, que recopila informaciónde la gateway NAT y crea métricas legibles y casi en tiempo real. Para obtener más información,consulte Monitorear gateways NAT con Amazon CloudWatch (p. 275).

Resiliencia en Amazon Virtual Private CloudLa infraestructura global de AWS está conformada por regiones y zonas de disponibilidad de AWS. Lasregiones de AWS proporcionan varias zonas de disponibilidad físicamente independientes y aisladasque se encuentran conectadas mediante redes con un alto nivel de rendimiento y redundancia, ademásde baja latencia. Con las zonas de disponibilidad, puede diseñar y utilizar aplicaciones y bases de datosque realizan una conmutación por error automática entre las zonas sin interrupciones. Las zonas dedisponibilidad tienen una mayor disponibilidad, tolerancia a errores y escalabilidad que las infraestructurastradicionales de centros de datos únicos o múltiples.

Para obtener más información sobre zonas de disponibilidad y las regiones de AWS, consulteInfraestructura global de AWS.

Además de la infraestructura global de AWS, Amazon VPC ofrece varias características que le ayudan consus necesidades de resiliencia y copia de seguridad de los datos.

• Opciones de conectividad de Amazon VPC a Amazon VPC• Opciones de conectividad de red a Amazon VPC

Validación de la conformidad para Amazon VirtualPrivate Cloud

Los auditores externos evalúan la seguridad y la conformidad de Amazon Virtual Private Cloud en distintosprogramas de conformidad de AWS. Estos incluyen SOC, PCI, FedRAMP, DoD CCSRG, HIPAA BAA,IRAP, MTCS, C5, K-ISMS, ENS-High, OSPAR y HITRUST-CSF.

Para obtener una lista de servicios de AWS en el ámbito de programas de conformidad específicos,consulte Servicios de AWS en el ámbito del programa de conformidad. Para obtener información general,consulte Programas de conformidad de AWS.

Puede descargar los informes de auditoría de terceros utilizando AWS Artifact. Para obtener másinformación, consulte Descarga de informes en AWS Artifact.

La responsabilidad de conformidad que recae en usted al utilizar Amazon VPC viene determinada por laconfidencialidad de los datos, los objetivos de conformidad de su empresa y la legislación y normativasaplicables. AWS proporciona los siguientes recursos para ayudarle con los requisitos de conformidad:

• Guías de inicio rápido de seguridad y conformidad– estas guías de implementación tratanconsideraciones sobre arquitectura y ofrecen pasos para implementar los entornos de referenciacentrados en la seguridad y la conformidad en AWS.

• Documento técnico sobre arquitectura para seguridad y conformidad de HIPAA– este documento técnicodescribe cómo las empresas pueden utilizar AWS para crear aplicaciones conformes con HIPAA.

• Recursos de conformidad de AWS – este conjunto de manuales y guías podría aplicarse a su sector yubicación.

• Evaluación de recursos con reglas en la Guía para desarrolladores de AWS Config: el servicio AWSConfig evalúa en qué medida las configuraciones de los recursos cumplen con las prácticas internas, lasdirectrices del sector y las normativas.

164

http://aws.amazon.com/about-aws/global-infrastructure/

https://aws.amazon.com/answers/networking/aws-single-data-center-ha-network-connectivity/

https://aws.amazon.com/answers/networking/aws-single-data-center-ha-network-connectivity/


http://aws.amazon.com/compliance/programs/

https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html

http://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance

https://d0.awsstatic.com/whitepapers/compliance/AWS_HIPAA_Compliance_Whitepaper.pdf

http://aws.amazon.com/compliance/resources/

https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html

Amazon Virtual Private Cloud Guía del usuarioGrupos de seguridad

• AWS Security Hub: este servicio de AWS ofrece una vista integral de su estado de seguridad en AWSque le ayuda a comprobar la conformidad con las normas abiertas y las prácticas recomendadas para laseguridad.

Grupos de seguridad de su VPCUn grupo de seguridad funciona como un firewall virtual de la instancia para controlar el tráfico entrantey saliente. Cuando lanza una instancia en una VPC, puede asignar hasta cinco grupos de seguridad a lainstancia. Los grupos de seguridad actúan en el ámbito de la instancia, no en el de la subred. Por lo tanto,cada instancia de la subred de su VPC puede asignarse a distintos conjuntos de grupos de seguridad.

Si lanza una instancia con la API de Amazon EC2 o una herramienta de línea de comandos y no especificaun grupo de seguridad, la instancia se asigna automáticamente al grupo de seguridad predeterminado parala VPC. Si lanza una instancia mediante la consola de Amazon EC2, tiene la opción de crear un nuevogrupo de seguridad para la instancia.

Para cada grupo de seguridad, es necesario añadir reglas que controlan el tráfico entrante a las instancias,así como un conjunto de reglas distinto que controla el tráfico saliente. Esta sección describe los conceptosbásicos que debe conocer acerca de los grupos de seguridad de su VPC y sus reglas.

Puede configurar ACL de red con reglas similares a sus grupos de seguridad para añadir una capa deseguridad adicional a su VPC. Para obtener más información acerca de las diferencias entre los grupos deseguridad y las ACL de red, consulte Comparación de grupos de seguridad y ACL de red (p. 146).

Contenido• Conceptos básicos de los grupos de seguridad (p. 165)• Grupo de seguridad predeterminado para su VPC (p. 166)• Reglas del grupo de seguridad (p. 167)• Diferencias entre los grupos de seguridad para EC2-Classic y EC2-VPC (p. 169)• Usar grupos de seguridad (p. 169)• Administre de forma centralizada los grupos de seguridad de VPC mediante AWS Firewall

Manager (p. 173)

Conceptos básicos de los grupos de seguridadA continuación se describen las características básicas de los grupos de seguridad para su VPC:

• Se ha establecido una cuota del número de grupos de seguridad que puede crear por cada VPC, aligual que el número de reglas que puede añadir a cada grupo de seguridad y el número de grupos deseguridad que puede asociar a una interfaz de red. Para obtener más información, consulte Cuotas deAmazon VPC (p. 378).

• Puede especificar reglas de permiso, pero no reglas de denegación.• Es posible especificar reglas separadas para el tráfico entrante y saliente.• Cuando se crea un grupo de seguridad, este carece de reglas entrantes. Por lo tanto, no se permitirá el

tráfico entrante que proceda de otro host a su instancia hasta que no añada reglas entrantes al grupo deseguridad.

• De forma predeterminada, los grupos de seguridad incluyen una regla entrante que permite todo eltráfico saliente. Es posible quitar esta regla y añadir reglas saliente que permitan solo el tráfico salienteespecífico. Si el grupo de seguridad no tiene reglas entrantes, no se permitirá el tráfico saliente queproceda de esta instancia.

• Los grupos de seguridad tienen estado: si envía una solicitud desde su instancia, se permite el flujo deltráfico de respuesta para dicha solicitud, independientemente de las reglas de entrada del grupo de

165

https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html

Amazon Virtual Private Cloud Guía del usuarioGrupo de seguridad predeterminado para su VPC

seguridad. El flujo saliente de las respuestas al tráfico entrante está permitido independientemente de lasreglas salientes.

Note

El seguimiento de determinados tipos de tráfico se realiza de forma distinta al de otros tipos.Para obtener más información, consulte Realizar seguimiento de la conexión en la Guía delusuario de Amazon EC2 para instancias de Linux.

• Las instancias asociadas a un grupo de seguridad no pueden hablar entre sí a no ser que añada reglasque lo permitan el tráfico (excepción: el grupo de seguridad predeterminado dispone de estas reglas demanera predeterminada).

• Los grupos de seguridad están asociados a interfaces de red. Tras lanzar una instancia, podrá cambiarlos grupos de seguridad que están asociados con la instancia, lo que modifica los grupos de seguridadasociados a la interfaz de red principal (eth0). También puede especificar o cambiar los grupos deseguridad asociados a cualquier otra interfaz de red. De forma predeterminada, al crear una interfaz dered, ésta se asocia con el grupo de seguridad predeterminado para la VPC, a menos que especifiqueotro grupo de seguridad. Para obtener más información acerca de las interfaces de red, consulteInterfaces de redes elásticas.

• Al crear un grupo de seguridad, debe darle un nombre y una descripción. Se aplican las siguientesreglas:• Los nombres y las descripciones pueden tener una longitud máxima de 255 caracteres.• Los nombres y las descripciones solo pueden contener los siguientes caracteres: a-z, A-Z, 0-9,

espacios y ._-:/()#,@[]+=&;{}!$*.• Si el nombre contiene espacios finales, se eliminan al guardarlo. Por ejemplo, si introduce el nombre

"Grupo de seguridad de prueba ", se guardará como "Grupo de seguridad de prueba".• Un nombre de grupo de seguridad no puede comenzar con sg-, ya que indica un grupo de seguridad

predeterminado.• El nombre de un grupo de seguridad debe ser único dentro de la VPC.

• Un grupo de seguridad solo se puede utilizar en la VPC que especifique al crear el grupo de seguridad.

Grupo de seguridad predeterminado para su VPCSu VPC incluye automáticamente un grupo de seguridad predeterminado. Si no especifica un grupo deseguridad distinto al lanzar la instancia, se asociará el grupo de seguridad predeterminado a su instancia.

Note

Si lanza una instancia en la consola de Amazon EC2, el asistente para el lanzamiento deinstancias define automáticamente un grupo de seguridad "launch-wizard-xx", que puede asociara la instancia en lugar del grupo de seguridad predeterminado.

La tabla siguiente describe las reglas predeterminadas del grupo de seguridad predeterminado.

Inbound

Source Protocol Port range Description

ID del grupo de seguridad(sg-xxxxxxxx).

Todo Todos Permite el tráfico entrante de lasinterfaces de red (y las instanciasasociadas) asignadas al mismogrupo de seguridad.

Outbound

166

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html#security-group-connection-tracking


Amazon Virtual Private Cloud Guía del usuarioReglas del grupo de seguridad

Destination Protocol Port range Description

0.0.0.0/0 Todos Todos Permite todo el tráfico IPv4 saliente.

::/0 Todos Todo Permite todo el tráfico IPv6 saliente.Esta regla se añade de manerapredeterminada si crea una VPC conun bloque de CIDR IPv6 o si asociaun bloque de CIDR IPv6 a su VPCexistente.

Puede cambiar las reglas del grupo de seguridad predeterminado.

El grupo de seguridad predeterminado no se puede eliminar. Si intenta eliminar el grupo de seguridadpredeterminado, aparece el error siguiente: Client.CannotDelete: the specified group:"sg-51530134" name: "default" cannot be deleted by a user.

Note

Si ha modificado las reglas salientes de su grupo de seguridad, no se añadirá automáticamenteninguna regla saliente para el tráfico IPv6 al asociar un bloque de CIDR IPv6 a su VPC.

Reglas del grupo de seguridadPuede añadir o quitar reglas de un grupo de seguridad (este proceso también se conoce comoautorización o revocación del acceso entrante o saliente). Las reglas se aplican al tráfico entrante (entrada)o saliente (salida). Puede conceder acceso a un rango de CIDR específico o a otro grupo de seguridad desu VPC o de una VPC del mismo nivel (requiere interconexión de VPC).

A continuación se describen las partes básicas de las reglas de los grupos de seguridad de una VPC:

• (Solo reglas entrantes) Origen del tráfico y puerto de destino o rango de puertos. El origen puede serotro grupo de seguridad, un bloque de CIDR IPv4 o IPv6, una única dirección IPv4 o IPv6 o un ID de listade prefijos.

• (Solo reglas salientes) Destino del tráfico y puerto de destino o rango de puertos. El destino puede serotro grupo de seguridad, un bloque de CIDR IPv4 o IPv6, bien una única dirección IPv4 o IPv6, o un IDde lista de prefijos.

• Cualquier protocolo que tenga un número de protocolo estándar (para obtener una lista, consulteProtocol Numbers). Si especifica ICMP como el protocolo, puede especificar cualquiera de los tipos ycódigos de ICMP.

• Una descripción opcional de la regla del grupo de seguridad que le ayude a identificarla posteriormente.Una descripción puede tener una longitud máxima de 255 caracteres. Los caracteres permitidos incluyena-z, A-Z, 0-9, espacios y ._-:/()#,@[]+=;{}!$*.

• Si agrega una regla de grupo de seguridad usando la AWS CLI, la consola o la API, establecemosautomáticamente el bloque de CIDR de origen o de destino en la forma canónica. Por ejemplo, siespecifica 100.68.0.18/18 para el bloque de CIDR, creamos una regla con un bloque de CIDR de100.68.0.0/18.

Cuando se especifica un bloque de CIDR como el origen de una regla, se permite el tráfico desde lasdirecciones especificadas para el protocolo y puertos especificados.

Cuando se especifica un grupo de seguridad como el origen de una regla, se permite el tráfico desde lasinterfaces de red asociadas al grupo de seguridad de origen para el protocolo y los puertos especificados.Se permite el tráfico entrante según las direcciones IP privadas de las interfaces de red asociadas al grupode seguridad de origen (y no la dirección IP pública o las direcciones IP elásticas). Cuando se añade un

167

http://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml

Amazon Virtual Private Cloud Guía del usuarioReglas del grupo de seguridad

grupo de seguridad como origen, no se añaden reglas desde el grupo de seguridad de origen. Para ver unejemplo, consulte Grupo de seguridad predeterminado para su VPC (p. 166).

Si especifica una única dirección IPv4, indíquela con la longitud de prefijo /32. Si especifica una únicadirección IPv6, especifíquela con la longitud de prefijo /128.

Algunos sistemas de configuración de firewalls permiten filtrar por los puertos de origen. Los grupos deseguridad solo permiten filtrar por puertos de destino.

Al añadir o quitar reglas, estas se aplican automáticamente a todas las instancias asociadas al grupo deseguridad.

El tipo de reglas que se añaden dependerá del propósito del grupo de seguridad. La tabla siguientedescribe reglas de ejemplo de un grupo de seguridad asociado a servidores web. Los servidores webpueden recibir tráfico HTTP y HTTPS de todas las direcciones IPv4 e IPv6 y, a continuación, enviar eltráfico SQL o MySQL al servidor de la base de datos.

Inbound

Source Protocol Port range Description

0.0.0.0/0 TCP 80 Permite el acceso HTTP entrantedesde todas las direcciones IPv4.

::/0 TCP 80 Permite el acceso HTTP entrantedesde todas las direcciones IPv6.

0.0.0.0/0 TCP 443 Permite el acceso HTTPS entrantedesde todas las direcciones IPv4.

::/0 TCP 443 Permite el acceso HTTPS entrantedesde todas las direcciones IPv6.


TCP 22 Permite el acceso SSH entrantea las instancias de Linux desdedirecciones IP IPv4 de su red (através de la gateway de Internet).


TCP 3389 Permite el acceso RDP entrante alas instancias de Windows desdedirecciones IP IPv4 de su red (através de la gateway de Internet).

Outbound

Destination Protocol Port range Description

ID del grupo de seguridad paralos servidores de la base dedatos de Microsoft SQL Server

TCP 1433 Permite el acceso saliente deMicrosoft SQL Server a las instanciasdel grupo de seguridad especificado

ID del grupo de seguridad paralos servidores de la base dedatos MySQL

TCP 3306 Permite el acceso saliente deMySQL a las instancias del grupo deseguridad especificado

El servidor de la base de datos necesitará un conjunto de reglas distintas. Por ejemplo, en lugar del tráficoHTTP y HTTPS entrante, puede añadir una regla que permita el acceso de MySQL o Microsoft SQLServer entrante. Para obtener un ejemplo de las reglas de grupo de seguridad para servidores web yservidores de bases de datos, consulte Seguridad (p. 52). Para obtener más información sobre los grupos

168

Amazon Virtual Private Cloud Guía del usuarioDiferencias entre los grupos de

seguridad para EC2-Classic y EC2-VPC

de seguridad para instancias de base de datos de Amazon RDS, consulte Controlling Access with SecurityGroups en la Guía del usuario de Amazon RDS.

Para obtener ejemplos de reglas de grupo de seguridad para tipos específicos de acceso, consulteReferencia de reglas de grupos de seguridad en la Guía del usuario de Amazon EC2 para instancias deLinux.

Reglas antiguas de los grupos de seguridadSi su VPC tiene una interconexión con otra VPC, la regla del grupo de seguridad puede hacer referenciaa otro grupo de seguridad de la VPC del mismo nivel. Esto permite que las instancias asociadas al grupode seguridad al que se hace referencia y las asociadas al grupo de seguridad que hace la referencia secomuniquen entre sí.

Si el propietario de la VPC del mismo nivel elimina el grupo de seguridad al que se hace referencia, o biensi usted o el propietario de la VPC del mismo nivel elimina la interconexión de VPC, la regla del grupo deseguridad se marcará como stale. Las reglas obsoletas de los grupos de seguridad se pueden eliminarde la misma manera que cualquier otra regla del grupo de seguridad.

Para obtener más información, consulte Usar reglas de grupo de seguridad obsoletas en la Amazon VPCPeering Guide.

Diferencias entre los grupos de seguridad para EC2-Classic y EC2-VPCNo puede utilizar los grupos de seguridad que ha creado con EC2-Classic con instancias en su VPC.Debe crear grupos de seguridad específicamente para utilizarlos con instancias de su VPC. Las reglasque cree para utilizarlas con un grupo de seguridad de una VPC no pueden hacer referencia a un grupode seguridad de EC2-Classic y viceversa. Para obtener más información sobre las diferencias entrelos grupos de seguridad que se utilizan con EC2-Classic y los que se utilizan con una VPC, consulteDiferencias entre EC2-Classic y una VPC en la Guía del usuario de Amazon EC2 para instancias de Linux.

Usar grupos de seguridadLas siguientes tareas muestran cómo usar grupos de seguridad con la consola de Amazon VPC.

Para conocer ejemplos de políticas de IAM para utilizar grupos de seguridad, consulte Administración degrupos de seguridad (p. 159).

Tareas• Modificar el grupo de seguridad predeterminado (p. 169)• Crear un grupo de seguridad (p. 170)• Agregar, eliminar y actualizar reglas (p. 170)• Cambiar los grupos de seguridad de una instancia (p. 172)• Eliminar un grupo de seguridad (p. 172)• Eliminar el grupo de seguridad 2009-07-15 predeterminado (p. 173)

Modificar el grupo de seguridad predeterminadoLa VPC incluye un grupo de seguridad predeterminado (p. 166). Este grupo no se puede eliminar;sin embargo, es posible cambiar las reglas del grupo. El procedimiento es el mismo que para modificarcualquier otro grupo de seguridad. Para obtener más información, consulte Agregar, eliminar y actualizarreglas (p. 170).

169

https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.RDSSecurityGroups.html

https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.RDSSecurityGroups.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html

https://docs.aws.amazon.com/vpc/latest/peering/vpc-peering-security-groups.html#vpc-peering-stale-groups

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-classic-platform.html#differences-ec2-classic-vpc

Amazon Virtual Private Cloud Guía del usuarioUsar grupos de seguridad

Crear un grupo de seguridadAunque puede utilizar el grupo de seguridad predeterminado para sus instancias, puede que desee crearsus propios grupos para reflejar las distintas funciones de desempeñan que juegan las instancias en susistema.

Para crear un grupo de seguridad con la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Security Groups.3. Elija Create Security Group (Crear grupo de seguridad).4. Escriba un nombre para el grupo de seguridad (por ejemplo, my-security-group) y proporcione

una descripción.5. En VPC, seleccione el ID de su VPC.6. (Opcional) Añada o elimine una etiqueta.

[Añadir una etiqueta] Elija Add tag (Añadir etiqueta) y haga lo siguiente:

• En Key (Clave), escriba el nombre de la clave.• En Value (Valor), escriba el valor de la clave.

[Eliminar una etiqueta] Elija Eliminar a la derecha de la clave y el valor de la etiqueta.7. Seleccione Create (Crear).

Para crear un grupo de seguridad con la línea de comandos

• create-security-group (AWS CLI)• New-EC2SecurityGroup (Herramientas de AWS para Windows PowerShell)

Para describir uno o varios grupos de seguridad con la línea de comandos

• describe-security-groups (AWS CLI)• Get-EC2SecurityGroup (Herramientas de AWS para Windows PowerShell)

De forma predeterminada, los grupos de seguridad nuevos comienzan con una única regla de salida quepermite que todo el tráfico salga de las instancias. Debe añadir reglas para permitir el tráfico entrante orestringir el tráfico saliente.

Agregar, eliminar y actualizar reglasAl añadir o quitar una regla, las instancias ya asignadas al grupo de seguridad quedan sujetas al cambio.

Si tiene una interconexión de VPC, podrá hacer referencia a grupos de seguridad de la VPC del mismonivel como origen o destino en sus reglas de grupo de seguridad. Para obtener más información, consulteActualizar los grupos de seguridad para que hagan referencia a grupos de la VPC del mismo nivel en laAmazon VPC Peering Guide.

Para agregar una regla a través de la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Security Groups.

170


https://docs.aws.amazon.com/cli/latest/reference/ec2/create-security-group.html

https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2SecurityGroup.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-security-groups.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2SecurityGroup.html

https://docs.aws.amazon.com/vpc/latest/peering/vpc-peering-security-groups.html



3. Seleccione el grupo de seguridad que desea actualizar.4. Elija Actions (Acciones), Edit inbound rules (Editar reglas de entrada) o Actions (Acciones), Edit

outbound rules (Editar reglas de salida).5. Seleccione Add rule. En Type (Tipo), seleccione el tipo de tráfico y, a continuación, especifique el

origen (reglas de entrada) o el destino (reglas de salida). Por ejemplo, para un servidor web público,elija HTTP o HTTPS y especifique un valor para Source como 0.0.0.0/0.

Si utiliza 0.0.0.0/0, permitirá que todas las direcciones IPv4 tengan acceso a su instanciamediante HTTP o HTTPS. Para restringir el acceso, escriba una dirección IP específica o un rango dedirecciones.

6. También puede permitir la comunicación entre todas las instancias que están asociadas a este grupode seguridad. Cree una regla de entrada con las opciones siguientes:

• Type (Tipo): All Traffic (Todo el tráfico)• Source (Origen): escriba el ID del grupo de seguridad.

7. Seleccione Save rules (Guardar reglas).

Para eliminar una regla a través de la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Security Groups.3. Seleccione el grupo de seguridad que desea actualizar.4. Elija Actions (Acciones), Edit inbound rules (Editar reglas de entrada) o Actions (Acciones), Edit

outbound rules (Editar reglas de salida).5. Seleccione el botón de eliminación ("x") situado a la derecha de la regla que desea eliminar.6. Seleccione Save rules (Guardar reglas).

Al modificar el protocolo, el intervalo de puertos o el origen o destino de una regla de grupo de seguridadexistente mediante la consola, esta elimina la regla existente y agrega una nueva automáticamente.

Para actualizar una regla a través de la consola


outbound rules (Editar reglas de salida).5. Modifique la entrada la regla según sea necesario.6. Seleccione Save rules (Guardar reglas).

No es posible modificar la regla si va a actualizar el protocolo, el rango de puertos o el origen o destinode una regla existente mediante la API de Amazon EC2 o una herramienta de línea de comandos. En sulugar, debe eliminar la regla existente y añadir una nueva. Para actualizar solo la descripción, puede usarlos comandos update-security-group-rule-descriptions-ingress y update-security-group-rule-descriptions-egress.

Para añadir una regla a un grupo de seguridad con la línea de comandos

• authorize-security-group-ingress y authorize-security-group-egress (AWS CLI)• Grant-EC2SecurityGroupIngress y Grant-EC2SecurityGroupEgress (Herramientas de AWS para

Windows PowerShell)

171



https://docs.aws.amazon.com/cli/latest/reference/ec2/update-security-group-rule-descriptions-ingress.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/update-security-group-rule-descriptions-egress.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-ingress.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-egress.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Grant-EC2SecurityGroupIngress.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Grant-EC2SecurityGroupEgress.html


Para eliminar una regla de un grupo de seguridad con la línea de comandos

• revoke-security-group-ingress y revoke-security-group-egress(AWS CLI)• Revoke-EC2SecurityGroupIngress y Revoke-EC2SecurityGroupEgress (Herramientas de AWS para

Windows PowerShell)

Para actualizar la descripción de una regla de grupo de seguridad con la línea de comandos

• update-security-group-rule-descriptions-ingress y update-security-group-rule-descriptions-egress (AWSCLI)

• Update-EC2SecurityGroupRuleIngressDescription y Update-EC2SecurityGroupRuleEgressDescription(Herramientas de AWS para Windows PowerShell)

Cambiar los grupos de seguridad de una instanciaTras lanzar una instancia en una VPC, podrá cambiar los grupos de seguridad asociados a dicha instancia.Es posible modificar los grupos de seguridad de una instancia cuando esta tiene el estado running ostopped.

Note

Este procedimiento permite modificar los grupos de seguridad asociados a la interfaz de redprincipal (eth0) de la instancia. Para cambiar los grupos de seguridad de otras interfaces de red,consulte Cambiar el grupo de seguridad.

Para cambiar los grupos de seguridad para una instancia con la consola

1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, seleccione Instances (Instancias).3. Abra el menú contextual (clic derecho) de la instancia y elija Networking, Change Security Groups.4. En el cuadro de diálogo Change Security Groups, seleccione uno o varios grupos de seguridad de la

lista y elija Assign Security Groups.

Para cambiar los grupos de seguridad para una instancia con la línea de comandos

• modify-instance-attribute (AWS CLI)• Edit-EC2InstanceAttribute (Herramientas de AWS para Windows PowerShell)

Eliminar un grupo de seguridadSolo se puede eliminar el grupo de seguridad si este no tiene ninguna instancia asociada (en ejecucióno detenida). Puede asignar las instancias a otro grupo de seguridad antes de eliminar el grupo deseguridad (consulte Cambiar los grupos de seguridad de una instancia (p. 172)). El grupo de seguridadpredeterminado no se puede eliminar.

Si está utilizando la consola, puede eliminar más de un grupo de seguridad a la vez. Si está utilizando lalínea de comando o el API, solo puede eliminar un grupo de seguridad a la vez.

Para eliminar un grupo de seguridad con la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Security Groups.3. Seleccione uno o varios grupos de seguridad y elija Security Group Actions, Delete Security Group.4. En el cuadro de diálogo Delete Security Group, elija Yes, Delete.

172

https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-ingress.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-egress.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Revoke-EC2SecurityGroupIngress.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Revoke-EC2SecurityGroupEgress.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/update-security-group-rule-descriptions-ingress.html


https://docs.aws.amazon.com/powershell/latest/reference/items/Update-EC2SecurityGroupRuleIngressDescription.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Update-EC2SecurityGroupRuleEgressDescription.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html#eni_security_group


https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-instance-attribute.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2InstanceAttribute.html


Amazon Virtual Private Cloud Guía del usuarioAdministre de forma centralizada los grupos de

seguridad de VPC mediante AWS Firewall Manager

Para eliminar un grupo de seguridad con la línea de comandos

• delete-security-group (AWS CLI)• Remove-EC2SecurityGroup (Herramientas de AWS para Windows PowerShell)

Eliminar el grupo de seguridad 2009-07-15 predeterminadoLas VPC creadas con una API cuya versión sea anterior al 01-01-2011 tendrán el grupo de seguridad2009-07-15-default. Este grupo de seguridad existe además del grupo de seguridad defaultque se incluye en cada VPC. No es posible adjuntar una gateway de Internet a una VPC con el grupode seguridad 2009-07-15-default. Por lo tanto, debe eliminar este grupo de seguridad para poderadjuntar una gateway de Internet a la VPC.

Note

Si ha asignado este grupo de seguridad a otras instancias, debe asignar a dichas instancias otrogrupo de seguridad distinto para poder eliminar el grupo de seguridad.

Para eliminar el grupo de seguridad 2009-07-15-default

1. Asegúrese de que este grupo de seguridad no esté asignado a ninguna instancia.

a. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.b. En el panel de navegación, elija Network Interfaces.c. Seleccione la interfaz de red de la instancia de la lista y elija Change Security Groups, Actions.d. En el cuadro de diálogo Change Security Groups, seleccione un nuevo grupo de seguridad de la

lista y elija Save.

Cuando cambie el grupo de seguridad de una instancia, podrá seleccionar varios grupos deseguridad de la lista. Los grupos de seguridad que seleccione sustituirán los grupos de seguridadactuales de la instancia.

e. Repita los pasos anteriores para cada instancia.2. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.3. En el panel de navegación, elija Security Groups.4. Elija el grupo de seguridad 2009-07-15-default, a continuación elija Security Group Actions

(Acciones de grupo de seguridad), Delete Security Group (Eliminar grupo de seguridad).5. En el cuadro de diálogo Delete Security Group, elija Yes, Delete.

Administre de forma centralizada los grupos deseguridad de VPC mediante AWS Firewall ManagerAWS Firewall Manager simplifica las tareas de administración y mantenimiento de grupos de seguridadde la VPC de varias cuentas y recursos. Con Firewall Manager, puede configurar y auditar los grupos deseguridad de su organización desde una única cuenta de administrador central. Firewall Manager aplicaautomáticamente las reglas y protecciones en sus cuentas y recursos, incluso cuando agrega nuevosrecursos. Firewall Manager es especialmente útil cuando desea proteger toda la organización o si agregacon frecuencia nuevos recursos que desea proteger de una cuenta de administrador central.

Puede utilizar Firewall Manager para administrar de forma centralizada los grupos de seguridad de lassiguientes maneras:

• Configurar grupos de seguridad de referencia común en toda la organización: puede utilizar una políticade grupo de seguridad común para proporcionar una asociación controlada centralmente de grupos de

173

https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-security-group.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2SecurityGroup.html



Amazon Virtual Private Cloud Guía del usuarioACL de red

seguridad con cuentas y recursos de toda la organización. Especifique dónde y cómo aplicar la políticaen su organización.

• Auditar grupos de seguridad existentes en la organización: puede utilizar una política de gruposde seguridad de auditoría para comprobar las reglas existentes que están en uso en los gruposde seguridad de la organización. Puede definir el ámbito de la política para auditar todas lascuentas, cuentas específicas o recursos etiquetados dentro de su organización. Firewall Managerdetecta automáticamente nuevas cuentas y recursos y los audita. Puede crear reglas de auditoríapara establecer límites sobre qué reglas de grupo de seguridad permitir o no permitir dentro de laorganización y para comprobar si hay grupos de seguridad no utilizados o redundantes.

• Obtener informes sobre recursos no conformes y remediarlo: puede obtener informes y alertas derecursos no conformes para sus políticas de referencia y de auditoría. También puede establecer flujosde trabajo de corrección automática para corregir cualquier recurso no compatible que Firewall Managerdetecte.

Para obtener más información sobre cómo utilizar Firewall Manager para administrar los grupos deseguridad, consulte los siguientes temas en la Guía para desarrolladores de AWS WAF:

• Requisitos previos de AWS Firewall Manager• Introducción a las políticas de grupos de seguridad de Amazon VPC de AWS Firewall Manager• Cómo funcionan las directivas de grupo de seguridad en AWS Firewall Manager• Casos de uso de políticas de grupos de seguridad

ACL de redUna lista de control de acceso (ACL) de red es una capa de seguridad opcional para su VPC que actúacomo firewall para controlar el tráfico entrante y saliente de una o varias subredes. Puede configurar ACLde red con reglas similares a sus grupos de seguridad para añadir una capa de seguridad adicional a suVPC. Para obtener más información acerca de las diferencias entre los grupos de seguridad y las ACL dered, consulte Comparación de grupos de seguridad y ACL de red (p. 146).

Contenido• Conceptos básicos de la ACL de red (p. 174)• Reglas de ACL de red (p. 175)• ACL de red predeterminada (p. 175)• ACL de red personalizada (p. 177)• ACL de red personalizadas y otros servicios de AWS (p. 182)• Puertos efímeros (p. 182)• Detección de la MTU de la ruta (p. 182)• Usar ACL de red (p. 183)• Ejemplo: controlar el acceso a las instancias en una subred (p. 187)• Reglas recomendadas para casos de uso del asistente de la VPC (p. 190)

Conceptos básicos de la ACL de redA continuación se describen los conceptos básicos que debe saber acerca de las ACL de red:

• Su VPC incluye automáticamente una ACL de red predeterminada y modificable. De formapredeterminada, permite todo el tráfico IPv4 entrante y saliente y, si corresponde, el tráfico IPv6.

• Puede crear una ACL de red personalizada y asociarla a una subred. De forma predeterminada, todaslas ACL de red personalizadas denegarán todo el tráfico entrante y saliente hasta que añada reglas.

174

https://docs.aws.amazon.com/waf/latest/developerguide/fms-prereq.html

https://docs.aws.amazon.com/waf/latest/developerguide/getting-started-fms-security-group.html

https://docs.aws.amazon.com/waf/latest/developerguide/security-group-policies.html

https://docs.aws.amazon.com/waf/latest/developerguide/security-group-policies-use-cases.html

Amazon Virtual Private Cloud Guía del usuarioReglas de ACL de red

• Cada subred de su VPC debe estar asociada a una ACL de red. Si no asocia una subred de formaexplícita a una ACL de red, la subred se asociará automáticamente a la ACL de red predeterminada.

• Puede asociar una ACL de red con varias subredes. Sin embargo, una subred sólo puede asociarse auna ACL de red a la vez. Al asociar una ACL de red a una subred, se quita la asociación anterior.

• Una ACL de red contiene una lista numerada de reglas. Evaluamos las reglas por orden, empezando porla regla con el número más bajo, para determinar si se permite el tráfico entrante o saliente de algunasubred asociada a la ACL de red. El número más alto que puede utilizar para una regla es 32766. Lerecomendamos que empiece creando reglas en incrementos (por ejemplo, incrementos de 10 o 100), deforma que pueda insertar reglas nuevas cuando lo necesite más adelante.

• Una ACL de red tiene reglas entrantes y salientes por separado, y cada regla puede permitir o denegarel tráfico.

• Las ACL de red son sin estado, lo que significa que las respuestas al tráfico entrante permitido estánsujetas a las reglas de tráfico saliente (y viceversa).

Existen cuotas (límites) para el número de ACL de red por VPC y el número de reglas por ACL de red.Para obtener más información, consulte Cuotas de Amazon VPC (p. 378).

Reglas de ACL de redPuede añadir o quitar reglas de la ACL de red predeterminada, o bien crear ACL de red adicionales parasu VPC. Al añadir o quitar reglas de una ACL de red, los cambios se aplicarán automáticamente a lassubredes con las que esté asociada.

Las siguientes son las partes de una regla de ACL de red:

• Número de regla. Las reglas se evalúan comenzando por la regla con el número más bajo. Cuando unaregla coincide con el tráfico, esta se aplica independientemente de si hay una regla con un número másalto que la pueda contradecir.

• Tipo. El tipo de tráfico; por ejemplo, SSH. También puede especificar todo el tráfico o un rangopersonalizado.

• Protocolo. Puede especificar cualquier protocolo que tenga un número de protocolo estándar. Paraobtener más información, consulte Protocol Numbers. Si especifica ICMP como el protocolo, puedeespecificar cualquiera de los tipos y códigos de ICMP.

• Rango de puertos El puerto de escucha o el rango de puertos para el tráfico. Por ejemplo, 80 para eltráfico HTTP.

• Fuente. [Solo reglas entrantes] Origen del tráfico (rango de CIDR).• Destino. [Solo reglas salientes] Destino del tráfico (rango de CIDR).• Permitir/Denegar permitir o denegar el tráfico especificado.

Si agrega una regla mediante una herramienta de línea de comandos o la API de Amazon EC2, el rangode CIDR se modifica automáticamente a su forma canónica. Por ejemplo, si especifica 100.68.0.18/18en el rango de CIDR, creamos una regla con un rango de CIDR 100.68.0.0/18.

ACL de red predeterminadaLa ACL de red predeterminada está configurada para permitir todo el tráfico entrante y saliente de lassubredes con las que está asociada. Cada ACL de red también incluye una regla cuyo número de regla esun asterisco. Esta regla garantiza que si un paquete no coincide con ninguna de las reglas numeradas, sedenegará. No es posible modificar ni quitar esta regla.

A continuación se muestra un ejemplo de una ACL de red predeterminada para una VPC que solo admiteIPv4.

175


Amazon Virtual Private Cloud Guía del usuarioACL de red predeterminada

Entrada

Regla n.º Tipo Protocolo Rango depuerto

Fuente Permitir/Denegar

100 Todo el tráficoIPv4

Todos Todos 0.0.0.0/0 PERMITIR

* Todo el tráficoIPv4

Todos Todos 0.0.0.0/0 DENEGAR

Salida


Destino Permitir/Denegar




Todos Todos 0.0.0.0/0 DENEGAR

Si crea una VPC con un bloque de CIDR IPv6 o si asocia un bloque de CIDR IPv6 con su VPC existente,añadiremos automáticamente reglas que permitan todo el tráfico IPv6 entrante y saliente de su subred.Asimismo, añadiremos reglas cuyos números de regla sean un asterisco que asegure que un paquete sedenegará si no coincide con ninguno de las demás reglas numeradas. No es posible modificar ni quitarestas reglas. A continuación se muestra un ejemplo de una ACL de red predeterminada para una VPC quesolo admite IPv4 e IPv6.

Note

Si ha modificado sus reglas entrantes predeterminadas de la ACL de red, no se añadiráautomáticamente una regla permitir para el tráfico IPv6 entrante cuando asocie un bloquede IPv6 a su VPC. De forma similar, si ha modificado las reglas salientes, no añadiremosautomáticamente una regla permitir para el tráfico IPv6 saliente.

Entrada






Todo Todo ::/0 PERMITIR

* Todo el tráfico Todo Todos 0.0.0.0/0 DENEGAR


Todo Todo ::/0 DENEGAR

Salida



100 Todo el tráfico Todo Todos 0.0.0.0/0 PERMITIR

176

Amazon Virtual Private Cloud Guía del usuarioACL de red personalizada


Todo Todo ::/0 PERMITIR

* Todo el tráfico Todo Todos 0.0.0.0/0 DENEGAR


Todo Todo ::/0 DENEGAR

ACL de red personalizadaLa siguiente tabla muestra un ejemplo de una ACL de red personalizada para una VPC que solo admiteIPv4. Incluye reglas que permiten el tráfico HTTP y HTTPS entrante (reglas entrantes 100 y 110). Hay unaregla saliente correspondiente que permite las respuestas a ese tráfico entrante (regla saliente 120, quecubre los puertos efímeros 32768-65535). Para obtener más información acerca de cómo seleccionar elrango de puerto efímero correcto, consulte Puertos efímeros (p. 182).

La ACL de red también incluye reglas entrantes que permiten el tráfico SSH y RDP en la subred. La reglasaliente 120 permite que las respuestas dejen la subred.

La ACL de red tiene reglas salientes (100 y 110) que permiten que el tráfico saliente HTTP y HTTPS salgade la subred. Hay una regla entrante correspondiente que permite las respuestas a ese tráfico saliente(regla entrante 140, que cubre los puertos efímeros 32768-65535).

Note

Cada ACL de red incluye una regla predeterminada cuyo número de regla es un asterisco. Estaregla garantiza que si un paquete no coincide con ninguna de las demás reglas, se denegará. Noes posible modificar ni quitar esta regla.

Entrada



Comentarios

100 HTTP TCP 80 0.0.0.0/0 PERMITIR Permite el tráfico HTTPentrante de cualquierdirección IPv4.

110 HTTPS TCP 443 0.0.0.0/0 PERMITIR Permite el tráficoHTTPS entrante decualquier dirección IPv4.

120 SSH TCP 22 192.0.2.0/24 PERMITIR Permite el tráfico SSHentrante del rango delrango de direccionesIPv4 públicas de su reddoméstica (a través dela gateway de Internet).

130 RDP TCP 3389 192.0.2.0/24 PERMITIR Permite el tráfico RDPentrante a servidoresweb desde el rangode direcciones IPv4públicas de su reddoméstica (a través delpuerto de la gateway deInternet).

177


140 TCPpersonalizada

TCP 32768-655350.0.0.0/0 PERMITIR Permite el tráfico IPv4de retorno entrantede Internet (es decir,para solicitudes que seoriginan en la subred).

Este rango seproporciona solo comoejemplo. Para obtenermás información acercade cómo seleccionarel rango de puertoefímero correcto,consulte Puertosefímeros (p. 182).

* Todo eltráfico

Todo Todos 0.0.0.0/0 DENEGAR Deniega todo el tráficoIPv4 entrante nocontrolado por ningunaregla precedente (nomodificable).

Salida



Comentarios

100 HTTP TCP 80 0.0.0.0/0 PERMITIR Permite el tráfico HTTPIPv4 saliente de lasubred a Internet.

110 HTTPS TCP 443 0.0.0.0/0 PERMITIR Permite el tráficoHTTPS IPv4 saliente dela subred a Internet.


TCP 32768-655350.0.0.0/0 PERMITIR Permite las respuestasIPv4 salientes a clientesde Internet (por ejemplo,al ofrecer páginas weba usuarios que visitanlos servidores web de lasubred).


* Todo eltráfico

Todo Todos 0.0.0.0/0 DENEGAR Deniega todo el tráficoIPv4 saliente nocontrolado por ningunaregla precedente (nomodificable).

178


Cuando un paquete llega a la subred, lo evaluamos según las reglas entrantes de la ACL con la que estáasociada la subred (comenzando desde la parte superior de la lista de reglas, y desplazándose hastala parte inferior). A continuación, se indica cómo se realiza la evaluación si el paquete está destinado alpuerto HTTPS (443). El paquete no coincide con la primera regla evaluada (regla 100). No coincide conla segunda regla (110), que permite el paquete en la subred. Si el paquete se ha destinado al puerto 139(NetBIOS), no se le aplica ninguna de las reglas y la regla * termina por rechazarlo.

Puede que desee añadir una regla denegar en el caso en que tenga la necesidad justificada de abrir unamplio rango de puertos, pero hay ciertos puertos en el rango que desea denegar. Asegúrese de colocar laregla denegar en la tabla antes de la regla que permita el rango amplio de tráfico de puerto.

Añade reglas permitir en función de su caso de uso. Por ejemplo, puede añadir una regla que permitaTCP saliente y acceso UDP en el puerto 53 para resolución de DNS. Para todas las reglas que añada,asegúrese de que haya una regla de entrada o salida correspondiente que permita el tráfico de respuesta.

La siguiente tabla muestra el mismo ejemplo de una ACL de red personalizada para una VPC que tieneun bloque de CIDR IPv6 asociado. Esta ACL de red incluye reglas para todo el tráfico HTTP y HTTPSIPv6. En este caso, se insertaron nuevas reglas entre las reglas existentes para el tráfico IPv4. Tambiénpuede agregar las reglas como reglas de número superior tras las reglas IPv4. El tráfico IPv4 y el IPv6 sonindependientes y, por lo tanto, ninguna de las reglas para el tráfico IPv4 se aplican a las del tráfico IPv6.

Entrada



Comentarios

100 HTTP TCP 80 0.0.0.0/0 PERMITIR Permite el tráfico HTTPentrante de cualquierdirección IPv4.

105 HTTP TCP 80 ::/0 PERMITIR Permite el tráfico HTTPentrante de cualquierdirección IPv6.

110 HTTPS TCP 443 0.0.0.0/0 PERMITIR Permite el tráficoHTTPS entrante decualquier dirección IPv4.

115 HTTPS TCP 443 ::/0 PERMITIR Permite el tráficoHTTPS entrante decualquier dirección IPv6.

120 SSH TCP 22 192.0.2.0/24 PERMITIR Permite el tráfico SSHentrante del rango delrango de direccionesIPv4 públicas de su reddoméstica (a través dela gateway de Internet).

130 RDP TCP 3389 192.0.2.0/24 PERMITIR Permite el tráfico RDPentrante a servidoresweb desde el rangode direcciones IPv4públicas de su reddoméstica (a través delpuerto de la gateway deInternet).

179



TCP 32768-655350.0.0.0/0 PERMITIR Permite el tráfico IPv4de retorno entrantede Internet (es decir,para solicitudes que seoriginan en la subred).



TCP 32768-65535::/0 PERMITIR Permite el tráfico IPv6de retorno entrantede Internet (es decir,para solicitudes que seoriginan en la subred).


* Todo eltráfico

Todo Todos 0.0.0.0/0 DENEGAR Deniega todo el tráficoIPv4 entrante nocontrolado por ningunaregla precedente (nomodificable).

* Todo eltráfico

Todo Todo ::/0 DENEGAR Deniega todo el tráficoIPv6 entrante nocontrolado por ningunaregla precedente (nomodificable).

Salida



Comentarios

100 HTTP TCP 80 0.0.0.0/0 PERMITIR Permite el tráfico HTTPIPv4 saliente de lasubred a Internet.

105 HTTP TCP 80 ::/0 PERMITIR Permite el tráfico HTTPIPv6 saliente de lasubred a Internet.

180


110 HTTPS TCP 443 0.0.0.0/0 PERMITIR Permite el tráficoHTTPS IPv4 saliente dela subred a Internet.

115 HTTPS TCP 443 ::/0 PERMITIR Permite el tráficoHTTPS IPv6 saliente dela subred a Internet.


TCP 32768-655350.0.0.0/0 PERMITIR Permite las respuestasIPv4 salientes a clientesde Internet (por ejemplo,al ofrecer páginas weba usuarios que visitanlos servidores web de lasubred).



TCP 32768-65535::/0 PERMITIR Permite las respuestasIPv6 salientes a clientesde Internet (por ejemplo,al ofrecer páginas weba usuarios que visitanlos servidores web de lasubred).


* Todo eltráfico

Todo Todos 0.0.0.0/0 DENEGAR Deniega todo el tráficoIPv4 saliente nocontrolado por ningunaregla precedente (nomodificable).

* Todo eltráfico

Todo Todo ::/0 DENEGAR Deniega todo el tráficoIPv6 saliente nocontrolado por ningunaregla precedente (nomodificable).

181

Amazon Virtual Private Cloud Guía del usuarioACL de red personalizadas y otros servicios de AWS

Para obtener más ejemplos, consulte Reglas recomendadas para casos de uso del asistente de laVPC (p. 190).

ACL de red personalizadas y otros servicios de AWSSi crea una ACL de red personalizada, tenga en cuenta cómo podría afectar a los recursos que crea queutilizan otros servicios de AWS.

Con Elastic Load Balancing, si la subred de sus instancias del back-end tiene una ACL de red en la queha añadido una regla denegar para todo el tráfico con un origen de 0.0.0.0/0 o el CIDR de la subred, subalanceador de carga no podrá realizar ninguna comprobación de estado en las instancias. Para obtenermás información acerca de las reglas de ACL de red recomendadas para sus balanceadores de cargae instancias del backend, consulte ACL de red para balanceadores de carga de una VPC en la Guía delusuario de Classic Load Balancers.

Puertos efímerosLa ACL de red de ejemplo en la sección anterior utiliza un rango de puertos efímeros de 32768-65535. Noobstante, puede que desee utilizar un rango diferente para sus ACL de red, dependiendo del tipo de clienteque esté utilizando o con el que se esté comunicando.

El cliente que inicia la solicitud elige el rango de puertos efímeros. El rango varía en función del sistemaoperativo del cliente.

• Muchos kernels de Linux (incluido el de Amazon Linux) utilizan los puertos 32768-61000.• Las solicitudes que se originan desde Elastic Load Balancing utilizan los puertos 1024-65535.• Los sistemas operativos Windows con Windows Server 2003 utilizan los puertos 1025-5000.• Windows Server 2008 y las versiones posteriores utilizan los puertos 49152-65535.• Una gateway NAT utiliza los puertos 1024-65535.• Las funciones de AWS Lambda utilizan los puertos 1024-65535.

Por ejemplo, si una solicitud llega a un servidor web en su VPC desde un cliente de Windows XP enInternet, su ACL de red deberá tener una regla saliente para permitir el tráfico destinado a los puertos1025-5000.

Si una instancia de su VPC es el cliente que inicia una solicitud, su ACL de red deberá tener una reglaentrante para permitir el tráfico destinado a los puertos efímeros específicos del tipo de instancia (AmazonLinux, Windows Server 2008, etc.).

En la práctica, para cubrir los distintos tipos de clientes que pueden iniciar tráfico a instancias públicas ensu VPC, puede abrir los puertos efímeros 1024-65535. Sin embargo, también puede añadir reglas a la ACLpara denegar tráfico en puertos malintencionados en ese rango. Asegúrese de colocar las reglas denegaren la tabla antes de las reglas permitir que abren el amplio rango de puertos efímeros.

Detección de la MTU de la rutaLa detección de la MTU de la ruta se utiliza para determinar la MTU de la ruta entre dos dispositivos.La MTU de la ruta es tamaño máximo del paquete admitido en la ruta entre el host de origen y el hostreceptor. Si un host envía un paquete más grande que la MTU del host receptor o más grande que laMTU de un dispositivo en la ruta, el host o dispositivo receptor devuelve el siguiente mensaje de ICMP:Destination Unreachable: Fragmentation Needed and Don't Fragment was Set (Type 3,Code 4). Esto indica al host de origen que debe ajustar la MTU hasta que el paquete pueda transmitirse.

Si la unidad de transmisión máxima (MTU) entre los hosts de las subredes es diferente, debe añadir lasiguiente regla ACL de la red, tanto de entrada como de salida. Esta garantiza que la detección de la

182

https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-security-groups.html#elb-vpc-nacl

Amazon Virtual Private Cloud Guía del usuarioUsar ACL de red

MTU de la ruta pueda funcionar correctamente y evita la pérdida de paquetes. Seleccione Custom ICMPRule (Regla ICMP personalizada) para el tipo y Destination Unreachable (No se puede llegar al destino),fragmentation required (fragmentación obligatoria) y DF flag set (marca DF establecida) para el rango depuerto (tipo 3, código 4). Si utiliza el comando traceroute, añada también la siguiente regla: seleccioneCustom ICMP Rule (Regla ICMP personalizada) para el tipo y Time Exceeded (Tiempo superado), TTLexpired transit (TTL vencido en tránsito) para el rango de puerto (tipo 11, código 0). Para obtener másinformación, consulte Unidad de transmisión máxima (MTU) de red de la instancia EC2 en la Guía delusuario de Amazon EC2 para instancias de Linux.

Usar ACL de redLas siguientes tareas muestran cómo usar las ACL de red con la consola de Amazon VPC.

Tareas• Determinar las asociaciones de ACL de red (p. 183)• Crear una ACL de red (p. 183)• Agregar y eliminar reglas (p. 184)• Asociar una subred a una ACL de red (p. 185)• Disociar una ACL de red de una subred (p. 185)• Cambiar la ACL de red de una subred (p. 185)• Eliminar una ACL de red (p. 185)• Información general de la API y de los comandos (p. 186)

Determinar las asociaciones de ACL de redPuede utilizar la consola de Amazon VPC para determinar la ACL de red asociada a una subred. Las ACLde red se pueden asociar a más de una subred, de modo que también puede determinar las subredesasociadas a una ACL de red.

Para determinar qué ACL de red está asociada a una subred

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Subnets y, a continuación, seleccione la subred.

La ACL de red asociada a la subred se incluye en la pestaña Network ACL, junto con las reglas de laACL de red.

Para determinar qué subredes están asociadas a una ACL de red

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Network ACLs. La columna Associated With indica el número de

subredes asociadas a cada ACL de red.3. Seleccione una ACL de red.4. En el panel de detalles, elija Subnet Associations (Asociaciones de subred) para mostrar las subredes

asociadas a la ACL de red.

Crear una ACL de redPuede crear una ACL de red personalizada para su VPC. De forma predeterminada, una ACL de redque cree bloqueará todo el tráfico entrante y saliente hasta que añada reglas, y no se asociará a ningunasubred hasta que le asocie una de forma explícita.

183

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/network_mtu.html




Para crear una regla ACL de red

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Network ACLs.3. Elija Create Network ACL.4. En el cuadro de diálogo Create Network ACL (Crear ACL de red), puede asignar, de forma opcional,

un nombre a su ACL de red, y seleccionar el ID de su VPC en la lista VPC. Después seleccione Yes,Create (Sí, crear).

Agregar y eliminar reglasAl añadir o eliminar una regla de una ACL, las subredes asociadas a la ACL estarán sujetas a ese cambio.No tiene que terminar ni relanzar las instancias de la subred. Los cambios surten efecto después de uncorto período de tiempo.

Si va a utilizar la API de Amazon EC2 o una herramienta de línea de comandos, no podrá modificar reglas.Sólo puede agregar y eliminar reglas. Si utiliza la consola de Amazon VPC, puede modificar las entradasde las reglas existentes. La consola elimina la regla existente y añade una regla nueva. Si necesitacambiar el orden de una regla en la ACL, deberá añadir una regla nueva con el número de la regla nueva,y luego eliminar la regla original.

Para añadir reglas a una ACL de red

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Network ACLs.3. En el panel de detalles, elija la pestaña Inbound Rules o Outbound Rules, según el tipo de regla que

necesite añadir, y luego elija Edit.4. En Rule #, escriba un número de regla (por ejemplo, 100). El número de regla no debe estar ya en uso

en la ACL de red. Las reglas se procesan por orden, empezando por el número más bajo.

Recomendamos dejar espacios entre los números de regla (como 100, 200, 300), en lugar de utilizarnúmeros secuenciales, (101, 102, 103). Esto le facilitará el añadir reglas nuevas sin tener quereenumerar las existentes.

5. Seleccione una regla de la lista Type. Por ejemplo, para añadir una regla para HTTP, elija HTTP. Paraañadir una regla para permitir todo el tráfico TCP, elija All TCP. Para algunas de estas opciones (porejemplo, HTTP), completaremos el puerto por usted. Para utilizar un protocolo que no aparezca en lalista, elija Custom Protocol Rule.

6. (Opcional) Si va a crear una regla de protocolo personalizada, seleccione el número de protocolo yasígnele un nombre en la lista Protocol. Para obtener más información, consulte IANA List of ProtocolNumbers.

7. (Opcional) Si el protocolo que ha seleccionado requiere un número de puerto, escriba el número depuerto o el rango de puertos separados por un guion (por ejemplo, 49152-65535).

8. En el campo Source o Destination (en función de si se trata de una regla entrante o saliente), escribael rango de CIDR al que se aplica la regla.

9. En la lista Allow/Deny, seleccione ALLOW para permitir el tráfico especificado, o DENY para denegarel tráfico especificado.

10. (Opcional) Para añadir otra regla, elija Add another rule y repita los pasos del 4 al 9 según seanecesario.

11. Cuando haya terminado, elija Save.

Para eliminar una regla de una ACL de red


184







2. En el panel de navegación, elija Network ACLs y, a continuación, seleccione la ACL de red.3. En el panel de detalles, seleccione la pestaña Inbound Rules o Outbound Rules y, a continuación, elija

Edit. Elija Remove para la regla que desea eliminar y, a continuación, elija Save.

Asociar una subred a una ACL de redPara aplicar las reglas de una ACL de red a una subred en particular, debe asociar la subred a la ACL dered. Puede asociar una ACL de red con varias subredes. Sin embargo, una subred sólo puede asociarse auna ACL de red. Las subredes no asociadas a una ACL concreta se asociarán automáticamente a la ACLde red predeterminada.

Para asociar una subred a una ACL de red

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Network ACLs y, a continuación, seleccione la ACL de red.3. En el panel de detalles, en la pestaña Subnet Associations, elija Edit. Active la casilla de verificación

Associate para la subred que desee asociar a la ACL de red y, a continuación, elija Save.

Disociar una ACL de red de una subredPuede desasociar una ACL de red personalizada de una subred. Cuando se ha desasociado la subred dela ACL de red personalizada, se asocia automáticamente a la ACL de red predeterminada.

Para anular la asociación de una subred a una ACL de red

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Network ACLs y, a continuación, seleccione la ACL de red.3. En el panel de detalles, elija la pestaña Subnet Associations.4. Elija Edit y anule la selección de la casilla de verificación Associate para la subred. Seleccione Save

(Guardar).

Cambiar la ACL de red de una subredPuede cambiar la ACL de red asociada a una subred. Por ejemplo, al crear una subred, esta se asociainicialmente a la ACL de red predeterminada. Puede que desee, en su lugar, asociarla a una ACL de redpersonalizada que ha creado.

Después de cambiar la ACL de red de una subred, no tiene que terminar ni relanzar las instancias de lasubred. Los cambios surten efecto después de un corto período de tiempo.

Para cambiar la asociación de una ACL de red a una subred

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Subnets y, a continuación, seleccione la subred.3. Elija la pestaña Network ACL y, a continuación, elija Edit.4. En la lista Change to (Cambiar a), seleccione la ACL de red con la que asociar la subred y, a

continuación, elija Save (Guardar).

Eliminar una ACL de redLa ACL de red solo se puede eliminar si no tiene subredes asociadas. La ACL de red predeterminada nose puede eliminar.

185





Para eliminar una ACL de red

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Network ACLs.3. Seleccione la ACL de red y elija Delete.4. En el cuadro de diálogo de confirmación, elija Yes, Delete.

Información general de la API y de los comandosPuede realizar las tareas descritas en esta página utilizando la línea de comandos o una API. Para obtenermás información acerca de las interfaces de la línea de comandos, junto con una lista de API disponibles,consulte Acceso a Amazon VPC (p. 1).

Creación de una ACL de red para su VPC

• create-network-acl (AWS CLI)• New-EC2NetworkAcl (Herramientas de AWS para Windows PowerShell)

Descripción de una o varias de sus ACL de red

• describe-network-acls (AWS CLI)• Get-EC2NetworkAcl (Herramientas de AWS para Windows PowerShell)

Adición de una regla a una ACL de red

• create-network-acl-entry (AWS CLI)• New-EC2NetworkAclEntry (Herramientas de AWS para Windows PowerShell)

Eliminación de una regla de una ACL de red

• delete-network-acl-entry (AWS CLI)• Remove-EC2NetworkAclEntry (Herramientas de AWS para Windows PowerShell)

Sustitución de una regla existente en una ACL de red

• replace-network-acl-entry (AWS CLI)• Set-EC2NetworkAclEntry (Herramientas de AWS para Windows PowerShell)

Sustitución de una asociación de ACL de red

• replace-network-acl-association (AWS CLI)• Set-EC2NetworkAclAssociation (Herramientas de AWS para Windows PowerShell)

Eliminación de una ACL de red

• delete-network-acl (AWS CLI)• Remove-EC2NetworkAcl (Herramientas de AWS para Windows PowerShell)

186


https://docs.aws.amazon.com/cli/latest/reference/ec2/create-network-acl.html

https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2NetworkAcl.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-network-acls.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2NetworkAcl.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/create-network-acl-entry.html

https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2NetworkAclEntry.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-network-acl-entry.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2NetworkAclEntry.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/replace-network-acl-entry.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Set-EC2NetworkAclEntry.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/replace-network-acl-association.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Set-EC2NetworkAclAssociation.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-network-acl.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2NetworkAcl.html

Amazon Virtual Private Cloud Guía del usuarioEjemplo: controlar el acceso a las instancias en una subred

Ejemplo: controlar el acceso a las instancias en unasubredEn este ejemplo, las instancias de su subred se pueden comunicar entre sí, y se puede obtener accesoa ellas desde un equipo remoto de confianza. El equipo remoto puede ser un equipo en la red local ouna instancia en una subred o VPC diferente. Se utiliza para conectarse a las instancias para realizartareas administrativas. Las reglas de su grupo de seguridad y de ACL de red permiten el acceso desde ladirección IP de su equipo remoto (172.31.1.2/32). El resto del tráfico de Internet u otras redes se deniega.

Todas las instancias utilizan el mismo grupo de seguridad (sg-1a2b3c4d), con las reglas siguientes.

Reglas de entrada

Tipo de protocolo Protocolo Rango de puerto Fuente Comentarios

Todo el tráfico Todo Todo sg-1a2b3c4d Permite quelas instanciasasociadas almismo grupode seguridad secomuniquen entresí.

SSH TCP 22 172.31.1.2/32 Permite al SSHentrante obteneracceso desde elequipo remoto.Si la instanciaes un equipo deWindows, estaregla debe utilizar

187


el protocolo RDPpara el puerto3389 en su lugar.

Reglas de salida

Tipo de protocolo Protocolo Rango de puerto Destino Comentarios

Todo el tráfico Todo Todo sg-1a2b3c4d Permite quelas instanciasasociadas almismo grupode seguridad secomuniquen entresí. Los grupos deseguridad songrupos con estado.Por tanto nonecesita una reglaque permita tráficode respuestapara solicitudesentrantes.

La subred está asociada a una ACL de red con las siguientes reglas:

Reglas de entrada



Comentarios

100 SSH TCP 22 172.31.1.2/32 PERMITIR Permiteal tráficoentranteobteneraccesodesde elequiporemoto. Sila instanciaes un equipode Windows,esta regladebe utilizarel protocoloRDP para elpuerto 3389en su lugar.

* Todo eltráfico

Todo Todos 0.0.0.0/0 DENEGAR Deniegatodo el restode tráficoentrante queno coincidacon la reglaanterior.

188


Reglas de salida



Comentarios


TCP 1024 -65535

172.31.1.2/32 PERMITIR Permite lasrespuestassalientesal equiporemoto.Las ACLde red sonsin estado.Por lo queesta reglaes necesariapara permitirel tráfico derespuestaparasolicitudesentrantes.

* Todo eltráfico

Todo Todos 0.0.0.0/0 DENEGAR Deniegatodo el restodel tráficosaliente queno coincidacon la reglaanterior.

Este escenario le proporciona la flexibilidad necesaria para cambiar los grupos de seguridad o las reglasde grupos de seguridad de sus instancias, así como para tener la ACL de red como capa de copia deseguridad de defensa. Las reglas de ACL de red se aplican a todas las instancias de la subred. Encaso de crear por error reglas de grupos de seguridad demasiado permisivas, las reglas de ACL de redseguirán permitiendo el acceso solo desde la dirección IP única. Por ejemplo, las siguientes reglas sonmás permisivas que las reglas anteriores: permiten el acceso al SSH entrante desde cualquier dirección IP.

Reglas de entrada

Tipo Protocolo Rango de puerto Fuente Comentarios

Todo el tráfico Todo Todo sg-1a2b3c4d Permite quelas instanciasasociadas almismo grupode seguridad secomuniquen entresí.

SSH TCP 22 0.0.0.0/0 Permite el accesoal SSH desdecualquier direcciónIP.

Reglas de salida

189

Amazon Virtual Private Cloud Guía del usuarioReglas recomendadas para casos

de uso del asistente de la VPC

Tipo Protocolo Rango de puerto Destino Comentarios

Todo el tráfico Todo Todos 0.0.0.0/0 Permite todo eltráfico saliente.

Sin embargo, solo las demás instancias en la subred y su equipo remoto podrán obtener acceso a estainstancia. Las reglas de ACL de red siguen impidiendo todo el tráfico entrante a la subred, excepto desdesu equipo remoto.

Reglas recomendadas para casos de uso delasistente de la VPCPuede utilizar el asistente de VPC en la consola de la Amazon VPC para implementar casos de usocomunes de la Amazon VPC. Al implementar estos escenarios tal como se describe en la documentación,se utiliza la lista de control de acceso (ACL) de red predeterminada, que permite todo el tráfico entrante ysaliente. Si necesita una capa de seguridad adicional, puede crear una ACL de red y añadir reglas. Paraobtener más información, consulte Configuraciones del asistente de la consola de Amazon VPC (p. 21).

Logs de flujo de VPCLos logs de flujo de VPC son una característica que permite capturar información acerca del tráfico IPque entra y sale de las interfaces de red en la VPC. Los datos del registro de flujo pueden publicarse enAmazon CloudWatch Logs o Amazon S3. Una vez creado un log de flujo, puede recuperarlo y ver susdatos en el destino elegido.

Los logs de flujo pueden ayudarle en una serie de tareas, tales como:

• Diagnosticar reglas de grupo de seguridad muy restrictivas• Monitorizar el tráfico que llega a su instancia• Determinar la dirección del tráfico hacia y desde las interfaces de red

Los datos de registro de flujo se recopilan fuera de la ruta del tráfico de red y, por lo tanto, no afectan alrendimiento ni a la latencia de la red. Puede crear o eliminar registros de flujo sin ningún riesgo de impactoen el rendimiento de la red.

Contenido• Conceptos básicos de logs de flujo (p. 191)• Registros de log de flujo (p. 192)• Ejemplos de registros de log de flujo (p. 196)• Limitaciones de los logs de flujo (p. 200)• Precios de registros de flujo (p. 201)• Publicar logs de flujo en CloudWatch Logs (p. 201)• Publicar logs de flujo en Amazon S3 (p. 206)• Usar logs de flujo (p. 211)• Solución de problemas (p. 215)

190

Amazon Virtual Private Cloud Guía del usuarioConceptos básicos de logs de flujo

Conceptos básicos de logs de flujoPuede crear un log de flujo para una VPC, una subred o una interfaz de red. Si crea un log de flujo parauna subred o VPC, se supervisará cada interfaz de red de la VPC o la subred.

Los datos de logs de flujo de una interfaz de red monitoreada se registran como registros de logs de flujo,que son eventos de registro que constan de campos que describen el flujo de tráfico. Para obtener másinformación, consulte Registros de log de flujo (p. 192).

Para crear un log de flujo, especifique:

• El recurso para el que desea crear el log de flujo• El tipo de tráfico que capturar (tráfico aceptado, tráfico rechazado o todo el tráfico)• Los destinos a los que desea publicar los datos de log de flujo

En el ejemplo siguiente, se crea un log de flujo (fl-aaa) que captura el tráfico aceptado para la interfaz dered para la instancia A1 y publica los registros log de flujo en un bucket de Amazon S3. Crea un segundolog de flujo que captura todo el tráfico de la subred B y publica los registros de log de flujo en AmazonCloudWatch Logs. El log de flujo (fl-bbb) captura el tráfico de todas las interfaces de red de la subred B.No hay logs de flujo que capturen tráfico, por ejemplo, la interfaz de red de A2.

Tras haber creado un log de flujo, pueden transcurrir varios minutos hasta que se empiecen a recopilardatos y a publicarse en los destinos elegidos. Los logs de flujo no capturan los flujos de logs en tiempo realde las interfaces de red. Para obtener más información, consulte Crear un log de flujo (p. 212).

Si lanza más instancias en su subred después de haber creado un log de flujo para su subred o VPC, secreará un nuevo flujo de registros (para CloudWatch Logs) o un objeto de archivo de registro (para AmazonS3) para cada interfaz de red. Esto ocurre en cuanto se registre tráfico de red para esa interfaz de red.

Puede crear registros de flujo para interfaces de red creadas por otros servicios de AWS, tales como:

• Elastic Load Balancing• Amazon RDS• Amazon ElastiCache• Amazon Redshift

191

Amazon Virtual Private Cloud Guía del usuarioRegistros de log de flujo

• Amazon WorkSpaces• Gateways NAT• Gateways de tránsito

Con independencia del tipo de interfaz de red, debe utilizar la consola de Amazon EC2 o la API de AmazonEC2 para crear un log de flujo para una interfaz de red.

Puede aplicar etiquetas a los registros de flujo. Cada etiqueta está formada por una clave y un valoropcional, ambos definidos por el usuario. Las etiquetas pueden ayudarle a organizar los registros de flujo,por ejemplo, por finalidad o propietario.

Si ya no necesita un log de flujo, puede eliminarlo. Al eliminar un registro de flujo, se deshabilita elservicio del registro de flujo para el recurso, y no se crearán nuevos registros de flujo ni se publicarán enCloudWatch Logs o Amazon S3. La eliminación del log de flujo no eliminará los logs de flujo existentesni los flujos de logs (para CloudWatch Logs) o los objetos de archivos de log (para Amazon S3) de unainterfaz de red. Para eliminar un flujo de logs existente, utilice la consola de CloudWatch Logs. Paraeliminar objetos de archivos log, utilice la consola de Amazon S3. Tras haber eliminad un log de flujo,puede que se necesiten varios minutos para que se dejen de recopilar los datos. Para obtener másinformación, consulte Eliminar un log de flujo (p. 214).

Registros de log de flujoUn registro de log de flujo representa un flujo de red en su VPC. De forma predeterminada, cada registrocaptura un flujo de tráfico del protocolo de Internet (IP) de red (caracterizado por 5 tuplas para cadainterfaz de red) que tiene lugar dentro de un intervalo de agregación, lo también se conoce como períodode captura.

De forma predeterminada, el registro incluye valores para los distintos componentes del flujo de IP, incluidoel origen, el destino y el protocolo.

Al crear un registro de flujo, puede utilizar el formato predeterminado para el registro del registro de flujo opuede especificar un formato personalizado.

Temas• Intervalo de agregación (p. 192)• Formato predeterminado (p. 193)• Formato personalizado (p. 193)• Campos disponibles (p. 193)

Intervalo de agregaciónEl intervalo de agregación es el período de tiempo durante el que se captura un flujo determinado yse agrega a un registro de flujo. De forma predeterminada, el intervalo de agregación máximo es de10 minutos. Cuando cree un registro de flujo, si lo desea, puede especificar un intervalo máximo deagregación de 1 minuto. Los registros de flujo con un intervalo de agregación máximo de 1 minutoproducen un volumen mayor de registros que los que tienen un intervalo de agregación máximo de10 minutos.

Cuando una interfaz de red está asociada a una instancia basada en Nitro, el intervalo de agregaciónsiempre es igual o inferior a 1 minuto, independientemente del intervalo de agregación máximoespecificado.

Una vez que los datos se han capturado durante el intervalo de agregación, se necesita más tiempopara procesarlos y publicarlos en CloudWatch Logs o Amazon S3. Este tiempo adicional puede ser comomáximo de 5 minutos para publicarlos en CloudWatch Logs y de 10 minutos para publicarlos en AmazonS3.

192

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-types.html#ec2-nitro-instances


Formato predeterminadoDe forma predeterminada, el formato de línea de log de un registro de logs de flujo es una cadenaseparada por espacios que tiene el siguiente conjunto de campos en el orden siguiente.

<version> <account-id> <interface-id> <srcaddr> <dstaddr> <srcport> <dstport> <protocol> <packets> <bytes> <start> <end> <action> <log-status>

Para obtener más información acerca de los campos, consulte Campos disponibles (p. 193). El formatopredeterminado solo captura un subconjunto de todos los campos disponibles para un registro de logsde flujo. Para capturar todos los campos disponibles o un subconjunto de campos distinto, especifique unformato personalizado. No puede personalizar o cambiar el formato predeterminado.

Formato personalizadoOpcionalmente puede especificar un formato personalizado para el registro de logs de flujo. Un formatopersonalizado es donde se especifica qué campos se devolverán en el log de flujo y el orden en quedeben aparecer. De este modo, puede crear registros de flujo específicos con arreglo a sus necesidadesy omitir los campos que no resulten relevantes en su caso. Un formato personalizado también puedeayudar a reducir la necesidad de procesos separados para extraer información específica de logs deflujo publicados. Puede especificar cualquier número de campos de log de flujo disponibles, pero debeespecificar al menos uno.

Campos disponiblesLa tabla siguiente describe todos los campos disponibles para un registro de logs de flujo. La columnaVersion (Versión) indica la versión de los registros de flujo de VPC en la que se introdujo el campo.

Campo Descripción Versión

version La versión de los logs de flujo de VPC. Si utiliza el formatopredeterminado, la versión es 2. Si utiliza un formatopersonalizado, la versión es la más alta entre los camposespecificados. Por ejemplo, si solo especifica campos de laversión 2, la versión es 2. Si especifica una combinación decampos de las versiones 2, 3 y 4, la versión es 4.

2

account-id El ID de la cuenta de AWS del propietario de la interfaz de redde origen en la que se registra el tráfico. Si un servicio de AWScrea la interfaz de red, por ejemplo, al crear un punto de enlaceo Balanceador de carga de red de la VPC, el registro puedemostrar unknown en este campo.

2

interface-id El ID de la interfaz de red para la que se registra el tráfico. 2

srcaddr La dirección de origen para tráfico entrante o la dirección IPv4o IPv6 de la interfaz de red para tráfico saliente en la interfazde red. La dirección IPv4 de la interfaz de red es siempre sudirección IPv4 privada. Véase también pkt-srcaddr.

2

dstaddr La dirección de destino para tráfico saliente o la dirección IPv4o IPv6 de la interfaz de red para tráfico entrante en la interfazde red. La dirección IPv4 de la interfaz de red es siempre sudirección IPv4 privada. Véase también pkt-dstaddr.

2

srcport El puerto de origen del tráfico. 2

193



dstport El puerto de destino del tráfico. 2

protocol El número de protocolo IANA del tráfico. Para obtener másinformación, consulte Assigned Internet Protocol Numbers.

2

packets El número de paquetes transferidos durante el flujo. 2

bytes El número de bytes transferidos durante el flujo. 2

start Momento, en segundos Unix, en que se recibió el primerpaquete del flujo dentro del intervalo de agregación. El tiempotranscurrido puede ser como máximo de 60 segundos una vezque el paquete se ha transmitido o recibido en la interfaz de red.

2

end Momento, en segundos Unix, en que se recibió el últimopaquete del flujo dentro del intervalo de agregación. El tiempotranscurrido puede ser como máximo de 60 segundos una vezque el paquete se ha transmitido o recibido en la interfaz de red.

2

action La acción asociada al tráfico:

• ACCEPT: los grupos de seguridad o las ACL de redpermitieron el tráfico registrado.

• REJECT: los grupos de seguridad o las ACL de red no hanpermitido el tráfico registrado.

2

log-status El estado de registro del log de flujo:

• OK: los datos se registran normalmente en los destinoselegidos.

• NODATA: no hubo tráfico de red que tuviera como origen odestino la interfaz de red durante el intervalo de agregación.

• SKIPDATA: algunos registros de flujo se omitieron durante elintervalo de agregación. Esto puede deberse a una restricciónde capacidad interna, o a un error interno.

2

vpc-id El ID de la VPC que contiene la interfaz de red para la que seregistra el tráfico.

3

subnet-id El ID de la subred que contiene la interfaz de red para la que seregistra el tráfico.

3

instance-id El ID de la instancia que está asociado a la interfaz de red parala que se registra el tráfico, si la instancia es de su propiedad.Devuelve un símbolo «-» para una interfaz de red administradapor el solicitante; por ejemplo, la interfaz de red para unagateway de NAT.

3

194


https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/requester-managed-eni.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/requester-managed-eni.html



tcp-flags El valor de máscara de bits de las siguientes marcas TCP:

• SYN: 2• SYN-ACK: 18• FIN: 1• RST: 4

ACK se notifica solo cuando va acompañado de SYN.

Se puede aplicar OR a las marcas TCP durante el intervalo deagregación. Para conexiones breves, las marcas se puedenestablecer en la misma línea en el registro de logs de flujo, porejemplo 19 para SYN-ACK y FIN y 3 para SYN y FIN. Para verun ejemplo, consulte Secuencia de marca TCP (p. 198).

3

type El tipo de tráfico: IPv4, IPv6 o EFA. Para obtener másinformación sobre Elastic Fabric Adapter (EFA), consulte ElasticFabric Adapter.

3

pkt-srcaddr La dirección IP de origen (original) del nivel de paquete deltráfico. Utilice este campo con el campo srcaddr para distinguirentre la dirección IP de una capa intermedia a través de la quefluye el tráfico y la dirección IP de origen original del tráfico. Porejemplo, cuando el tráfico fluye a través de una interfaz de redde una gateway NAT (p. 199) o si la dirección IP de un pod deAmazon EKS es distinta de la dirección IP de la interfaz de reddel nodo de instancia en el que se ejecuta el pod (para permitirla comunicación dentro de una VPC).

3

pkt-dstaddr La dirección IP de destino (original) del nivel de paquete para eltráfico. Utilice este campo con el campo dstaddr para distinguirentre la dirección IP de una capa intermedia a través de la quefluye el tráfico y la dirección IP de destino final del tráfico. Porejemplo, cuando el tráfico fluye a través de una interfaz de redde una gateway NAT (p. 199) o si la dirección IP de un pod deAmazon EKS es distinta de la dirección IP de la interfaz de reddel nodo de instancia en el que se ejecuta el pod (para permitirla comunicación dentro de una VPC).

3

region La región que contiene la interfaz de red para la que se registrael tráfico.

4

az-id El ID de la zona de disponibilidad que contiene la interfaz dered para la que se registra el tráfico. Si el tráfico procede de unaubicación secundaria, el registro muestra un símbolo '-' en estecampo.

4

195

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/efa.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/efa.html

Amazon Virtual Private Cloud Guía del usuarioEjemplos de registros de log de flujo


sublocation-type El tipo de ubicación secundaria que se devuelve en el camposublocation-id:

• wavelength• outpost• localzone

Si el tráfico no procede de una ubicación secundaria, el registromuestra un símbolo '-' en este campo.

4

sublocation-id El ID de la ubicación secundaria que contiene la interfaz de redpara la que se registra el tráfico. Si el tráfico no procede de unaubicación secundaria, el registro muestra un símbolo '-' en estecampo.

4

Note

Si un campo no es aplicable para un registro específico, el registro mostrará un símbolo '-' paraesa entrada.

Ejemplos de registros de log de flujoA continuación se muestran ejemplos de registros de logs de flujo que capturan flujos de tráficoespecíficos.

Para obtener información sobre el formato del registro de logs de flujo, consulte Registros de log deflujo (p. 192).

Contenido• Tráfico aceptado y rechazado (p. 196)• Registros sin datos y omitidos (p. 197)• Reglas de grupos de seguridad y ACL de red (p. 197)• Tráfico IPv6 (p. 197)• Secuencia de marca TCP (p. 198)• Tráfico a través de una gateway NAT (p. 199)• Tráfico a través de una gateway de tránsito (p. 199)

Tráfico aceptado y rechazadoLos siguientes ejemplos son registros de logs de flujo predeterminados.

En este ejemplo, se ha permitido el tráfico SSH (puerto de destino 22, protocolo TCP) a la interfaz de redeni-1235b8ca123456789 en la cuenta 123456789010.

2 123456789010 eni-1235b8ca123456789 172.31.16.139 172.31.16.21 20641 22 6 20 4249 1418530010 1418530070 ACCEPT OK

En este ejemplo, se ha rechazado el tráfico RDP (puerto de destino 3389, protocolo TCP) a la interfaz dered eni-1235b8ca123456789 en la cuenta 123456789010.

196

https://aws.amazon.com/wavelength/

https://docs.aws.amazon.com/outposts/latest/userguide/what-is-outposts.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-regions-availability-zones.html#concepts-local-zones


2 123456789010 eni-1235b8ca123456789 172.31.9.69 172.31.9.12 49761 3389 6 20 4249 1418530010 1418530070 REJECT OK

Registros sin datos y omitidosLos siguientes ejemplos son registros de logs de flujo predeterminados.

En este ejemplo, no se registraron datos durante el intervalo de agregación.

2 123456789010 eni-1235b8ca123456789 - - - - - - - 1431280876 1431280934 - NODATA

En este ejemplo, se omitieron los registros durante el intervalo de agregación.

2 123456789010 eni-11111111aaaaaaaaa - - - - - - - 1431280876 1431280934 - SKIPDATA

Reglas de grupos de seguridad y ACL de redSi va a utilizar logs de flujo para diagnosticar reglas excesivamente restrictivas o permisivas de grupos deseguridad o ACL de red, tenga en cuenta el estado de estos recursos. Los grupos de seguridad son conestado: esto significa que las respuestas al tráfico permitido también están permitidas, incluso si las reglasde su grupo de seguridad no lo permiten. Por otro lado, las ACL de red son sin estado, y por lo tanto lasrespuestas al tráfico permitido están sujetas a las reglas de la ACL de red.

Por ejemplo, supongamos que utiliza el comando ping desde su equipo doméstico (la dirección IP es203.0.113.12) hasta su instancia (la dirección IP privada de la interfaz de red es 172.31.16.139). Lasreglas entrantes del grupo de seguridad permiten el tráfico ICMP, pero las reglas salientes no permiten eltráfico ICMP. Dado que los grupos de seguridad son grupos con estado, se permite el ping de respuestade su instancia. Su ACL de red permite el tráfico ICMP entrante, pero no permite el tráfico ICMP saliente.Puesto que las ACL de red son sin estado, se descarta el ping de respuesta y no llegará a su equipodoméstico. En un log de flujo predeterminado, esto se muestra como dos registros de logs de flujo:

• Un registro de ACCEPT para el ping de origen que han permitido tanto la ACL de red como el grupo deseguridad, y que por tanto puede llegar a su instancia.

• Un registro de REJECT para el ping de respuesta que ha denegado la ACL de red.

2 123456789010 eni-1235b8ca123456789 203.0.113.12 172.31.16.139 0 0 1 4 336 1432917027 1432917142 ACCEPT OK

2 123456789010 eni-1235b8ca123456789 172.31.16.139 203.0.113.12 0 0 1 4 336 1432917094 1432917142 REJECT OK

Si su ACL de red permite el tráfico ICMP saliente, el log de flujo muestra dos registros ACCEPT (uno parael ping de origen y otro para el ping de respuesta). Si su grupo de seguridad deniega el tráfico ICMPentrante, el log de flujo mostrará un único recurso REJECT, ya que el tráfico no tiene permiso para llegar asu instancia.

Tráfico IPv6A continuación se muestra un ejemplo de un registro de log de flujo predeterminado.En el ejemplo, se ha permitido el tráfico SSH (puerto 22) desde la dirección IPv62001:db8:1234:a100:8d6e:3477:df66:f105 a la interfaz de red eni-1235b8ca123456789 en lacuenta 123456789010.

197


2 123456789010 eni-1235b8ca123456789 2001:db8:1234:a100:8d6e:3477:df66:f105 2001:db8:1234:a102:3304:8879:34cf:4071 34892 22 6 54 8855 1477913708 1477913820 ACCEPT OK

Secuencia de marca TCPA continuación se muestra un ejemplo de un log de flujo personalizado que captura los campos siguientesen el orden que se indica seguidamente.

version vpc-id subnet-id instance-id interface-id account-id type srcaddr dstaddr srcport dstport pkt-srcaddr pkt-dstaddr protocol bytes packets start end action tcp-flags log-status

El campo tcp-flags puede ayudarle a identificar la dirección del tráfico, por ejemplo, el servidor queinició la conexión. En los registros siguientes (empezando a las 7:47:55 PM y terminando a las 7:48:53PM), un cliente inició dos conexiones a un servidor que se ejecuta en el puerto 5001. El servidor recibiódos marcas SYN (2) del cliente desde puertos de origen distintos en el cliente (43416 y 43418). Para cadaSYN, se envió una marca SYN-ACK desde el servidor al cliente (18) en el puerto correspondiente.

3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 52.213.180.42 10.0.0.62 43416 5001 52.213.180.42 10.0.0.62 6 568 8 1566848875 1566848933 ACCEPT 2 OK3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 10.0.0.62 52.213.180.42 5001 43416 10.0.0.62 52.213.180.42 6 376 7 1566848875 1566848933 ACCEPT 18 OK3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 52.213.180.42 10.0.0.62 43418 5001 52.213.180.42 10.0.0.62 6 100701 70 1566848875 1566848933 ACCEPT 2 OK3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 10.0.0.62 52.213.180.42 5001 43418 10.0.0.62 52.213.180.42 6 632 12 1566848875 1566848933 ACCEPT 18 OK

En el segundo intervalo de agregación, una de las conexiones que se estableció durante el flujo anteriorahora está cerrada. El cliente envió una marca FIN (1) al servidor para la conexión en el puerto 43418. Elservidor envió una marca FIN al cliente en el puerto 43418.

3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 10.0.0.62 52.213.180.42 5001 43418 10.0.0.62 52.213.180.42 6 63388 1219 1566848933 1566849113 ACCEPT 1 OK3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 52.213.180.42 10.0.0.62 43418 5001 52.213.180.42 10.0.0.62 6 23294588 15774 1566848933 1566849113 ACCEPT 1 OK

En las conexiones breves (de unos cuantos segundos, por ejemplo) que se abren y cierran en un mismointervalo de agregación, las marcas podrían establecerse en la misma línea del registro del flujo de tráficoque tiene lugar en la misma dirección. En el ejemplo siguiente, la conexión se establece y termina en elmismo intervalo de agregación. En la primera línea, el valor de la marca TCP es 3, que indica que se envióSYN y un mensaje FIN desde el cliente al servidor. En la segunda línea, el valor de la marca TCP es 19,que indica que se envió SYN-ACK y un mensaje FIN desde el servidor al cliente

3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 52.213.180.42 10.0.0.62 43638 5001 52.213.180.42 10.0.0.62 6 1260 17 1566933133 1566933193 ACCEPT 3 OK3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 10.0.0.62 52.213.180.42 5001 43638 10.0.0.62 52.213.180.42 6 967 14 1566933133 1566933193 ACCEPT 19 OK

198


Tráfico a través de una gateway NATEn este ejemplo, una instancia en una subred privada accede a Internet a través de una gateway NAT queestá en una subred pública.

El siguiente log de flujo personalizado para la interfaz de red de gateway de NAT captura los campossiguientes en el orden siguiente.

instance-id interface-id srcaddr dstaddr pkt-srcaddr pkt-dstaddr

El log de flujo muestra el flujo de tráfico desde la dirección IP de la instancia (10.0.1.5) a través de lainterfaz de red de la gateway de NAT a un host en Internet (203.0.113.5). La interfaz de red de gatewayde NAT es una interfaz de red administrada por el solicitante, por tanto, el registro de logs de flujo muestraun símbolo «-» para el campo instance-id. La línea siguiente muestra tráfico desde la instancia deorigen a la interfaz de red de la gateway de NAT. Los valores de los campos dstaddr y pkt-dstaddrson distintos. El campo dstaddr muestra la dirección IP privada de la interfaz de red de la gateway deNAT y el campo pkt-dstaddr muestra la dirección IP de destino final del host en Internet.

- eni-1235b8ca123456789 10.0.1.5 10.0.0.220 10.0.1.5 203.0.113.5

Las dos líneas siguientes muestra el tráfico desde la interfaz red de gateway de NAT al host de destino enInternet y el tráfico de respuesta desde el host a la interfaz de red de la gateway de NAT.

- eni-1235b8ca123456789 10.0.0.220 203.0.113.5 10.0.0.220 203.0.113.5- eni-1235b8ca123456789 203.0.113.5 10.0.0.220 203.0.113.5 10.0.0.220

La línea siguiente muestra tráfico de respuesta desde la interfaz de red de la gateway de NAT a lainstancia de origen. Los valores para los campos srcaddr y pkt-srcaddr son distintos. El camposrcaddr muestra la dirección IP privada de la interfaz de red de la gateway de NAT y el campo pkt-srcaddr muestra la dirección IP del host en Internet.

- eni-1235b8ca123456789 10.0.0.220 10.0.1.5 203.0.113.5 10.0.1.5

Puede crear otro log de flujo personalizado utilizando el mismo conjunto de campos que con anterioridad.Puede crear el log de flujo para la interfaz de red para la instancia en la subred privada. En este caso,el campo instance-id devuelve el ID de la instancia que está asociado a la interfaz de red y no hayninguna diferencia entre los campos dstaddr y pkt-dstaddr y los campos srcaddr y pkt-srcaddr.A diferencia de la interfaz de red para la gateway de NAT, esta interfaz de red no es una interfaz de redintermedia para el tráfico.

i-01234567890123456 eni-1111aaaa2222bbbb3 10.0.1.5 203.0.113.5 10.0.1.5 203.0.113.5 #Traffic from the source instance to host on the interneti-01234567890123456 eni-1111aaaa2222bbbb3 203.0.113.5 10.0.1.5 203.0.113.5 10.0.1.5 #Response traffic from host on the internet to the source instance

Tráfico a través de una gateway de tránsitoEn este ejemplo, un cliente en una VPC A se conecta a un servidor web en VPC B a través de unatransit gateway. El cliente y el servidor están en zonas de disponibilidad distintas. Por tanto, el tráficollega al servidor en la VPC B utilizando eni-11111111111111111 y sale de la VPC B utilizandoeni-22222222222222222.

Puede crear un log de flujo personalizado para VPC B con el formato siguiente.

199

Amazon Virtual Private Cloud Guía del usuarioLimitaciones de los logs de flujo

version interface-id account-id vpc-id subnet-id instance-id srcaddr dstaddr srcport dstport protocol tcp-flags type pkt-srcaddr pkt-dstaddr action log-status

Las líneas siguientes de los registros de logs de flujo muestran el flujo de tráfico en la interfaz de red parael servidor web. La primera línea es el tráfico de solicitudes del cliente y la última línea es el tráfico derespuesta del servidor web.

3 eni-33333333333333333 123456789010 vpc-abcdefab012345678 subnet-22222222bbbbbbbbb i-01234567890123456 10.20.33.164 10.40.2.236 39812 80 6 3 IPv4 10.20.33.164 10.40.2.236 ACCEPT OK...3 eni-33333333333333333 123456789010 vpc-abcdefab012345678 subnet-22222222bbbbbbbbb i-01234567890123456 10.40.2.236 10.20.33.164 80 39812 6 19 IPv4 10.40.2.236 10.20.33.164 ACCEPT OK

La línea siguiente es el tráfico de solicitudes en eni-11111111111111111, una interfaz de redadministrada por solicitante para transit gateway en la subred subnet-11111111aaaaaaaaa. El registrode logs de flujo por tanto muestra un símbolo «-» para el campo instance-id. El campo srcaddrmuestra la dirección IP privada de la interfaz de red de transit gateway y el campo pkt-srcaddr muestrala dirección IP de origen del cliente en la VPC A.

3 eni-11111111111111111 123456789010 vpc-abcdefab012345678 subnet-11111111aaaaaaaaa - 10.40.1.175 10.40.2.236 39812 80 6 3 IPv4 10.20.33.164 10.40.2.236 ACCEPT OK

La línea siguiente es el tráfico de respuesta en eni-22222222222222222, una interfaz de redadministrada por solicitante para la transit gateway en la subred subnet-22222222bbbbbbbbb. Elcampo dstaddr muestra la dirección IP privada de la interfaz de red de transit gateway y el campo pkt-dstaddr muestra la dirección IP del cliente en la VPC A.

3 eni-22222222222222222 123456789010 vpc-abcdefab012345678 subnet-22222222bbbbbbbbb - 10.40.2.236 10.40.2.31 80 39812 6 19 IPv4 10.40.2.236 10.20.33.164 ACCEPT OK

Limitaciones de los logs de flujoPara utilizar los logs de flujo, debe conocer las siguientes limitaciones:

• No se pueden habilitar logs de flujo para interfaces de red que se encuentren en la plataforma EC2-Classic. Esto incluye las instancias de EC2-Classic vinculadas a una VPC a través de ClassicLink.

• No se pueden habilitar los logs de flujo para VPC interconectadas con su VPC a menos que la VPC delmismo nivel se encuentre en su cuenta.

• Después de haber creado un log de flujo, no puede cambiar su configuración o el formato del registrode logs de flujo. Por ejemplo, no puede asociar un rol de IAM distinto con el log de flujo o añadir o quitarcampos en el registro del log de flujo. En su lugar, puede eliminar el log de flujo y crear uno nuevo con laconfiguración necesaria.

• Si su interfaz de red tiene varias direcciones IPv4 y el tráfico se envía a una dirección IPv4 privadasecundaria, el log de flujo mostrará la dirección IPv4 privada principal en el campo dstaddr. Paracapturar la dirección IP de destino original, cree un log de flujo con el campo pkt-dstaddr.

• Si el tráfico se envía a una interfaz de red y el destino no es ninguna de las direcciones IP de la interfazde red, el log de flujo muestra la dirección IPv4 privada principal en el campo dstaddr. Para capturar ladirección IP de destino original, cree un log de flujo con el campo pkt-dstaddr.

• Si el tráfico se envía a una interfaz de red y el origen no es ninguna de las direcciones IP de la interfazde red, el log de flujo muestra la dirección IPv4 privada principal en el campo srcaddr. Para capturar ladirección IP de origen original, cree un log de flujo con el campo pkt-srcaddr.

200

Amazon Virtual Private Cloud Guía del usuarioPrecios de registros de flujo

• Si el tráfico se envía a una interfaz de red o desde una interfaz de red, los campos srcaddr y dstaddren el log de flujo muestran siempre la dirección IPv4 privada principal, con independencia del origen odestino del paquete. Para capturar el origen o destino del paquete, cree un log de flujo con los campospkt-srcaddr y pkt-dstaddr.

• Cuando la interfaz de red está asociada a una instancia basada en Nitro, el intervalo de agregaciónsiempre es igual o menor a 1 minuto, independientemente del intervalo máximo de agregaciónespecificado.

Los logs de flujo no capturan todo el tráfico IP. Los siguientes tipos de tráfico no se registran:

• Tráfico generado por instancias al contactar con el servidor DNS de Amazon. Si utiliza su propio servidorDNS, sí se registrará el tráfico a ese servidor DNS.

• Tráfico generado por una instancia de Windows para la activación de licencia de Windows para Amazon.• Tráfico entrante y saliente de 169.254.169.254 para metadatos de instancias.• Tráfico entrante y saliente de 169.254.169.123 para el servicio Amazon Time Sync.• Tráfico DHCP.• Tráfico a la dirección IP reservada para el router VPC predeterminado. Para obtener más información,

consulte Tamaño de VPC y subred (p. 94).• El tráfico entre una interfaz de red del punto de enlace y una interfaz de red de Balanceador de

carga de red. Para obtener más información, consulte Servicios de punto de enlace de la VPC (AWSPrivateLink) (p. 348).

Precios de registros de flujoLa incorporación de datos y los costos por archivo para los registros a la venta se aplican cuando sepublican registros de flujo en CloudWatch Logs o en Amazon S3. Para obtener más información yejemplos, consulte Precios de Amazon CloudWatch.

Para realizar un seguimiento de los cargos desde la publicación de registros de flujo en los buckets deAmazon S3, puede aplicar etiquetas de asignación de costos a las suscripciones de registros de flujo.Para realizar un seguimiento de los cargos desde la publicación de registros de flujo en CloudWatch Logs,puede aplicar etiquetas de asignación de costos al grupo de registros de CloudWatch Logs de destino. Apartir de entonces, el informe de asignación de costos de AWS incluirá el uso y los costos agregados porestas etiquetas. Puede aplicar etiquetas que representen categorías de negocio (por ejemplo, centros decostos, nombres de aplicación o propietarios) para organizar los costos. Para obtener más información,consulte Uso de etiquetas de asignación de costos en la Guía del usuario de AWS Billing and CostManagement.

Publicar logs de flujo en CloudWatch LogsLos logs de flujo pueden publicar datos de logs de flujo directamente en Amazon CloudWatch.

En CloudWatch Logs, los datos de logs de flujo se publican en un grupo de logs y cada interfaz de redtiene un flujo único de logs en el grupo de logs. Los flujos de logs contienen registros de logs de flujo.Puede crear varios logs de flujo que publiquen datos en el mismo grupo de logs. Si la misma interfazde red está presente en uno o varios logs de flujo en el mismo grupo de logs, tendrá un flujo de logscombinado. Si ha especificado que un log de flujo debe capturar el tráfico rechazado y otro log de flujodebe capturar el tráfico aceptado, el flujo de logs combinado capturará todo el tráfico. Para obtener másinformación, consulte Registros de log de flujo (p. 192).

En CloudWatch Logs, el campo timestamp corresponde a la hora de inicio capturada en el registro de flujo.El campo ingestionTime indica la fecha y hora en que CloudWatch Logs recibió el registro de flujo. Estamarca de tiempo es posterior a la hora de finalización capturada en el registro de flujo.

201

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-types.html#ec2-nitro-instances

https://aws.amazon.com/cloudwatch/pricing

https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html

Amazon Virtual Private Cloud Guía del usuarioPublicación en CloudWatch Logs

Contenido• Roles de IAM para publicar registros de flujo en CloudWatch Logs (p. 202)• Crear un log de flujo que se publica en CloudWatch Logs (p. 203)• Procesar registros de logs de flujo en CloudWatch Logs (p. 205)

Roles de IAM para publicar registros de flujo en CloudWatchLogsLa función de IAM asociada a su registro de flujo debe tener permisos suficientes para publicar registros deflujo en el grupo de registros especificado en CloudWatch Logs. El rol de IAM debe pertenecer a su cuentade AWS.

La política de IAM adjuntada a su rol de IAM debe incluir al menos los siguientes permisos.

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents", "logs:DescribeLogGroups", "logs:DescribeLogStreams" ], "Effect": "Allow", "Resource": "*" } ]}

Asegúrese también de que el rol tiene una relación de confianza que permite al servicio de logs de flujoasumir ese rol.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "vpc-flow-logs.amazonaws.com" }, "Action": "sts:AssumeRole" } ]}

Los usuarios también deben tener permisos para utilizar la acción iam:PassRole para el rol de IAM queestá asociado al log de flujo:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["iam:PassRole"], "Resource": "arn:aws:iam::account-id:role/flow-log-role-name"

202


} ]}

Puede actualizar una función existente o utilizar el procedimiento siguiente para crear una nueva función yutilizarla con los logs de flujo.

Crear un rol de registros de flujo

Para crear una función de IAM para logs de flujo

1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.2. En el panel de navegación, elija Roles, Create role.3. Elija EC2 como servicio para usar esta función. En Use case (Caso de uso), elija EC2. Elija Next:

Permissions (Siguiente: Permisos).4. En la página Attach permissions policies (Asociar políticas de permisos), elija Next: Review (Siguiente:

Revisar). Elija Next: Review (Siguiente: Revisar).5. Escriba un nombre para el rol (por ejemplo, Flow-Logs-Role) y, opcionalmente, especifique una

descripción. Elija Create role (Crear rol).6. Seleccione el nombre de su función. En Permissions (Permisos), elija Add inline policy (Añadir política

insertada), JSON.7. Copie la primera política de Roles de IAM para publicar registros de flujo en CloudWatch

Logs (p. 202) y péguela en la ventana. Elija Review policy (Revisar política).8. Escriba un nombre para la política y elija Create policy (Crear política).9. Seleccione el nombre de su función. En Trust relationships (Relaciones de confianza), seleccione Edit

trust relationship (Editar relación de confianza). En el documento de la política existente, cambie elservicio de ec2.amazonaws.com a vpc-flow-logs.amazonaws.com. Elija Update Trust Policy.

10. En la página Summary (Resumen), tome nota del ARN de la función. Necesita este ARN para crear supropio log de flujo.

Crear un log de flujo que se publica en CloudWatch LogsPuede crear registros de flujo para sus VPC, subredes o interfaces de red.

Para crear un log de flujo para una interfaz de red utilizando la consola

1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, elija Network Interfaces.3. Seleccione una o varias interfaces de red y elija Actions (Acciones), Create flow log (Crear registro de

flujo).4. En Filter (Filtro), especifique el tipo de datos de tráfico IP que desea registrar. Elija All (Todo) para

registrar el tráfico aceptado y rechazado, Rejected (Rechazado) para registrar únicamente el tráficorechazado o Accepted (Aceptado) para registrar solo el tráfico aceptado.

5. En Maximum aggregation interval (Intervalo máximo de agregación), elija el período de tiempo máximodurante el que se va a capturar el flujo y se va a agregar a un registro de flujo.

6. En Destination (Destino), elija Send to CloudWatch Logs (Enviar a CloudWatch Logs).7. Para Destination log group (Grupo de logs de destino), escriba el nombre de un grupo de logs en

CloudWatch Logs donde se van a publicar los logs de flujo. Si especifica el nombre de un grupo delogs que no existe, intentamos crear el grupo de logs por usted.

8. En IAM role (Función de IAM), especifique el nombre de la función que tiene permisos para publicarregistros en CloudWatch Logs.

9. Para Format (Formato), especifique el formato del registro de logs de flujo.

203

https://console.aws.amazon.com/iam/



• Para utilizar el formato del registro de logs de flujo, seleccione AWS default format (Formatopredeterminado de AWS).

• Para crear un formato personalizado, seleccione Formato personalizado. En Log format (Formato delog), elija los campos que desea incluir en el registro de logs de flujo.

Tip

Para crear un log de flujo personalizado que incluya los campos de formatopredeterminados, primero elija AWS default format (Formato predeterminado de AWS),copie los campos en Format preview (Vista previa de formato), a continuación elija Customformat (Formato personalizado) y pegue los campos en el cuadro de texto.

10. (Opcional) Elija Add tag (Agregar etiqueta) para aplicar etiquetas al registro de flujo.11. Seleccione Create.

Para crear un log de flujo para una VPC o una subred utilizando la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Your VPCs (Sus VPC) o Subnets (Subredes).3. Seleccione una o varias VPC o subredes y, a continuación, elija Actions (Acciones), Create flow log

(Crear registro de flujo).4. En Filter (Filtro), especifique el tipo de datos de tráfico IP que desea registrar. Elija All (Todo) para



6. En Destination (Destino), elija Send to CloudWatch Logs (Enviar a CloudWatch Logs).7. Para Destination log group (Grupo de logs de destino), escriba el nombre de un grupo de logs en

CloudWatch Logs donde se van a publicar los logs de flujo. Si especifica el nombre de un grupo delogs que no existe, intentamos crear el grupo de logs por usted.

8. En IAM role (Función de IAM), especifique el nombre de la función de IAM que tiene permisos parapublicar registros en CloudWatch Logs.




Tip



Para crear un log de flujo que publica en CloudWatch Logs utilizando una herramienta de línea decomandos

Utilice uno de los siguientes comandos.

• create-flow-logs (AWS CLI)

204


https://docs.aws.amazon.com/cli/latest/reference/ec2/create-flow-logs.html


• New-EC2FlowLogs (Herramientas de AWS para Windows PowerShell)• CreateFlowLogs (API de consulta de Amazon EC2)

El siguiente ejemplo de la AWS CLI crea un log de flujo que captura todo el tráfico aceptado para la subredsubnet-1a2b3c4d. Los logs de flujo se envían a un grupo de log en CloudWatch Logs denominado my-flow-logs, en la cuenta 123456789101, utilizando el rol de IAM publishFlowLogs.

aws ec2 create-flow-logs --resource-type Subnet --resource-ids subnet-1a2b3c4d --traffic-type ACCEPT --log-group-name my-flow-logs --deliver-logs-permission-arn arn:aws:iam::123456789101:role/publishFlowLogs

Procesar registros de logs de flujo en CloudWatch LogsPuede trabajar con los registros de logs de flujo al igual que con los demás eventos de logs recopiladospor CloudWatch Logs. Para obtener más información acerca de la monitorización de datos de registros yfiltros de métricas, consulte Búsqueda y filtrado de datos de registros en la Guía del usuario de AmazonCloudWatch.

Ejemplo: crear un filtro de métrica de CloudWatch y una alarma para un log deflujo

En este ejemplo, tiene un log de flujo para eni-1a2b3c4d. Desea crear una alarma que le avise si hahabido 10 o más intentos rechazados para conectar con su instancia a través del puerto TCP 22 (SSH) enun periodo de 1 hora. En primer lugar, debe crear un filtro de métrica que coincida con el patrón de tráficopara el que va a crear la alarma. A continuación, puede crear una alarma para el filtro de métrica.

Para crear un filtro de métrico para el tráfico SSH rechazado y una alarma para el filtro

1. Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.2. En el panel de navegación, elija Logs.3. Elija el valor Metric Filters (Filtros de métricas) asociado para el grupo de registros de su registro de

flujo y, a continuación, elija Add Metric Filter (Añadir filtro de métricas).4. En Filter Pattern (Patrón de filtro), escriba lo siguiente.

[version, account, eni, source, destination, srcport, destport="22", protocol="6", packets, bytes, windowstart, windowend, action="REJECT", flowlogstatus]

5. En Select Log Data to Test (Seleccionar datos de registro para probar), seleccione el flujo de logs parasu interfaz de red. (Opcional) Para ver las líneas de los datos de log que coinciden con el patrón defiltro, elija Test Pattern (Probar patrón). Cuando haya terminado, elija Assign Metric.

6. Proporcione un espacio de nombres y un nombre de métrica, y asegúrese de que el valor de lamétrica está establecido en 1. Cuando haya acabado, elija Create Filter.

7. En el panel de navegación, elija Alarms, Create Alarm.8. En la sección Custom Metrics, elija el espacio de nombres para el filtro de métrica que ha creado.

Puede que la nueva métrica tarde unos minutos en mostrarse en la consola.9. Seleccione el nombre de métrica que ha creado y elija Next (Siguiente).10. Escriba un nombre y la descripción de la alarma. En los campos is (es), elija >= y escriba 10. En el

campo for (durante), deje el valor predeterminado 1 para los periodos consecutivos.11. En Period (Periodo), seleccione 1 Hour (1 hora). En Statistic (Estadística), elija Sum (Suma). La

estadística Sum le asegura que está capturando el número total de puntos de datos para el periodoespecificado.

205

https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2FlowLogs.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateFlowLogs.html

https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/MonitoringLogData.html

https://console.aws.amazon.com/cloudwatch/

Amazon Virtual Private Cloud Guía del usuarioPublicación en Amazon S3

12. En la sección Actions (Acciones), puede elegir enviar una notificación a una lista existente. O puedecrear una nueva lista y escribir las direcciones de correo electrónico que deben recibir una notificacióncuando se dispare la alarma. Cuando haya terminado, elija Create Alarm.

Publicar logs de flujo en Amazon S3Los registros de flujo pueden publicar datos de registros de flujo en Amazon S3.

Cuando se publica en Amazon S3, los datos de registro de flujo se publican en un bucket de Amazon S3existente que especifique. Los registros de logs de flujo de todas las interfaces de red monitoreadas sepublican en una serie de objetos de archivos log que se almacenan en el bucket. Si el log de flujo capturadatos de una VPC, se publican los registros de logs de flujo de todas las interfaces de red de la VPCseleccionada. Para obtener más información, consulte Registros de log de flujo (p. 192).

Para crear un bucket de Amazon S3 para usarlo con los registros de flujo, consulte la sección Crear unbucket en la Guía de introducción a Amazon Simple Storage Service.

Contenido• Archivos log de flujo (p. 206)• Política de IAM para entidades principales de IAM que publican registros de flujo en Amazon

S3 (p. 207)• Permisos del bucket de Amazon S3 para logs de flujo (p. 207)• Política de claves CMK necesarias para usar con buckets de SSE-KMS (p. 208)• Permisos de archivos log de Amazon S3 (p. 209)• Crear un log de flujo que se publica en Amazon S3 (p. 209)• Procesar registros de logs de flujo en Amazon S3 (p. 211)

Archivos log de flujoLos logs de flujo recopilan registros de logs de flujo, los consolidan en archivos log y, a continuación, sepublican los archivos de log en el bucket de Amazon S3 a intervalos de cinco minutos. Cada archivo logcontiene registros de logs de flujo del tráfico IP registrado en los cinco minutos anteriores.

El tamaño de archivo máximo de un archivo log es de 75 MB. Si el archivo log alcanza el límite de tamañode archivo en el periodo de cinco minutos, el log de flujo deja de añadirle registros de logs de flujo. Acontinuación, publica el log de flujo en el bucket de Amazon S3 y crea un nuevo archivo de registro.

Los archivos log se guardan en el bucket de Amazon S3 especificado con una estructura de carpetasque viene determinada por el ID del log de flujo, la región y la fecha en que se crearon. La estructura decarpetas del bucket usa el siguiente formato.

bucket_ARN/optional_folder/AWSLogs/aws_account_id/vpcflowlogs/region/year/month/day/log_file_name.log.gz

Asimismo, el nombre del archivo de registro viene determinado por el ID del registro de flujo y la región, asícomo por la fecha y hora en que se creó. Los nombres de archivo utilizan el formato siguiente.

aws_account_id_vpcflowlogs_region_flow_log_id_timestamp_hash.log.gz

Note

La marca de tiempo utiliza el formato YYYYMMDDTHHmmZ.

206

https://docs.aws.amazon.com/AmazonS3/latest/gsg/CreatingABucket.html

https://docs.aws.amazon.com/AmazonS3/latest/gsg/CreatingABucket.html


Por ejemplo, a continuación se muestra la estructura de carpeta y el nombre de archivo de un archivo delog para un log de flujo creado por la cuenta de AWS 123456789012, para un recurso en la región us-east-1, el June 20, 2018 a las 16:20 UTC. Incluye registros de logs de flujo para 16:15:00 para16:19:59.

arn:aws:s3:::my-flow-log-bucket/AWSLogs/123456789012/vpcflowlogs/us-east-1/2018/06/20/123456789012_vpcflowlogs_us-east-1_fl-1234abcd_20180620T1620Z_fe123456.log.gz

En Amazon S3, el campo Last modified (Última modificación) del archivo de registro de flujo indica la fechay la hora en que el archivo se cargó en el bucket de Amazon S3. Este valor será posterior a la marcade tiempo del nombre del archivo y será distinto al tiempo invertido en cargar el archivo en el bucket deAmazon S3.

Política de IAM para entidades principales de IAM que publicanregistros de flujo en Amazon S3Una entidad principal de IAM en su cuenta, como un usuario de IAM, debe tener permisos suficientes parapublicar registros de flujo en el bucket de Amazon S3. Esto incluye permisos para trabajar con acciones delogs: específicas para crear y publicar los registros de flujo. La política de IAM debe incluir los permisossiguientes.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:CreateLogDelivery", "logs:DeleteLogDelivery" ], "Resource": "*" } ]}

Permisos del bucket de Amazon S3 para logs de flujoDe forma predeterminada, los buckets de Amazon S3 y los objetos que contienen son privados. Solo elpropietario del bucket puede tener acceso al bucket y a los objetos almacenados en él. Sin embargo, elpropietario del bucket puede conceder acceso a otros recursos y usuarios escribiendo una política deacceso.

La siguiente política de bucket da permiso al registro de flujo para publicar registros en él. Si el bucket yatiene una política con los siguientes permisos, la política se mantiene tal cual.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSLogDeliveryWrite", "Effect": "Allow", "Principal": {"Service": "delivery.logs.amazonaws.com"}, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::bucket_name/optional_folder/AWSLogs/account_id/*", "Condition": {"StringEquals": {"s3:x-amz-acl": "bucket-owner-full-control"}} }, {

207


"Sid": "AWSLogDeliveryAclCheck", "Effect": "Allow", "Principal": {"Service": "delivery.logs.amazonaws.com"}, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::bucket_name" } ]}

Si el usuario que crea el registro de flujo posee el bucket, tiene permisos de PutBucketPolicy parael bucket y el bucket no tiene una política con permisos suficientes de entrega de registros, asociamosautomáticamente la política anterior al bucket. Esta política sobrescribe cualquier política existenteasociada al bucket.

Si el usuario que va a crear el log de flujo no es el propietario del bucket o no tiene los permisosGetBucketPolicy y PutBucketPolicy para el bucket, se produce un error al crear el log de flujo. Eneste caso, el propietario del bucket debe añadir manualmente la política anterior al bucket y especificar elID de cuenta de AWS del creador del log de flujo. Para obtener más información, consulte ¿Cómo agregouna política de bucket en S3? en la Guía del usuario de la consola de Amazon Simple Storage Service. Siel bucket recibe logs de flujo de varias cuentas, añada un entrada del elemento Resource a la instrucciónAWSLogDeliveryWrite de la política para cada cuenta. Por ejemplo, la siguiente política de bucketpermite a las cuentas de AWS 123123123123 y 456456456456 publicar logs de flujo en una carpetadenominada flow-logs en un bucket llamado log-bucket.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSLogDeliveryWrite", "Effect": "Allow", "Principal": {"Service": "delivery.logs.amazonaws.com"}, "Action": "s3:PutObject", "Resource": [ "arn:aws:s3:::log-bucket/flow-logs/AWSLogs/123123123123/*", "arn:aws:s3:::log-bucket/flow-logs/AWSLogs/456456456456/*" ], "Condition": {"StringEquals": {"s3:x-amz-acl": "bucket-owner-full-control"}} }, { "Sid": "AWSLogDeliveryAclCheck", "Effect": "Allow", "Principal": {"Service": "delivery.logs.amazonaws.com"}, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::log-bucket" } ]}

Note

Le recomendamos que conceda los permisos AWSLogDeliveryAclCheck yAWSLogDeliveryWrite a la entidad principal del servicio de entrega de registros, en lugar de alos distintos ARN de la cuenta de AWS.

Política de claves CMK necesarias para usar con buckets deSSE-KMSSi habilitó el cifrado en el servidor para su bucket de Amazon S3 utilizando claves administradas por AWSKMS (SSE-KMS) con una clave maestra de cliente (CMK) administrada por el cliente, debe agregar lo

208

https://docs.aws.amazon.com/AmazonS3/latest/user-guide/add-bucket-policy.html

https://docs.aws.amazon.com/AmazonS3/latest/user-guide/add-bucket-policy.html


siguiente a la política de claves de su CMK de modo que los registros de flujo puedan escribir archivos deregistro en el bucket.

Note

Agregue estos elementos a la política para su CMK, no la política para su bucket.

{ "Sid": "Allow VPC Flow Logs to use the key", "Effect": "Allow", "Principal": { "Service": [ "delivery.logs.amazonaws.com" ] }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*"}

Permisos de archivos log de Amazon S3Además de las políticas de bucket necesarias, Amazon S3 utiliza listas de control de acceso (ACL)para administrar el acceso a los archivos log creados por un log de flujo. De forma predeterminada, elpropietario del bucket tiene los permisos FULL_CONTROL en cada archivo log. El propietario de la entregade logs, si es diferente del propietario del bucket, no tiene permisos. La cuenta de entrega de logs tienelos permisos READ y WRITE. Para obtener más información, consulte Información general de las AccessControl Lists (ACL, Listas de control de acceso) en la Guía para desarrolladores de Amazon SimpleStorage Service.

Crear un log de flujo que se publica en Amazon S3Después de haber creado y configurado su bucket de Amazon S3, puede crear registros de flujo para susVPC, subredes o interfaces de red.

Para crear un log de flujo para una interfaz de red utilizando la consola

1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, elija Network Interfaces.3. Seleccione una o varias interfaces de red y elija Actions (Acciones), Create flow log (Crear registro de

flujo).4. En Filter (Filtro), especifique el tipo de datos de tráfico IP que desea registrar. Elija All (Todo) para



6. En Destination (Destino), elija Send to an Amazon S3 bucket (Enviar a un bucket de Amazon S3).7. En S3 bucket ARN (ARN de bucket de S3), especifique el nombre de recurso de Amazon (ARN) de

un bucket de Amazon S3 existente. Puede incluir una subcarpeta en el ARN de bucket. El bucket nopuede utilizar AWSLogs como nombre de subcarpeta, ya que se trata de un término reservado.

Por ejemplo, para especificar una subcarpeta llamada my-logs de un bucket denominado my-bucket, utilice el siguiente ARN:

209





arn:aws:s3:::my-bucket/my-logs/

Si posee el bucket, crearemos automáticamente una política de recursos y la asociaremos albucket. Para obtener más información, consulte Permisos del bucket de Amazon S3 para logs deflujo (p. 207).




Tip



Para crear un log de flujo para una VPC o una subred utilizando la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Your VPCs (Sus VPC) o Subnets (Subredes).3. Seleccione una o varias VPC o subredes y, a continuación, elija Actions (Acciones), Create flow log

(Crear registro de flujo).4. En Filter (Filtro), especifique el tipo de datos de tráfico IP que desea registrar. Elija All (Todo) para



6. En Destination (Destino), elija Send to an Amazon S3 bucket (Enviar a un bucket de Amazon S3).7. En S3 bucket ARN (ARN de bucket de S3), especifique el nombre de recurso de Amazon (ARN) de

un bucket de Amazon S3 existente. Puede incluir una subcarpeta en el ARN de bucket. El bucket nopuede utilizar AWSLogs como nombre de subcarpeta, ya que se trata de un término reservado.

Por ejemplo, para especificar una subcarpeta llamada my-logs de un bucket denominado my-bucket, utilice el siguiente ARN:

arn:aws:s3:::my-bucket/my-logs/

Si posee el bucket, crearemos automáticamente una política de recursos y la asociaremos albucket. Para obtener más información, consulte Permisos del bucket de Amazon S3 para logs deflujo (p. 207).





210


Amazon Virtual Private Cloud Guía del usuarioUsar logs de flujo

Para crear un log de flujo que publica en Amazon S3 utilizando una herramienta de línea de comandos

Utilice uno de los siguientes comandos.

• create-flow-logs (AWS CLI)• New-EC2FlowLogs (Herramientas de AWS para Windows PowerShell)• CreateFlowLogs (API de consulta de Amazon EC2)

El ejemplo de AWS CLI siguiente crea un log de flujo que captura todo el tráfico para la VPCvpc-00112233344556677 y envía los logs de flujo a un bucket de Amazon S3 denominado flow-log-bucket. El parámetro --log-format especifica un formato personalizado para los registros de logs deflujo.

aws ec2 create-flow-logs --resource-type VPC --resource-ids vpc-00112233344556677 --traffic-type ALL --log-destination-type s3 --log-destination arn:aws:s3:::flow-log-bucket/my-custom-flow-logs/ --log-format '${version} ${vpc-id} ${subnet-id} ${instance-id} ${srcaddr} ${dstaddr} ${srcport} ${dstport} ${protocol} ${tcp-flags} ${type} ${pkt-srcaddr} ${pkt-dstaddr}'

Procesar registros de logs de flujo en Amazon S3Los archivos log están comprimidos. Si abre los archivos log con la consola de Amazon S3, sedescomprimen y se muestran los registros de logs de flujo. Si descarga los archivos, debe descomprimirlospara ver los registros de logs de flujo.

También puede consultar los registros de logs de flujo en los archivos de log mediante Amazon Athena.Amazon Athena es un servicio de consultas interactivo que facilita el análisis de datos directamente enAmazon S3 mediante SQL estándar. Para obtener más información, consulte Consulta de los registros deflujo de Amazon VPC en la Guía del usuario de Amazon Athena

Usar logs de flujoPuede trabajar con registros de flujo utilizando las consolas de Amazon EC2, Amazon VPC, CloudWatch yAmazon S3.

Contenido• Controlar el uso de logs de flujo (p. 211)• Crear un log de flujo (p. 212)• Consultar logs de flujo (p. 212)• Agregar o eliminar etiquetas para logs de flujo (p. 212)• Consultar registros de logs de flujo (p. 213)• Búsqueda de registros de log de flujo (p. 213)• Eliminar un log de flujo (p. 214)• Información general de la API y de la CLI (p. 215)

Controlar el uso de logs de flujoDe forma predeterminada, los usuarios de IAM no tienen permiso para trabajar con logs de flujo. Puedecrear una política de usuarios de IAM que conceda permisos a los usuarios para crear, describir y eliminarlogs de flujo. Para obtener más información acerca de los permisos, consulte el tema sobre cómo concedera los usuarios de IAM los permisos necesarios para los recursos de Amazon EC2 en la Amazon EC2 APIReference.

211


https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2FlowLogs.html


https://docs.aws.amazon.com/athena/latest/ug/vpc-flow-logs.html

https://docs.aws.amazon.com/athena/latest/ug/vpc-flow-logs.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ec2-api-permissions.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ec2-api-permissions.html


A continuación se muestra una política de ejemplo que concede a los usuarios permisos completos paracrear, describir y eliminar logs de flujo.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DeleteFlowLogs", "ec2:CreateFlowLogs", "ec2:DescribeFlowLogs" ], "Resource": "*" } ]}

Se requerirá alguna configuración adicional de funciones y permisos de IAM, en función de si los datos sepublican en CloudWatch Logs o Amazon S3. Para obtener más información, consulte Publicar logs de flujoen CloudWatch Logs (p. 201) y Publicar logs de flujo en Amazon S3 (p. 206).

Crear un log de flujoPuede crear registros de flujo para sus VPC, subredes o interfaces de red. Los registros de flujo puedenpublicar datos en CloudWatch Logs o Amazon S3.

Para obtener más información, consulte Crear un log de flujo que se publica en CloudWatchLogs (p. 203) y Crear un log de flujo que se publica en Amazon S3 (p. 209).

Consultar logs de flujoPuede consultar información acerca de sus registros de flujo en las consolas de Amazon EC2 y AmazonVPC visualizando la pestaña Flow Logs (Registros de flujo) para un recurso específico. Al seleccionar elrecurso, se mostrarán todos los logs de flujo de ese recurso. La información mostrada incluye el ID del logde flujo, la configuración del log de flujo y la información acerca del estado del log de flujo.

Para ver información acerca de los registros de flujo para sus interfaces de red

1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, elija Network Interfaces.3. Seleccione una interfaz de red y elija Flow Logs (Logs de flujo). Se mostrará información acerca de los

logs de flujo en la pestaña. La columna Destination type (Tipo de destino) indica el destino en el quese publican los logs de flujo.

Para ver información acerca de los registros de flujo para sus VPC o subredes

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Your VPCs (Sus VPC) o Subnets (Subredes).3. Seleccione su VPC o subred y elija Flow Logs (Logs de flujo). Se mostrará información acerca de los

logs de flujo en la pestaña. La columna Destination type (Tipo de destino) indica el destino en el quese publican los logs de flujo.

Agregar o eliminar etiquetas para logs de flujoPuede agregar o quitar etiquetas para un registro de flujo en las consolas de Amazon EC2 y Amazon VPC.

212




Para agregar o quitar etiquetas en un registro de flujo para una interfaz de red

1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, elija Network Interfaces.3. Seleccione una interfaz de red y elija Flow Logs (Logs de flujo).4. Elija Manage tags (Administrar etiquetas) para el registro de flujo requerido.5. Para agregar una etiqueta nueva, elija Create Tag. Para quitar una etiqueta, elija el icono de

eliminación (x).6. Elija Save (Guardar).

Para agregar o quitar etiquetas en un registro de flujo para una VPC o una subred

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Your VPCs (Sus VPC) o Subnets (Subredes).3. Seleccione su VPC o subred y elija Flow Logs (Logs de flujo).4. Seleccione el registro de flujo y elija Actions (Acciones), Add/Edit Tags (Agregar o editar etiquetas).5. Para agregar una etiqueta nueva, elija Create Tag. Para quitar una etiqueta, elija el icono de

eliminación (x).6. Elija Save (Guardar).

Consultar registros de logs de flujoPuede ver los registros del registro de flujo mediante la consola de CloudWatch Logs o la consola deAmazon S3, en función del tipo de destino elegido. Puede que, después de crear su log de flujo, senecesiten unos minutos para que esté visible en la consola.

Para ver los registros de logs de flujo publicados en CloudWatch Logs

1. Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.2. En el panel de navegación, elija Logs y seleccione el grupo de logs que contiene el log de flujo.

Aparecerá una lista de flujos de log para cada interfaz de red.3. Seleccione el flujo de logs que contiene el ID de la interfaz de red para la que desea ver los registros

de logs de flujo. Para obtener más información, consulte Registros de log de flujo (p. 192).

Para ver los registros de logs de flujo publicados en Amazon S3

1. Abra la consola de Amazon S3 en https://console.aws.amazon.com/s3/.2. En Bucket name (Nombre del bucket), seleccione el bucket en el que se van a publicar los logs de

flujo.3. En Name (Nombre), active la casilla de verificación situada junto al archivo log. En el panel de

información general del objeto, elija Download (Descargar).

Búsqueda de registros de log de flujoPuede buscar los registros de log de flujo que se publican en CloudWatch Logs mediante la consola deCloudWatch Logs. Puede utilizar filtros de métricas para filtrar registros de log de flujo. Los registros de logde flujo están delimitados por espacios.

Para buscar registros de log de flujo mediante la consola de CloudWatch Logs

1. Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.

213




https://console.aws.amazon.com/s3/

https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/FilterAndPatternSyntax.html



2. En el panel de navegación, elija Grupos de registros y seleccione el grupo de registros que contiene elregistro de flujo. Aparecerá una lista de flujos de log para cada interfaz de red.

3. Seleccione la secuencia de registro individual si conoce la interfaz de red que está buscando. Otraopción, elija Buscar en el grupo de registros para buscar en todo el grupo de registros. Esto puedetardar algún tiempo si hay muchas interfaces de red en el grupo de registro o en función del intervalode tiempo que seleccione.

4. En Filtrar los eventos, escriba la siguiente cadena. Esto supone que el registro de log de flujo utiliza elformato predeterminado (p. 193).

[version, accountid, interfaceid, srcaddr, dstaddr, srcport, dstport, protocol, packets, bytes, start, end, action, logstatus]

5. Modifique el filtro según sea necesario especificando valores para los campos. En los siguientesejemplos se filtra por direcciones IP de origen específicas.

[version, accountid, interfaceid, srcaddr = 10.0.0.1, dstaddr, srcport, dstport, protocol, packets, bytes, start, end, action, logstatus][version, accountid, interfaceid, srcaddr = 10.0.2.*, dstaddr, srcport, dstport, protocol, packets, bytes, start, end, action, logstatus]

En los siguientes ejemplos se filtra por puerto de destino, el número de bytes y si se ha rechazado eltráfico.

[version, accountid, interfaceid, srcaddr, dstaddr, srcport, dstport = 80 || dstport = 8080, protocol, packets, bytes, start, end, action, logstatus][version, accountid, interfaceid, srcaddr, dstaddr, srcport, dstport = 80 || dstport = 8080, protocol, packets, bytes >= 400, start, end, action = REJECT, logstatus]

Eliminar un log de flujoPuede eliminar un registro de flujo utilizando las consolas de Amazon EC2 y Amazon VPC.

Note

Estos procedimientos deshabilitan el servicio de logs de flujo para un recurso. Cuando se eliminaun registro de flujo, no se eliminan los flujos de registro existentes de CloudWatch Logs ni losarchivos log de Amazon S3. Los datos de los logs de flujo existentes deben eliminarse con laconsola del servicio correspondiente. Asimismo, cuando se elimina un log de flujo que publicadatos en Amazon S3, no se eliminan las políticas del bucket ni las listas de control de acceso(ACL) de los archivos log.

Para eliminar un log de flujo para una interfaz de red

1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, elija Network Interfaces y seleccione la interfaz de red.3. Elija Flow Logs (Logs de flujo) y, a continuación, elija el botón de eliminación (una cruz) para el log de

flujo que desea eliminar.4. En el cuadro de diálogo de confirmación, elija Yes, Delete.

Para eliminar un log de flujo para una VPC o subred

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Your VPCs (Sus VPC) o Subnets (Subredes) y, a continuación,

seleccione el recurso.

214




3. Elija Flow Logs (Logs de flujo) y, a continuación, elija el botón de eliminación (una cruz) para el log deflujo que desea eliminar.

4. En el cuadro de diálogo de confirmación, elija Yes, Delete.

Información general de la API y de la CLIPuede realizar las tareas descritas en esta página utilizando la línea de comandos o al API. Para obtenermás información acerca de las interfaces de la línea de comandos, junto con una lista de las acciones deAPI disponibles, consulte Acceso a Amazon VPC (p. 1).

Crear un log de flujo

• create-flow-logs (AWS CLI)• New-EC2FlowLog (Herramientas de AWS para Windows PowerShell)• CreateFlowLogs (API de consulta de Amazon EC2)

Descripción de sus logs de flujo

• describe-flow-logs (AWS CLI)• Get-EC2FlowLog (Herramientas de AWS para Windows PowerShell)• DescribeFlowLogs (API de consulta de Amazon EC2)

Visualización de sus registros de logs de flujo (eventos de log)

• get-log-events (AWS CLI)• Get-CWLLogEvent (Herramientas de AWS para Windows PowerShell)• GetLogEvents (API de CloudWatch)

Eliminación de un log de flujo

• delete-flow-logs (AWS CLI)• Remove-EC2FlowLog (Herramientas de AWS para Windows PowerShell)• DeleteFlowLogs (API de consulta de Amazon EC2)

Solución de problemasA continuación se indican los posibles problemas que pueden surgir al trabajar con registros de flujo.

Problemas• Registros de logs de flujo incompletos (p. 215)• El log de flujo está activo, pero no hay registros de logs de flujo ni grupo de logs (p. 216)• Error 'LogDestinationNotFoundException' o 'Access Denied for LogDestination' (p. 216)• Superar el límite de la política del bucket de Amazon S3 (p. 217)

Registros de logs de flujo incompletosProblema

Sus registros de flujo están incompletos o ya no se publican.

215


https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2FlowLog.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-flow-logs.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2FlowLog.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeFlowLogs.html

https://docs.aws.amazon.com/cli/latest/reference/logs/get-log-events.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Get-CWLLogEvent.html

https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogEvents.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-flow-logs.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2FlowLog.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DeleteFlowLogs.html


Causa

Puede que haya un problema con la entrega de registros de flujo al grupo de registros de CloudWatchLogs.

Solución

En la consola de Amazon EC2 o de Amazon VPC, elija la pestaña Flow Logs (Registros de flujo) delrecurso correspondiente. Para obtener más información, consulte Consultar logs de flujo (p. 212). Latabla de logs de flujo muestra los errores en la columna Status. De forma alternativa, puede utilizar elcomando describe-flow-logs y comprobar el valor devuelto en el campo DeliverLogsErrorMessage.Puede que se muestre uno de los siguientes errores:

• Rate limited: este error puede suceder si se ha aplicado una limitación controlada de CloudWatchLogs (cuando el número de registros de flujo de una interfaz de red es superior al número máximo deregistros que se pueden publicar en un tiempo determinado). Este error también se puede producirsi ha alcanzado la cuota del número de grupos de logs de CloudWatch Logs que puede crear. Paraobtener más información, consulte Cuotas de servicio de CloudWatch en la Guía del usuario de AmazonCloudWatch.

• Access error: este error puede producirse por las razones siguientes:• El rol de IAM de su log de flujo no tiene permisos suficientes para publicar registros de logs de flujo en

el grupo de logs de CloudWatch.• El rol de IAM no tiene una relación de confianza con el servicio de logs de flujo• La relación de confianza no especifica el servicio de logs de flujo como elemento principal

Para obtener más información, consulte Roles de IAM para publicar registros de flujo en CloudWatchLogs (p. 202).

• Unknown error: se ha producido un error interno en el servicio de logs de flujo.

El log de flujo está activo, pero no hay registros de logs de flujo nigrupo de logsProblema

Ha creado un registro de flujo y la consola de Amazon VPC o Amazon EC2 muestra el registro de flujocomo Active. Sin embargo, no puede ver los flujos de registros de CloudWatch Logs; ni los archivos deregistro de su bucket de Amazon S3.

Causa

Esto puede deberse a una de las siguientes causas:

• El log de flujo sigue en proceso de creación. En algunos casos, pueden necesitarse diez minutos o másdespués de crear el log de flujo para que se cree el grupo de logs y para que se muestren los datos.

• Aún no se ha registrado tráfico en sus interfaces de red. El grupo de logs de CloudWatch Logs solo secrea cuando se ha registrado tráfico.

Solución

Espere unos minutos a que se cree el grupo de registros o a que se registre el tráfico.

Error 'LogDestinationNotFoundException' o 'Access Denied forLogDestination'Problema

216

https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-flow-logs.html

https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/cloudwatch_limits.html

Amazon Virtual Private Cloud Guía del usuarioPrácticas recomendadas

Aparece un error Access Denied for LogDestination o un errorLogDestinationNotFoundException cuando intenta crear un log de flujo.

Causa

Estos errores podrían aparecer al crear un log de flujo que publique datos en un bucket de Amazon S3.Este error indica que no se pudo encontrar el bucket de S3 especificado o que hay un problema con lapolítica de bucket.

Solución

Aplique alguna de las siguientes acciones:

• Asegúrese de que ha especificado el ARN de un bucket de S3 existente y de que el ARN tiene elformato correcto.

• Si no es propietario del bucket de S3, compruebe que la política de bucket (p. 207) tiene permisossuficientes para publicar registros en él. En la política de bucket, compruebe el ID de cuenta y el nombredel bucket.

Superar el límite de la política del bucket de Amazon S3Problema

Cuando intenta crear un registro de flujo, obtiene el siguiente mensaje de error:LogDestinationPermissionIssueException.

Causa

Las políticas de bucket de Amazon S3 tienen un límite de tamaño de 20 KB.

Cada vez que crea un log de flujo que publica en un bucket de Amazon S3, añadimos automáticamenteel ARN de bucket especificado, que incluye la ruta de la carpeta, al elemento Resource de la política delbucket.

La creación de varios registros de flujo que publican en el mismo bucket podría provocar que se superarael límite de la política de bucket.

Solución


• Limpie la política del bucket eliminando las entradas del registro de flujo que ya no se necesitan.• Otorgue permisos a todo el bucket reemplazando las entradas individuales del log de flujo por las

siguientes:

arn:aws:s3:::bucket_name/*

Si concede permisos a todo el bucket, las nuevas suscripciones de registro de flujo no añaden nuevospermisos a la política de bucket.

Prácticas recomendadas de seguridad de la VPCLas siguientes prácticas recomendadas son directrices generales y no suponen una solución de seguridadcompleta. Puesto que es posible que estas prácticas recomendadas no sean adecuadas o suficientes parael entorno, considérelas como consideraciones útiles en lugar de como normas.

217

Amazon Virtual Private Cloud Guía del usuarioRecursos adicionales

Las siguientes son prácticas recomendadas generales:

• Utilice varias implementaciones de zonas de disponibilidad para disfrutar de una alta disponibilidad.• Utilice grupos de seguridad y ACL de red. Para obtener más información, consulte Grupos de seguridad

de su VPC (p. 165) y ACL de red (p. 174).• Utilice políticas de IAM para controlar el acceso.• Use Amazon CloudWatch para supervisar los componentes de la VPC y las conexiones de la VPN.• Use registros de flujo de la VPC para capturar información acerca del tráfico IP entrante y saliente de las

interfaces de red en su VPC. Para obtener más información, consulte Logs de flujo de VPC (p. 190).

Recursos adicionales• Administre el acceso a los recursos y las API de AWS mediante las identidades federadas, los usuarios

de IAM y los roles de IAM. Defina políticas y procedimientos de administración de credenciales paracrear, distribuir, rotar y revocar credenciales de acceso de AWS. Para obtener más información, consultePrácticas recomendadas de IAM en la Guía del usuario de IAM.

• Para obtener respuestas a las preguntas frecuentes sobre seguridad de VPC, consulte las preguntasfrecuentes de Amazon VPC.

218

https://docs.aws.amazon.com/IAM/latest/UserGuide/IAMBestPractices.html

https://aws.amazon.com/vpc/faqs/

https://aws.amazon.com/vpc/faqs/

Amazon Virtual Private Cloud Guía del usuarioInterfaces de red

Componentes de redes de VPCPuede utilizar los siguientes componentes para configurar las redes en su VPC.

Temas• Interfaces de red elásticas (p. 219)• Tablas de ruteo (p. 220)• Listas de prefijos (p. 244)• Puertos de enlace a internet (p. 252)• Gateways de Internet de solo salida (p. 258)• Gateways de operador (p. 261)• NAT (p. 267)• Conjuntos de opciones de DHCP (p. 297)• Utilizar DNS con su VPC (p. 302)• Interconexión con VPC (p. 307)• Direcciones IP elásticas (p. 307)• ClassicLink (p. 312)

Interfaces de red elásticasUna interfaz de red elástica (en esta documentación denominada interfaz de red) es una interfaz de redvirtual que puede incluir los atributos siguientes:

• Una dirección IPv4 privada principal• Una o varias direcciones IPv4 privadas secundarias• Una dirección IP elástica por dirección IPv4 privada• Una dirección IPv4 pública, que puede asignarse automáticamente a la interfaz de red para eth0 al

lanzar la instancia• Una o varias direcciones IPv6• Uno o varios grupos de seguridad• Una dirección MAC• Una marca de comprobación de origen/destino• Una descripción

Puede crear una interfaz de red, adjuntarla a una instancia y separarla y adjuntarla a otra instancia. Losatributos de una interfaz de red le siguen cuando se adjuntan y separan de una instancia y se vuelven aadjuntar a otra instancia. Cuando mueve una interfaz de red de una instancia a otra, el tráfico de la red seredirige a la nueva instancia.

Cada instancia de su VPC tiene una interfaz de red predeterminada (interfaz de red principal) que tieneasignada una dirección IPv4 privada del rango de direcciones IPv4 de su VPC. No se puede separar unainterfaz de red principal de una instancia. Puede crear y adjuntar una interfaz de red adicional a cualquierinstancia de su VPC. El número total de interfaces de red que puede adjuntar varía en función del tipo deinstancia. Para obtener más información, consulte Direcciones IP por interfaz de red por tipo de instanciaen la Guía del usuario de Amazon EC2 para instancias de Linux.

Conectar varias interfaces de red a una instancia es útil cuando quiere:

219


Amazon Virtual Private Cloud Guía del usuarioTablas de ruteo

• Crear una red de administración.• Usar dispositivos de seguridad y redes en la VPC.• Crear instancias de doble alojamiento con cargas de trabajo/funciones en subredes diferentes.• Crear una solución de bajo presupuesto y elevada disponibilidad.

Para obtener más información acerca de las interfaces de red e instrucciones acerca de su uso con laconsola de Amazon EC2, consulte Interfaces de redes elásticas en la Guía del usuario de Amazon EC2para instancias de Linux.

Tablas de ruteoLas tablas de ruteo contienen conjuntos de reglas, denominadas rutas, que se usan para determinaradónde se dirige el tráfico de red desde su subred o gateway.

Contenido• Conceptos de las tablas de enrutamiento (p. 220)• Cómo funcionan las tablas de enrutamiento (p. 221)• Prioridad de la ruta (p. 227)• Opciones de enrutamiento de ejemplo (p. 228)• Uso de las tablas de enrutamiento (p. 236)

Conceptos de las tablas de enrutamientoA continuación se enumeran los conceptos clave de las tablas de ruteo.

• Tabla de ruteo principal: la tabla de ruteo que viene de forma automática con su VPC. Controla eldireccionamiento de todas las subredes que no están explícitamente asociadas a ninguna otra tabla deruteo.

• Tabla de ruteo personalizada: una tabla de ruteo que se crea para la VPC.• Asociación perimetral : tabla de ruteo que se utiliza para dirigir el tráfico de VPC entrante a un

dispositivo. Asocie una tabla de ruteo a la gateway de Internet o a la gateway privada virtual yespecifique la interfaz de red del dispositivo como objetivo para el tráfico de la VPC.

• Asociación de tabla de ruteo: la asociación entre una tabla de ruteo y una subred, gateway de Internet ogateway privada virtual.

• Tabla de ruteo de subred: una tabla de ruteo asociada a una subred.• Tabla de ruteo de gateway: tabla de ruta asociada a una gateway de Internet o gateway privada virtual.• Tabla de ruteo de gateway local: una tabla de ruteo asociada a una gateway local de Outpost. Para

obtener más información sobre las gateways locales, consulte Gateways locales en la Guía del usuariode AWS Outposts.

• Destination (Destino) Rango de direcciones IP a las que desea que vaya el tráfico (CIDR de destino). Porejemplo, una red corporativa externa con un CIDR 172.16.0.0/12.

• Propagación: la propagación de rutas permite que una gateway privada virtual propague rutasautomáticamente a las tablas de enrutamiento. Esto significa que no es necesario introducirmanualmente rutas de VPN en las tablas de ruteo. Para obtener más información sobre las opciones deenrutamiento de VPN, consulte Opciones de enrutamiento de Site-to-Site VPN en la Guía del usuario deSite-to-Site VPN.

• Target (Objetivo): Puerta de enlace, interfaz de red o conexión a través de la cual enviar el tráfico dedestino; por ejemplo, una gateway de internet.

220


https://docs.aws.amazon.com/outposts/latest/userguide/outposts-local-gateways.html

https://docs.aws.amazon.com/vpn/latest/s2svpn/VPNRoutingTypes.html

Amazon Virtual Private Cloud Guía del usuarioCómo funcionan las tablas de enrutamiento

• Ruta local: ruta predeterminada para la comunicación dentro de la VPC.

Por ver opciones de enrutamiento de ejemplo, consulte the section called “Opciones de enrutamiento deejemplo” (p. 228).

Cómo funcionan las tablas de enrutamientoSu VPC tiene un enrutador implícito y utiliza las tablas de ruteo para controlar dónde se dirige el tráfico dered. Cada subred de la VPC debe estar asociada a una tabla de ruteo que controla el direccionamientode la subred (tabla de ruteo de la subred). Puede asociar de forma explícita una subred con una tabla deruteo particular. De lo contrario, la subred se asocia de forma implícita con la tabla de ruteo principal. Lasubred solo puede asociarse a una tabla de ruteo a la vez. Sin embargo, puede asociar varias subredes ala misma tabla de ruteo de la subred.

Puede asociar de forma opcional una tabla de ruteo a una gateway de Internet o a una gateway privadavirtual (tabla de ruteo de gateway). Esto le permite especificar reglas de direccionamiento para el tráficoque entra en su VPC a través de la gateway. Para obtener más información, consulte Tablas de ruteo degateway (p. 226).

Existe una cuota en el número de tablas de ruteo que puede crear por VPC. Existe también una cuota enel número de rutas que puede añadir por tabla de ruteo. Para obtener más información, consulte Cuotas deAmazon VPC (p. 378).

Temas• Rutas (p. 221)• Tabla de enrutamiento principal (p. 222)• Tablas de enrutamiento personalizadas (p. 223)• Asociar una subred a la tabla de enrutamiento (p. 223)• Tablas de ruteo de gateway (p. 226)

RutasCada ruta en una tabla especifica un destino y un objetivo. Por ejemplo, para permitir que su subredacceda a Internet a través de una gateway de Internet, añada la siguiente ruta a su tabla de ruteo de lasubred.

Destino Objetivo

0.0.0.0/0 igw-12345678901234567

El destino de la ruta es 0.0.0.0/0, que representa todas las direcciones IPv4. El objetivo es la gatewayde Internet que se conecta a su VPC.

Los bloques de CIDR para las direcciones IPv4 e IPv6 se tratan de forma individual. Por ejemplo, una rutacon un CIDR de destino de 0.0.0.0/0 no incluye de forma automática todas las direcciones IPv6. Porello, debe crear una ruta con un CIDR de destino de ::/0 para todas las direcciones IPv6.

Cada tabla de ruteo contiene una ruta local para la comunicación con la VPC. Esta ruta se agrega de formapredeterminada a todas las tablas de ruteo. Si la VPC tiene varios bloques de CIDR IPv4, las tablas deruteo contienen una ruta local para CAD bloque de CIDR IPv4. Si ha asociado un bloque de CIDR IPv6 asu VPC, las tablas de ruteo contendrán una ruta local para el bloque de CIDR IPv6. No puede modificar nieliminar estas rutas en una tabla de ruteo de la subred o en la tabla de ruteo principal.

221


Para obtener más información acerca de las rutas y las rutas locales en una tabla de ruteo de la gateway,consulte Tablas de ruteo de gateway (p. 226).

Si su ruta tiene varias rutas, para determinar cómo dirigir tráfico, se utiliza la ruta más específica quecoincida con el tráfico en cuestión (coincidencia del prefijo más largo).

En el siguiente ejemplo, se ha asociado un bloque de CIDR IPv6 a su VPC. En su tabla de ruteo:

• El tráfico IPv6 destinado a permanecer en la VPC (2001:db8:1234:1a00::/56) se gestiona con laruta Local y se direcciona dentro de la VPC.

• El tráfico IPv4 e IPv6 se trata de manera individual; por lo tanto, todo el tráfico IPv6 (excepto el tráfico dela VPC) se direcciona a la gateway de Internet solo de salida.

• Hay una ruta para el tráfico IPv4 172.31.0.0/16 que apunta a una interconexión.• Hay una ruta para todo el tráfico IPv4 (0.0.0.0/0) que apunta a una gateway de Internet.• Hay una ruta para todo el tráfico IPv6 (::/0) que apunta a una gateway de Internet de solo salida.

Destino Objetivo

10.0.0.0/16 Local

2001:db8:1234:1a00::/56 Local

172.31.0.0/16 pcx-11223344556677889

0.0.0.0/0 igw-12345678901234567

::/0 eigw-aabbccddee1122334

Si hace referencia con frecuencia al mismo conjunto de bloques CIDR en sus recursos de AWS, puedecrear una lista de prefijos administrada por el cliente (p. 244) para agruparlos. A continuación, puedeespecificar la lista de prefijos como destino en la entrada de la tabla de ruteo.

Tabla de enrutamiento principalAl crear una VPC, esta cuenta de manera automática con una tabla de ruteo principal. La tabla de ruteoprincipal controla el direccionamiento de todas las subredes que no están explícitamente asociadas aninguna otra tabla de ruteo. En la página Route Tables (Tablas de ruteo) de la consola de Amazon VPC,podrá ver la tabla de ruteo principal de las VPC si busca el valor Yes (Sí) en la columna Main (Principal).

De forma predeterminada, cuando se crea una VPC no predeterminada, la tabla de ruteo principalcontiene sólo una ruta local. Cuando utiliza el asistente de la VPC en la consola para crear una VPC nopredeterminada con una gateway NAT o una gateway privada virtual, el asistente añade de forma automática rutas a la tabla de ruteo principal para esas gateways.

De este modo, podrá añadir, quitar y modificar rutas en la tabla de ruteo principal. No puede crear una rutamás específica que la ruta local. No puede eliminar la tabla de ruteo principal, pero puede sustituir la tablade ruteo principal por una tabla de ruteo de la subred personalizada que haya creado. No puede estableceruna tabla de ruteo de gateway como la tabla de ruta principal.

También podrá asociar de manera explícita una subred a la tabla de ruteo principal incluso si ya estáasociada de manera implícita. Es posible que desee hacerlo si cambia qué tabla es la tabla de ruteoprincipal. Cuando modifica la tabla que se considerará como tabla de ruteo principal, también modificala opción predeterminada de las nuevas subredes adicionales o para las subredes que no estánexplícitamente asociadas a ninguna otra tabla de ruteo. Para obtener más información, consulte Sustituir latabla de enrutamiento principal (p. 241).

222


Tablas de enrutamiento personalizadasDe forma predeterminada, una tabla de ruteo personalizada está vacía y agrega rutas según seanecesario. Cuando utiliza el asistente de la VPC en la consola para crear una VPC con una gatewayde Internet, el asistente crea una tabla de ruteo personalizada y agrega una ruta a la gateway deInternet. Una forma de proteger la VPC es dejar la tabla de ruteo principal en su estado predeterminadooriginal. Después, asocie de forma explícita cada nueva subred que cree a una de las tablas de ruteopersonalizadas que haya creado. De este modo, se asegurará de que controla de manera explícita elmodo en que cada subred direcciona el tráfico.

De este modo, podrá añadir, quitar y modificar rutas en la tabla de ruteo personalizada. Sólo puedeeliminar una tabla de ruteo personalizada si no tiene asociaciones.

Asociar una subred a la tabla de enrutamientoCada subred de su VPC debe estar asociada a una tabla de ruteo. Una subred se puede asociar de formaexplícita a la tabla de ruteo personalizada o de manera implícita o explícita a la tabla de ruteo principal.Para obtener más información sobre la visualización de las asociaciones de la subred y la tabla de ruteo,consulte Determinar las subredes y/o gateways asociadas explícitamente a una tabla (p. 237).

Las subredes que se encuentran en VPC asociadas a Outposts pueden tener un tipo de objetivo adicionalde una gateway local. Esta es la única diferencia de direccionamiento con respecto a las subredes que noson de Outposts.

No se puede asociar una subred a una tabla de ruteo si se aplica alguna de las siguientes condiciones:

• La tabla de ruteo contiene una ruta existente que es más específica que la ruta local predeterminada.• Se ha sustituido el objetivo de la ruta local predeterminada.

Ejemplo 1: asociación implícita y explícita de la subred

El diagrama siguiente muestra el direccionamiento de una VPC con una gateway de Internet, una gatewayprivada virtual, una subred pública y una subred de solo VPN. La tabla de ruteo principal tiene una rutaa la gateway privada virtual. La subred pública tiene asociada de forma explícita una tabla de ruteopersonalizada. La tabla de ruteo personalizada tiene una ruta hacia Internet (0.0.0.0/0) a través de lagateway de Internet.

223


Si crea una nueva subred en esta VPC, esta se asociará automáticamente de forma implícita a la tabla deruteo principal que dirige tráfico a la gateway privada virtual. Si establece la configuración inversa (en laque la tabla de ruteo principal tiene una ruta a la gateway de Internet y la tabla de ruteo personalizada tieneuna ruta a la gateway privada virtual), la nueva subred tendría que disponer de manera automática de unaruta a la gateway de Internet.

Ejemplo 2: sustitución de la tabla de enrutamiento principal

Es posible que desee realizar cambios en la tabla de ruteo principal. Para evitar cualquier interrupciónen el tráfico, le recomendamos que pruebe primero los cambios de la ruta mediante una tabla de ruteopersonalizada. De este modo, cuando esté satisfecho con las pruebas, puede sustituir la tabla de ruteoprincipal con la nueva tabla personalizada.

El diagrama siguiente muestra una VPC con dos subredes asociadas de manera implícita a una tablade ruteo principal (tabla de ruteo A) y una tabla de ruteo personalizada (tabla de ruteo B) que no estáasociada a ninguna subred.

224


Puede crear una asociación explícita entre la subred 2 y la tabla de ruteo B.

Una vez probada la tabla de ruteo B, podrá convertirla en tabla de ruteo principal. Tenga en cuenta que lasubred 2 aún tiene una asociación explícita con la tabla de ruteo B y que la subred 1 tiene una asociaciónimplícita con la tabla de ruteo B porque es la nueva tabla de ruteo principal. La tabla de ruteo A ha dejadode utilizarse.

Si desasocia la subred 2 de la tabla de ruteo B, seguirá existiendo una asociación implícita entre la subred2 y la tabla de ruteo B. Por lo tanto, si ya no necesita la tabla de ruteo A, puede eliminarla.

225


Tablas de ruteo de gatewayPuede asociar una tabla de ruteo a una gateway de Internet o a una gateway privada virtual. Cuando unatabla de ruteo está asociada a una gateway, se denomina tabla de ruteo de gateway. Puede crear unatabla de ruteo de gateway para el control detallado de la vía de direccionamiento del tráfico que entra a suVPC. Por ejemplo, puede interceptar el tráfico que entra en la VPC a través de una gateway de Internetredirigiendo ese tráfico a un dispositivo middlebox (como un dispositivo de seguridad) de la VPC.

Una tabla de enrutamiento de gateway admite rutas en las que el destino es local (la ruta localpredeterminada) o una interfaz de red elástica (interfaz de red) en la VPC que está asociada al dispositivomiddlebox. Cuando el objetivo es una interfaz de red, se permiten los siguientes destinos:

• Todo el bloque de CIDR IPv4 o IPv6 de su VPC. En este caso, sustituye el objetivo de la ruta localpredeterminada.

• Todo el bloque de CIDR IPv4 o IPv6 de una subred en su VPC. Es una ruta más específica que la rutapredeterminada local.

Si cambia el objetivo de la ruta local en una tabla de ruteo de gateway a una interfaz de red en su VPC,puede restaurarlo más adelante al objetivo local predeterminado. Para obtener más información,consulte Reemplazar y restaurar el destino de una ruta local (p. 242).

En la siguiente tabla de ruteo de gateway, el tráfico destinado a una subred con el bloque de CIDR172.31.0.0/20 se direcciona a una interfaz de red específica. El tráfico destinado a todas las demássubredes de la VPC utiliza la ruta local.

Destino Objetivo

172.31.0.0/16 Local

172.31.0.0/20 eni-id

En la siguiente tabla de ruteo de gateway, el objetivo de la ruta local se sustituye por un ID de interfaz dered. El tráfico destinado a todas las subredes de la VPC se direcciona a la interfaz de red.

Destino Objetivo

172.31.0.0/16 eni-id

226

Amazon Virtual Private Cloud Guía del usuarioPrioridad de la ruta

Reglas y consideraciones

No se puede asociar una tabla de ruteo con una gateway si se aplica alguna de las siguientes condiciones:

• La tabla de ruteo contiene rutas existentes con objetivos distintos a una interfaz de red o la ruta localpredeterminada.

• La tabla de ruteo contiene rutas existentes a los bloques de CIDR fuera de los rangos de la VPC.• La propagación de rutas está habilitada para la tabla de ruteo.

Además, se aplican las siguientes reglas y consideraciones:

• No puede agregar rutas a ningún bloque de CIDR fuera de los rangos de la VPC, incluidos rangosmayores que los bloques de CIDR de VPC individuales.

• Sólo se puede especificar local o una interfaz de red como destino. No puede especificar ningún otrotipo de destino, incluidas las direcciones IP de host individuales.

• No se puede especificar una lista de prefijos como destino.• No puede utilizar una tabla de ruteo de gateway para controlar o interceptar el tráfico fuera de la VPC,

por ejemplo, el tráfico a través de una gateway de tránsito conectada. Puede interceptar el tráfico queentra en la VPC y redirigirlo a otro objetivo en la misma VPC solamente.

• Para asegurarse de que el tráfico llega al dispositivo middlebox, la interfaz de red de destino debe estarasociada a una instancia en ejecución. Para el tráfico que fluye a través de una gateway de Internet, lainterfaz de red de destino también debe tener una dirección IP pública.

• Al configurar el dispositivo Middlebox, tenga en cuenta las consideraciones del dispositivo (p. 234).• Al enrutar el tráfico a través de un dispositivo Middlebox, el tráfico de retorno de la subred de destino

debe enrutarse a través del mismo dispositivo. No se admite el enrutamiento asimétrico.

Para obtener un ejemplo de enrutamiento para un dispositivo de seguridad, consulte Enrutar para undispositivo middlebox en su VPC (p. 234).

Prioridad de la rutaPara determinar cómo dirigir tráfico, se utiliza la ruta más específica de su tabla de ruteo que coincida conel tráfico en cuestión (coincidencia del prefijo más largo).

Las rutas a direcciones IPv4 e IPv6 o bloques de CIDR son independientes entre sí. Para determinar cómodirigir tráfico, se usa la ruta más específica que coincida con el tráfico de IPv4 o IPv6 en cuestión.

Por ejemplo, la siguiente tabla de ruteo de la subred tiene una ruta para el tráfico de Internet IPv4(0.0.0.0/0), que apunta a una gateway de Internet y una ruta para el tráfico IPv4 172.31.0.0/16 queapunta a una interconexión (pcx-11223344556677889). El tráfico de la subred cuyo destino sea el rangode direcciones IP 172.31.0.0/16 utiliza la interconexión, ya que esta ruta es más específica que la rutapara la gateway de Internet. El tráfico cuyo destino se encuentre en la VPC (10.0.0.0/16) se gestionacon la ruta Local y, por lo tanto, se direcciona dentro de la VPC. El resto de tráfico de la subred usa lagateway de Internet.

Destino Objetivo

10.0.0.0/16 Local

172.31.0.0/16 pcx-11223344556677889

0.0.0.0/0 igw-12345678901234567

227

Amazon Virtual Private Cloud Guía del usuarioOpciones de enrutamiento de ejemplo

Si ha asociado una gateway privada virtual a su VPC y ha habilitado la propagación de rutas en la tabla deruteo de la subred, las rutas que representen la conexión de Site-to-Site VPN aparecerán automáticamentecomo rutas propagadas en la tabla de ruteo. Si las rutas propagadas se superponen con rutas estáticasy no se puede aplicar la coincidencia con el prefijo de mayor longitud, las rutas estáticas tienen prioridadsobre las rutas propagadas. Para obtener más información, consulte Tablas de enrutamiento y prioridad delas rutas de VPN en la Guía del usuario de AWS Site-to-Site VPN.

En este ejemplo, la tabla de ruteo tiene una ruta estática a una gateway de Internet (añadidamanualmente) y una ruta propagada a una gateway privada virtual. Ambas rutas tienen el destino172.31.0.0/24. En este caso, todo el tráfico con destino 172.31.0.0/24 se dirige a la gateway deInternet, ya que se trata de una ruta estática con prioridad sobre la ruta propagada.

Destino Objetivo

10.0.0.0/16 Local

172.31.0.0/24 vgw-11223344556677889 (propagada)

172.31.0.0/24 igw-12345678901234567 (estática)

La misma regla se aplica si la tabla de ruteo contiene una ruta estática a cualquiera de los siguienteselementos:

• Gateway NAT• Interfaz de red• ID de instancia• Punto de enlace de la VPC de la gateway• Gateway de tránsito• Interconexión de VPC

Si los destinos de las rutas estáticas y propagadas son los mismos, la ruta estática tiene prioridad.

Prioridad de ruta para listas de prefijosSi la tabla de ruteo hace referencia a una lista de prefijos, se aplican las siguientes reglas:

• Si la tabla de ruteo contiene una ruta estática que coincide con otra ruta que hace referencia a una listade prefijos, la ruta estática con el bloque CIDR de destino tiene prioridad.

• Si la tabla de ruteo contiene una ruta propagada que coincide con una ruta que hace referencia a unalista de prefijos, la ruta que hace referencia a la lista de prefijos tiene prioridad.

• Si la tabla de ruteo hace referencia a varias listas de prefijos que tienen bloques CIDR superpuestos adiferentes destinos, elegimos aleatoriamente qué ruta tiene prioridad. A partir de entonces, la misma rutasiempre tiene prioridad.

• Si el bloque CIDR de una entrada de lista de prefijos no es válido para la tabla de enrutamiento, se omiteese bloque CIDR. Por ejemplo, en una tabla de enrutamiento de subred, si la lista de prefijos contieneuna entrada con un CIDR más específico que el CIDR de VPC, se omite esa entrada.

Opciones de enrutamiento de ejemploLos temas siguientes describen el direccionamiento de gateways o conexiones específicas de su VPC.

Opciones

228




• Enrutar a una gateway de Internet (p. 229)• Enrutar a un dispositivo NAT (p. 229)• Enrutar a una gateway privada virtual (p. 230)• Enrutar a una gateway local de AWS Outposts (p. 230)• Enrutamiento a la gateway de operador (p. 230)• Enrutar a una interconexión de VPC (p. 231)• Direccionamiento de ClassicLink (p. 232)• Enrutar a un punto de enlace de la VPC de la gateway (p. 232)• Enrutar a la gateway de Internet de solo salida (p. 233)• Enrutar para una gateway de tránsito (p. 233)• Enrutar para un dispositivo middlebox en su VPC (p. 234)• Enrutamiento mediante una lista de prefijos (p. 236)

Enrutar a una gateway de InternetPuede convertir una subred en una subred pública añadiendo una ruta en su tabla de ruteo de la subredhacia una gateway de Internet. Para ello, cree y adjunte una gateway de Internet a su VPC. A continuación,añada una ruta con el destino 0.0.0.0/0 para el tráfico IPv4 o con el destino ::/0 para el tráfico IPv6,así como un objetivo para el ID de la gateway de Internet (igw-xxxxxxxxxxxxxxxxx).

Destino Objetivo

0.0.0.0/0 igw-id

::/0 igw-id

Para obtener más información, consulte Puertos de enlace a internet (p. 252).

Enrutar a un dispositivo NATPara habilitar instancias en una subred privada para conectarse a Internet, puede crear una gateway NATo lanzar una instancia NAT en una subred pública. A continuación, agregue una ruta para la tabla de ruteode la subred privada que dirija el tráfico de Internet de IPv4 (0.0.0.0/0) al dispositivo NAT.

Destino Objetivo


También puede crear rutas más específicas a otros objetivos para evitar cargos innecesarios deprocesamiento de datos innecesarios por utilizar la gateway NAT o para dirigir el tráfico de forma privada.En el ejemplo siguiente, el tráfico de Amazon S3 (pl-xxxxxxxx; un intervalo de direcciones IP específicopara Amazon S3) se dirige al punto de enlace de la VPC de la gateway y el tráfico 10.25.0.0/16 se dirige auna interconexión de VPC. Los rangos de direcciones IP pl-xxxxxxxx y 10.25.0.0/16 son más específicosque 0.0.0.0/0. Cuando las instancias envían tráfico a Amazon S3 o a la VPC del mismo nivel, el tráfico seenvía punto de enlace de la VPC de la gateway o a la interconexión de VPC. El resto del tráfico se envía ala gateway NAT.

Destino Objetivo


229


Destino Objetivo

pl-xxxxxxxx vpce-id

10.25.0.0/16 pcx-id

Para obtener más información, consulte Gateways NAT (p. 268) y Instancias NAT (p. 287). Losdispositivos NAT No se pueden utilizar para el tráfico IPv6.

Enrutar a una gateway privada virtualPuede utilizar una conexión de AWS Site-to-Site VPN para permitir que las instancias de su VPC secomuniquen con su propia red. Para ello, cree y adjunte una gateway privada virtual a su VPC. Acontinuación, agregue una ruta en la tabla de ruteo de subred con el destino de la red y un objetivo de lagateway privada virtual (vgw-xxxxxxxxxxxxxxxxx).

Destino Objetivo

10.0.0.0/16 vgw-id

A continuación podrá crear y configurar su conexión de Site-to-Site VPN. Para obtener más información,consulte ¿Qué es AWS Site-to-Site VPN? y Tablas de enrutamiento y prioridad de las rutas de VPN en laGuía del usuario de AWS Site-to-Site VPN.

Una conexión Site-to-Site VPN en una gateway privada virtual no admite tráfico IPv6. Sin embargo, sí quese admite el direccionamiento de tráfico IPv6 a través de gateways privadas virtuales a conexiones deAWS Direct Connect. Para obtener más información, consulte Guía del usuario de AWS Direct Connect.

Enrutar a una gateway local de AWS OutpostsLas subredes que se encuentran en VPC asociadas a AWS Outposts pueden tener un tipo de objetivoadicional de una gateway local. Tenga en cuenta el caso en el que desea que la gateway local dirija eltráfico con una dirección de destino de 192.168.10.0/24 a la red del cliente. Para ello, añada la siguienteruta con la red de destino y un objetivo de la gateway local (lgw-xxxx).

Destino Objetivo

192.168.10.0/24 lgw-id

2002:bc9:1234:1a00::/56 igw-id

Enrutamiento a la gateway de operadorLas subredes que se encuentran en zonas de Wavelength pueden tener un tipo de destino adicionalde una gateway de operador. Tenga en cuenta el caso en el que desea que el tráfico de la gateway deoperador enrute todo el tráfico que no sea VPC a la red del operador. Para ello, cree y asocie una gatewayde operador a su VPC. A continuación, agregue una ruta con el destino 0.0.0.0/0 para el tráfico IPv4 ocon el destino ::/0 para el tráfico IPv6, así como un objetivo para el ID de la gateway de operador (cgw-xxxxxxxxxxxxxxxxx).

Destino Objetivo

192.168.10.0/24 lgw-id

230





Destino Objetivo

2002:bc9:1234:1a00::/56 igw-id

Enrutar a una interconexión de VPCUna interconexión de VPC es una conexión de redes entre dos VPC que permite direccionar el tráfico entreellas mediante direcciones IPv4 privadas. Las instancias de ambas VPC se pueden comunicar entre sí siforman parte de la misma red.

Para permitir el direccionamiento de tráfico entre VPC en una interconexión de VPC, debe añadir una rutahacia una o varias tabas de ruteo de la subred que apunten a la interconexión de VPC. Esto le permiteacceder a todo o a parte del bloque de CIDR de la otra VPC en la interconexión. Del mismo modo, elpropietario de la otra VPC deberá añadir una ruta a sus tablas de ruteo de la subred para direccionar eltráfico de vuelta a su VPC.

Supongamos que, por ejemplo, tiene una interconexión de VPC (pcx-11223344556677889) entre dosVPC con la información siguiente:

• VPC A: bloque de CIDR 10.0.0.0/16• VPC B: bloque de CIDR 172.31.0.0/16

Para permitir el tráfico entre las VPC y facilitar el acceso a la totalidad del bloque de CIDR IPv4 de ambasVPC, la tabla de ruteo de la VPC A debe configurarse como se indica a continuación.

Destino Objetivo

10.0.0.0/16 Local

172.31.0.0/16 pcx-11223344556677889

La tabla de ruteo de la VPC B debe configurarse como se indica a continuación.

Destino Objetivo

172.31.0.0/16 Local

10.0.0.0/16 pcx-11223344556677889

La interconexión de la VPC también puede admitir la comunicación IPv6 entre instancias en las VPC, silas VPC y las instancias admiten la comunicación IPv6. Para obtener más información, consulte VPC ysubredes (p. 91). Para permitir el direccionamiento de tráfico IPv6 entre las VPC, debe añadir una ruta a latabla de ruteo que apunte a la interconexión de la VPC para, de este modo, obtener acceso a la totalidad oa parte del bloque de CIDR IPv6 de la VPC del mismo nivel.

Supongamos que, por ejemplo, con la misma interconexión de VPC (pcx-11223344556677889) anterior,las VPC tienen la información siguiente:

• VPC A: bloque de CIDR IPv6 2001:db8:1234:1a00::/56• VPC B: bloque de CIDR IPv6 2001:db8:5678:2b00::/56

Para permitir la comunicación IPv6 a través de la interconexión de VPC, añada la ruta siguiente a la tablade ruteo de la subred para la VPC A.

231


Destino Objetivo

10.0.0.0/16 Local

172.31.0.0/16 pcx-11223344556677889

2001:db8:5678:2b00::/56 pcx-11223344556677889

Añada la siguiente ruta a la tabla de ruteo de la VPC B.

Destino Objetivo

172.31.0.0/16 Local

10.0.0.0/16 pcx-11223344556677889

2001:db8:1234:1a00::/56 pcx-11223344556677889

Para obtener más información acerca de las interconexiones de VPC, consulte la Amazon VPC PeeringGuide.

Direccionamiento de ClassicLinkClassicLink es una característica que permite vincular una instancia de EC2-Classic a unaVPC, permitiendo la comunicación entre la instancia de EC2-Classic y las instancias de la VPCmediante direcciones IPv4 privadas. Para obtener más información acerca de ClassicLink, consulteClassicLink (p. 312).

Cuando se habilita una VPC para ClassicLink, se añade una ruta a todas las tablas de ruteo de la subredcon el destino 10.0.0.0/8 y el objetivo local. Esto permite la comunicación entre las instancias dela VPC y cualquier instancia EC2-Classic vinculadas a la VPC. Si añade otra tabla de ruteo a una VPCcon ClassicLink, esta recibirá automáticamente una ruta con el destino 10.0.0.0/8 y el objetivo local.Si deshabilita ClassicLink en una VPC, esta ruta se eliminará automáticamente de todas las tablas deenrutamiento de la subred.

Si alguna de las tablas de enrutamiento de la subred tiene rutas existentes en rangos de direccionescomprendidos en el CIDR 10.0.0.0/8, no podrá activar ClassicLink en su VPC. Esto no incluye las rutaslocales de VPC con los rangos de direcciones IP 10.0.0.0/16 y 10.1.0.0/16.

Si ya tiene una VPC con ClassicLink, es posible que no pueda añadir ninguna ruta específica adicional alas tablas de ruteo para el rango de dirección IP 10.0.0.0/8.

Si modifica una interconexión de VPC para permitir la comunicación entre instancias de su VPC yuna instancia de EC2-Classic vinculada a la VPC del mismo nivel, se añadirá automáticamente unaruta estática a las tablas de ruteo con el destino 10.0.0.0/8 y el objetivo local. Si modifica unainterconexión de VPC para permitir la comunicación entre una instancia de EC2-Classic local vinculadaa su VPC e instancias de una VPC del mismo nivel, deberá añadir manualmente una ruta a la tabla deruteo principal con el bloque de CIDR de la VPC como destino y la interconexión de la VPC como objetivo.La instancia de EC2-Classic usa la tabla de ruteo principal para el direccionamiento a la VPC del mismonivel. Para obtener más información, consulte Configuraciones con ClassicLink en la Amazon VPC PeeringGuide.

Enrutar a un punto de enlace de la VPC de la gatewayUn punto de enlace de la VPC de la gateway permite crear una conexión privada entre la VPC y otrosservicios de AWS. Cuando crea un punto de enlace de la gateway, especifica las tablas de ruteo de la

232

https://docs.aws.amazon.com/vpc/latest/peering/


https://docs.aws.amazon.com/vpc/latest/peering/peering-configurations-classiclink.html


subred en su VPC que utiliza el punto de enlace de la gateway. Se añadirá automáticamente una ruta acada una de las tablas de ruteo con el ID de la lista de prefijos del servicio (pl-xxxxxxxx) como destinoy el ID del punto de conexión (vpce-xxxxxxxxxxxxxxxxx) como objetivo. No es posible eliminar nimodificar de manera explícita la ruta del punto de conexión; sin embargo, es posible cambiar las tablas deruteo que utiliza el punto de conexión.

Para obtener más información acerca del direccionamiento de los puntos de enlace y de las implicacionespara las rutas a los servicios de AWS, consulte Enrutamiento para puntos de enlace de gateway (p. 331).

Enrutar a la gateway de Internet de solo salidaPuede crear gateways de Internet de solo salida para su VPC para permitir que las instancias de subredesprivadas inicien comunicaciones salientes a Internet evitando que Internet inicie conexiones con dichasinstancias. La gateway de Internet de solo salida se utiliza únicamente para el tráfico IPv6. Para configurarel direccionamiento de la gateway de Internet de solo salida, añada una ruta a la tabla de ruteo de lasubred privada que direccione el tráfico de Internet IPv6 (::/0) a la gateway de Internet de solo salida.

Destino Objetivo

::/0 eigw-id

Para obtener más información, consulte Gateways de Internet de solo salida (p. 258).

Enrutar para una gateway de tránsitoAl vincular una VPC a una transit gateway, debe añadir una ruta a su tabla de ruteo de la subred paradirigir al tráfico a través de la transit gateway.

Considere el siguiente escenario, en el que tiene tres VPC vinculadas a una transit gateway. En esteescenario, todas las conexiones se asocian a la tabla de ruteo de transit gateway y se propagan a la tablade ruteo de transit gateway. Por lo tanto, todas las conexiones pueden dirigir paquetes entre sí y la transitgateway actúa como un simple concentrador IP de capa 3.

Supongamos que, por ejemplo, tiene dos VPC con la información siguiente:

• VPC A: 10.1.0.0/16, ID de vinculación tgw-attach-11111111111111111• VPC B: 10.2.0.0/16, ID de vinculación tgw-attach-22222222222222222

Para permitir el tráfico entre las VPC y facilitar el acceso a la transit gateway, la tabla de ruteo de la VPC Adebe configurarse como se indica a continuación.

Destino Objetivo

10.1.0.0/16 local

10.0.0.0/8 tgw-id

A continuación se muestra un ejemplo de las entradas de las tablas de ruteo de transit gateway para lasvinculaciones de VPC.

Destino Objetivo

10.1.0.0/16 tgw-attach-11111111111111111

233


Destino Objetivo

10.2.0.0/16 tgw-attach-22222222222222222

Para obtener más información acerca de las tablas de ruteo de transit gateway, consulte Ruteo enGateways de tránsito de Amazon VPC.

Enrutar para un dispositivo middlebox en su VPCPuede interceptar el tráfico que entra a la VPC a través de una gateway de Internet o una gateway privadavirtual, redirigiéndolo a un dispositivo middlebox en su VPC. Puede configurar el dispositivo para que seadapte a sus necesidades. Por ejemplo, puede configurar un dispositivo de seguridad que cribase todo eltráfico o un dispositivo de aceleración WAN. El dispositivo se implementa como instancia Amazon EC2 enuna subred de la VPC y se representa mediante una interfaz de red elástica (interfaz de red) en la subred.

Para dirigir el tráfico de VPC entrante a un dispositivo, asocie una tabla de ruteo a la gateway de Interneto a la gateway privada virtual y especifique la interfaz de red del dispositivo como objetivo para el tráficode la VPC. Para obtener más información, consulte Tablas de ruteo de gateway (p. 226). También puededirigir el tráfico saliente de la subred a un dispositivo middlebox de otra subred.

Note

Si la propagación de rutas está habilitada en la tabla de enrutamiento de la subred de destino,tenga en cuenta la prioridad de las rutas. La ruta más específica es la que tiene mayor prioridady, en caso de que coincidan, las rutas estáticas tendrán prioridad sobre las rutas propagadas.Revise las rutas para asegurarse de que el tráfico se direcciona correctamente y de que noproduzcan consecuencias no deseadas si habilita o deshabilita la propagación de rutas (porejemplo, la propagación de rutas es necesaria en una conexión AWS Direct Connect que admitatramas jumbo).

Consideraciones sobre el dispositivo

Puede elegir un dispositivo de terceros de AWS Marketplace o configurar su propio dispositivo. Al crear oconfigurar un dispositivo, tenga en cuenta lo siguiente:

• El dispositivo debe configurarse en una subred independiente para el tráfico de origen o destino.• Debe deshabilitar la comprobación de origen/destino en el dispositivo. Para obtener más información,

consulte Cambio de la comprobación de origen o destino en la Guía del usuario de Amazon EC2 parainstancias de Linux.

• No se admite el encadenamiento de servicio.• No se puede dirigir el tráfico entre hosts de la misma subred a través de un dispositivo.• No se puede dirigir el tráfico entre subredes a través de un dispositivo.• El dispositivo no tiene que realizar la conversión de las direcciones de red (NAT).• Para interceptar el tráfico IPv6, asegúrese de configurar la VPC, la subred y el dispositivo para IPv6.

Para obtener más información, consulte Usar VPC y subredes (p. 100). Las gateways privadas virtualesno admiten el tráfico IPv6.

Configuración del enrutamiento del dispositivo

Para dirigir el tráfico entrante a un dispositivo, cree una tabla de ruteo y añada una ruta que apunte eltráfico destinado a una subred a la interfaz de red del dispositivo. Esta ruta es más específica que la rutalocal para la tabla de ruteo. Asocie esta tabla de ruteo con su gateway de Internet o gateway privadavirtual. La siguiente tabla de ruteo dirige el tráfico IPv4 destinado a una subred a la interfaz de red deldispositivo.

234

https://docs.aws.amazon.com/vpc/latest/tgw/how-transit-gateways-work.html#tgw-routing-overview

https://aws.amazon.com/marketplace

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html#change_source_dest_check


Destino Objetivo

10.0.0.0/16 Local

10.0.1.0/24 eni-id

También puede sustituir el objetivo de la ruta local por la interfaz de red del dispositivo. Puede hacerlo paraasegurarse de que todo el tráfico se dirige automáticamente al dispositivo, incluido el tráfico destinado a lassubredes que agregue a la VPC más adelante.

Destino Objetivo

10.0.0.0/16 eni-id

Para dirigir el tráfico de la subred a un dispositivo de otra subred, añada una ruta a la tabla de ruteo de lasubred que dirige el tráfico a la interfaz de red del dispositivo. El destino debe ser menos específico que eldestino de la ruta local. Por ejemplo, para el tráfico destinado a Internet, especifique 0.0.0.0/0 (todas lasdirecciones IPv4) para el destino.

Destino Objetivo

10.0.0.0/16 Local

0.0.0.0/0 eni-id

A continuación, en la tabla de ruteo asociada a la subred del dispositivo, añada una ruta que dirija el tráficoa la gateway de Internet o a la gateway privada virtual.

Destino Objetivo

10.0.0.0/16 Local

0.0.0.0/0 igw-id

Puede aplicar la misma configuración de direccionamiento para el tráfico IPv6. Por ejemplo, en la tabla deruteo de la gateway, puede sustituir el objetivo de las rutas locales IPv4 e IPv6 por la interfaz de red deldispositivo.

Destino Objetivo

10.0.0.0/16 eni-id

2001:db8:1234:1a00::/56 eni-id

En el diagrama siguiente, se instala y configura un dispositivo de firewall en una instancia Amazon EC2de la subred A de la VPC. El dispositivo inspecciona todo el tráfico que entra y sale de la VPC a travésde la gateway de Internet. La tabla de ruteo A está asociada a la gateway de Internet. El tráfico destinadoa la subred B que entra en la VPC a través de la gateway de Internet se dirige a la interfaz de red deldispositivo (eni-11223344556677889). Todo el tráfico que sale de la subred B también se dirige a lainterfaz de red del dispositivo.

235

Amazon Virtual Private Cloud Guía del usuarioUso de las tablas de enrutamiento

El ejemplo siguiente tiene la misma configuración que el ejemplo anterior, pero incluye el tráfico IPv6. Eltráfico IPv6 destinado a la subred B que entra en la VPC a través de la gateway de Internet se dirige a lainterfaz de red del dispositivo (eni-11223344556677889). Todo el tráfico (IPv4 e IPv6) que sale de lasubred B también se dirige a la interfaz de red del dispositivo.

Enrutamiento mediante una lista de prefijosSi hace referencia con frecuencia al mismo conjunto de bloques CIDR en sus recursos de AWS, puedecrear una lista de prefijos administrada por el cliente (p. 244) para agruparlos. A continuación, puedeespecificar la lista de prefijos como destino en la entrada de la tabla de ruteo. Posteriormente, puedeagregar o quitar entradas para la lista de prefijos sin necesidad de actualizar las tablas de ruteo.

Por ejemplo, tiene una gateway de enlace de tránsito con varios archivos adjuntos de VPC. Las VPCdeben poder comunicarse con dos adjuntos VPC específicos que tengan los siguientes bloques CIDR:

• 10.0.0.0/16• 10.2.0.0/16

Usted crea una lista de prefijos con ambas entradas. En las tablas de ruteo de subred, se crea una ruta yse especifica la lista de prefijos como destino y la gateway de enlace de tránsito como destino.

Destino Objetivo

172.31.0.0/16 Local

pl-123abc123abc123ab tgw-id

El número máximo de entradas para las listas de prefijos es igual al mismo número de entradas en la tablade ruteo.

Uso de las tablas de enrutamientoEn las tareas siguientes, se muestra cómo se trabaja con tablas de ruteo.

Note

Cuando utilice el asistente de la VPC de la consola para crear una VPC con una gateway, elasistente actualizará automáticamente las tablas de ruteo para utilizar la gateway. Si utiliza lasherramientas de línea de comandos o la API para configurar su VPC, deberá actualizar las tablasde ruteo usted mismo.

Tareas• Determinar la tabla de enrutamiento asociada a la subred (p. 237)• Determinar las subredes y/o gateways asociadas explícitamente a una tabla (p. 237)• Crear una tabla de enrutamiento personalizada (p. 238)• Agregar y eliminar rutas de una tabla de enrutamiento (p. 238)• Habilitar y deshabilitar la propagación de una ruta (p. 239)• Asociar una subred a una tabla de enrutamiento (p. 240)• Cambiar una tabla de enrutamiento de una subred (p. 240)

236


• Disociar una subred de una tabla de enrutamiento (p. 241)• Sustituir la tabla de enrutamiento principal (p. 241)• Asociar una gateway a una tabla de enrutamiento (p. 242)• Disociar una gateway de una tabla de enrutamiento (p. 242)• Reemplazar y restaurar el destino de una ruta local (p. 242)• Eliminar una tabla de enrutamiento (p. 243)

Determinar la tabla de enrutamiento asociada a la subredPuede determinar la tabla de ruteo a la que se asocia la subred consultando los detalles de la subred en laconsola de la Amazon VPC.

Para determinar la tabla de ruteo que tiene asociada la subred

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Subnets.3. Elija la pestaña Route Table para ver el ID de la tabla de ruteo y sus rutas. En el caso de la tabla de

ruteo principal, la consola no indicará si la asociación es implícita o explícita. Para determinar si laasociación a la tabla de ruteo principal es explícita, consulte Determinar las subredes y/o gatewaysasociadas explícitamente a una tabla (p. 237).

Determinar las subredes y/o gateways asociadas explícitamentea una tablaPuede determinar el número y el tipo de subredes o gateways explícitamente asociadas a la tabla de ruteo.

La tabla de ruteo principal puede tener asociaciones de la subred implícitas y explícitas. Las tablas deruteo principales solo tienen asociaciones explícitas.

Las subredes que no estén asociadas de manera explícita a ninguna tabla de ruteo tienen una asociaciónimplícita a la tabla de ruteo principal. Puede asociar de forma explícita una subred con la tabla de ruteoprincipal. Para obtener un ejemplo de por qué podría hacer eso, consulte Sustituir la tabla de enrutamientoprincipal (p. 241).

Para determinar las subredes que están asociadas de manera explícita utilizando la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Route Tables.3. Consulte la columna Explicitly subnet association (Asociación de subred de forma explícita) para

determinar las subredes asociadas de manera explícita.4. Seleccione la tabla de ruteo obligatoria.5. Elija la pestaña Subnet Associations en el panel de detalles. La pestaña mostrará las subredes

asociadas explícitamente a la tabla. Las subredes que no estén asociadas a ninguna tabla de ruteo(y, por lo tanto, asociadas de manera implícita a la tabla de ruteo principal) también se muestran en latabla.

Para determinar las gateways que están asociadas de manera explícita utilizando la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Route Tables.3. Vea la columna Edge associations (Asociaciones de borde) para determinar las gateways asociadas.

237





4. Seleccione la tabla de ruteo obligatoria.5. Elija la pestaña Edge Associations (Asociaciones de borde) en el panel de detalles. Se enumeran las

gateways asociadas a la tabla de ruteo.

Para describir una o varias tablas de ruteo y ver sus asociaciones mediante la línea de comandos

• describe-route-tables (AWS CLI)• Get-EC2RouteTable (Herramientas de AWS para Windows PowerShell)

Crear una tabla de enrutamiento personalizadaPuede crear una tabla de ruteo personalizada para su VPC mediante la consola de Amazon VPC.

Para crear una tabla de ruteo personalizada mediante la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Route Tables.3. Elija Create Route Table (Crear tabla de ruteo).4. (Opcional) En Name tag (Etiqueta de nombre), escriba el nombre de la tabla de enrutamiento.5. En VPC, elija su VPC.6. (Opcional) Añada o elimine una etiqueta.



[Eliminar una etiqueta] Elija el botón Eliminar ("X") situado a la derecha de la clave y valor de laetiqueta.

7. Seleccione Create (Crear).

Para crear una tabla de ruteo personalizada mediante la línea de comandos

• create-route-table (AWS CLI)• New-EC2RouteTable (Herramientas de AWS para Windows PowerShell)

Agregar y eliminar rutas de una tabla de enrutamientoPuede añadir, eliminar y modificar rutas en las tablas de ruteo. Solo podrá modificar rutas que hayaañadido.

Para obtener más información acerca de cómo trabajar con rutas estáticas para una conexión de Site-to-Site VPN, consulte Edición de rutas estáticas para una conexión de Site-to-Site VPN en la Guía del usuariode AWS Site-to-Site VPN.

Para modificar o añadir una ruta a una tabla de ruteo mediante la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Route Tables (Tablas de ruteo) y, a continuación, seleccione la tabla

de ruteo.3. Elija Actions (Acciones), Edit routes (Editar rutas).

238

https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-route-tables.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2RouteTable.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/create-route-table.html

https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2RouteTable.html

https://docs.aws.amazon.com/vpn/latest/s2svpn/SetUpVPNConnections.html#vpn-edit-static-routes



4. Para agregar una ruta, elija Add route (Añadir ruta). En Destination (Destino) introduzca el bloqueCIDR de destino, una única dirección IP o el identificador de una lista de prefijos.

5. Para modificar una ruta existente, para Destination (Destino), sustituya el bloque de CIDR de destino ola dirección IP única. En Target (Objetivo), elija un objetivo.

6. Elija Save routes (Guardar rutas).

Para añadir una ruta a una tabla de ruteo mediante la línea de comandos

• create-route (AWS CLI)• New-EC2Route (Herramientas de AWS para Windows PowerShell)

Note

Si agrega una ruta mediante una herramienta de línea de comandos o la API, el bloque deCIDR de destino se modifica automáticamente a su forma canónica. Por ejemplo, si especifica100.68.0.18/18 para el bloque de CIDR, creamos una ruta con un bloque de CIDR de destinode 100.68.0.0/18.

Para sustituir una ruta existente en una tabla de ruteo mediante la línea de comandos

• replace-route (AWS CLI)• Set-EC2Route (Herramientas de AWS para Windows PowerShell)

Para eliminar una ruta de una tabla de ruteo mediante la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Route Tables (Tablas de ruteo) y, a continuación, seleccione la tabla

de ruteo.3. Elija Actions (Acciones), Edit routes (Editar rutas).4. Seleccione el botón de eliminación (x) situado a la derecha de la ruta que desea eliminar.5. Cuando haya terminado, elija Save routes (Guardar rutas).

Para eliminar una ruta de una tabla de ruteo mediante la línea de comandos

• delete-route (AWS CLI)• Remove-EC2Route (Herramientas de AWS para Windows PowerShell)

Habilitar y deshabilitar la propagación de una rutaLa propagación de rutas permite que una gateway privada virtual propague automáticamente rutas a lastablas de ruteo. Esto significa que no es necesario introducir manualmente rutas de VPN en las tablas deruteo. La propagación de rutas se puede habilitar ni deshabilitar.

Para obtener más información sobre las opciones de enrutamiento de VPN, consulte Opciones deenrutamiento de Site-to-Site VPN en la Guía del usuario de Site-to-Site VPN.

Para habilitar la propagación de rutas utilizando la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Route Tables y, a continuación, seleccione la tabla de ruteo.3. Elija Actions (Acciones), Edit route propagation (Editar propagación de rutas).

239

https://docs.aws.amazon.com/cli/latest/reference/ec2/create-route.html

https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Route.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/replace-route.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Set-EC2Route.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-route.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2Route.html





4. Active la casilla de verificación Propagate situada junto a la gateway privada virtual y, a continuación,elija Save.

Para habilitar la propagación de rutas mediante la línea de comandos

• enable-vgw-route-propagation (AWS CLI)• Enable-EC2VgwRoutePropagation (Herramientas de AWS para Windows PowerShell)

Para deshabilitar la propagación de rutas con la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Route Tables y, a continuación, seleccione la tabla de ruteo.3. Elija Actions (Acciones), Edit route propagation (Editar propagación de rutas).4. Desactive la casilla de verificación Propagate y, a continuación, elija Save.

Para deshabilitar la propagación de rutas mediante la línea de comandos

• disable-vgw-route-propagation (AWS CLI)• Disable-EC2VgwRoutePropagation (Herramientas de AWS para Windows PowerShell)

Asociar una subred a una tabla de enrutamientoPara aplicar rutas de tablas de ruteo a una subred determinada, debe asociar la tabla de ruteo a la subred.Una tabla de ruteo se puede asociar con varias subredes. Sin embargo, una subred sólo puede asociarsea una tabla de ruteo a la vez. Las subredes que no estén asociadas de manera explícita a ninguna tabla seasociarán implícitamente a la tabla de ruteo principal de forma predeterminada.

Para asociar una tabla de ruteo a una subred mediante la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Route Tables y, a continuación, seleccione la tabla de ruteo.3. En la pestaña Subnet Associations (Asociaciones de subred), elija Edit subnet associations (Editar

asociaciones de subred).4. Active la casilla de verificación Associate para la subred que desee asociar a la tabla de ruteo. A

continuación, elija Save.

Para asociar una subred a una tabla de ruteo mediante la línea de comandos

• associate-route-table (AWS CLI)• Register-EC2RouteTable (Herramientas de AWS para Windows PowerShell)

Cambiar una tabla de enrutamiento de una subredPuede cambiar la tabla de ruteo que tiene asociada la subred.

Para cambiar la asociación de la tabla de ruteo de una subred mediante la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Subnets y, a continuación, seleccione la subred.3. En la pestaña Route Table (Tabla de ruteo) elija Edit route table association (Editar asociación de la

tabla de ruteo).

240

https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-vgw-route-propagation.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Enable-EC2VgwRoutePropagation.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/disable-vgw-route-propagation.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Disable-EC2VgwRoutePropagation.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/associate-route-table.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Register-EC2RouteTable.html



4. En la lista Route Table ID (ID de tabla de ruteo) seleccione la nueva tabla de ruteo a la que deseaasociar la subred y, a continuación, elija Save (Guardar).

Para cambiar la tabla de ruteo asociada a una subred mediante el la línea de comandos

• replace-route-table-association (AWS CLI)• Set-EC2RouteTableAssociation (Herramientas de AWS para Windows PowerShell)

Disociar una subred de una tabla de enrutamientoPuede desasociar una subred de una tabla de ruteo. Hasta que asocie la subred a otra tabla de ruteo, estaquedará implícitamente asociada a la tabla de ruteo principal.

Para desasociar una subred de una tabla de ruteo mediante la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Route Tables y, a continuación, seleccione la tabla de ruteo.3. En la pestaña Subnet Associations (Asociaciones de subred), elija Edit subnet associations (Editar

asociaciones de subred).4. Desactive la casilla de verificación Associate de la subred en cuestión y, a continuación, elija Save.

Para desasociar una subred de una tabla de ruteo mediante la línea de comandos

• disassociate-route-table (AWS CLI)• Unregister-EC2RouteTable (Herramientas de AWS para Windows PowerShell)

Sustituir la tabla de enrutamiento principalPuede cambiar la tabla de ruteo principal de su VPC.

Para sustituir la tabla de ruteo principal mediante la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Route Tables.3. Seleccione la tabla de ruteo de la subred que será la nueva tabla de ruteo principal y, a continuación,

elija Actions (Acciones), Set Main Route Table (Configurar tabla de ruteo principal).4. En el cuadro de diálogo de confirmación, elija Ok (Aceptar).

Para sustituir la tabla de ruteo principal mediante la línea de comandos

• replace-route-table-association (AWS CLI)• Set-EC2RouteTableAssociation (Herramientas de AWS para Windows PowerShell)

El procedimiento siguiente describe cómo quitar una asociación explícita entre una subred y la tabla deruteo principal. El resultado es una asociación implícita entre la subred y la tabla de ruteo principal. Elproceso es el mismo que el que se usa para desasociar subredes de tablas de ruteo.

Para quitar una asociación explícita a la tabla de ruteo principal

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Route Tables y, a continuación, seleccione la tabla de ruteo.

241

https://docs.aws.amazon.com/cli/latest/reference/ec2/replace-route-table-association.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Set-EC2RouteTableAssociation.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/disassociate-route-table.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Unregister-EC2RouteTable.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/replace-route-table-association.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Set-EC2RouteTableAssociation.html



3. En la pestaña Subnet Associations (Asociaciones de subred), elija Edit subnet associations (Editarasociaciones de subred).

4. Desactive la casilla de verificación de la subred en cuestión y, a continuación, seleccione Save(Guardar).

Asociar una gateway a una tabla de enrutamientoPuede asociar una gateway de Internet o a una gateway privada virtual a una tabla de ruteo. Para obtenermás información, consulte Tablas de ruteo de gateway (p. 226).

Para asociar una gateway a la tabla de ruteo mediante la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Route Tables y, a continuación, seleccione la tabla de ruteo.3. Seleccione Actions (Acciones), Edit edge associations (Editar asociaciones de borde).4. Seleccione Internet gateways (Gateways de Internet) o Virtual private gateways (gateways privadas

virtuales) para mostrar la lista de gateways.5. Seleccione la gateway y, a continuación, seleccione Save (Guardar).

Para asociar una gateway a la tabla de ruteo mediante la AWS CLI

Utilice el comando associate-route-table. En el siguiente ejemplo se asocia una gateway de Internetigw-11aa22bb33cc44dd1 a una tabla de ruteo rtb-01234567890123456.

aws ec2 associate-route-table --route-table-id rtb-01234567890123456 --gateway-id igw-11aa22bb33cc44dd1

Disociar una gateway de una tabla de enrutamientoPuede desasociar una gateway de Internet o a una gateway privada virtual de una tabla de ruteo.

Para asociar una gateway a la tabla de ruteo mediante la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Route Tables y, a continuación, seleccione la tabla de ruteo.3. Seleccione Actions (Acciones), Edit edge associations (Editar asociaciones de borde).4. En Associated gateways (Gateways asociadas), elija el botón de eliminación (x) de la puerta de enlace

que desee desasociar.5. Seleccione Save.

Para desasociar una gateway de una tabla de ruteo mediante la línea de comandos

• disassociate-route-table (AWS CLI)• Unregister-EC2RouteTable (Herramientas de AWS para Windows PowerShell)

Reemplazar y restaurar el destino de una ruta localPuede cambiar el destino de la ruta local predeterminada en una tabla de ruteo de gateway (p. 226) yespecificar en su lugar una interfaz de red o instancia en la misma VPC que el destino. Si reemplaza eldestino de una ruta local, puede restaurarlo posteriormente al destino local predeterminado. Si la VPCtiene varios bloques de CIDR (p. 95), las tablas de ruteo tienen varias rutas locales (una por bloque deCIDR). Puede reemplazar o restaurar el destino de cada una de las rutas locales según sea necesario.

242


https://docs.aws.amazon.com/cli/latest/reference/ec2/associate-route-table.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/disassociate-route-table.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Unregister-EC2RouteTable.html


No se puede reemplazar el destino de una ruta local en una tabla de ruteo de subred.

Para reemplazar el destino de una ruta local mediante la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Route Tables y, a continuación, seleccione la tabla de ruteo.3. Elija Actions (Acciones), Edit routes (Editar rutas).4. En Target (Destino), seleccione Network Interface (Interfaz de red) para mostrar la lista de interfaces

de red y elija la interfaz de red.

Como alternativa, seleccione Instance (Instancia) para mostrar la lista de instancias y elija la instancia.5. Elija Save routes (Guardar rutas).

Para restaurar el destino de una ruta local mediante la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Route Tables y, a continuación, seleccione la tabla de ruteo.3. Elija Actions (Acciones), Edit routes (Editar rutas).4. En Target (Destino), elijalocal.5. Elija Save routes (Guardar rutas).

Para reemplazar el destino de una ruta local mediante la AWS CLI

Utilice el comando replace-route. En el ejemplo siguiente, se reemplaza el destino de la ruta local poreni-11223344556677889.

aws ec2 replace-route --route-table-id rtb-01234567890123456 --destination-cidr-block 10.0.0.0/16 --network-interface-id eni-11223344556677889

Para restaurar el destino de una ruta local mediante la AWS CLI

En el ejemplo siguiente, se restaura el destino local en la tabla de ruteo rtb-01234567890123456.

aws ec2 replace-route --route-table-id rtb-01234567890123456 --destination-cidr-block 10.0.0.0/16 --local-target

Eliminar una tabla de enrutamientoLas tablas de ruteo solo se pueden eliminar si no tienen subredes asociadas. La tabla de ruteo principal nose puede eliminar.

Para eliminar una tabla de ruteo mediante la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Route Tables.3. Seleccione la tabla de ruteo y, a continuación, elija Actions (Acciones), Delete Route Table (Eliminar

tabla de ruteo).4. En el cuadro de diálogo de confirmación, elija Delete Route Table (Eliminar tabla de ruteo).

Para eliminar una tabla de ruteo mediante la línea de comandos

• delete-route-table (AWS CLI)

243



https://docs.aws.amazon.com/cli/latest/reference/ec2/replace-route.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-route-table.html

Amazon Virtual Private Cloud Guía del usuarioListas de prefijos

• Remove-EC2RouteTable (Herramientas de AWS para Windows PowerShell)

Listas de prefijosUna lista de prefijos es un conjunto de uno o más bloques CIDR. Hay dos tipos de listas de prefijos:

• Lista de prefijos administrados por AWS: representa los intervalos de direcciones IP de un servicio deAWS. Puede hacer referencia a una lista de prefijos administrados por AWS en las reglas de gruposde seguridad de la VPC y en las entradas de la tabla de ruteo de subred. Por ejemplo, puede hacerreferencia a una lista de prefijos administrados por AWS en una regla del grupo de seguridad de laVPC saliente al conectarse a un servicio de AWS a través de un punto de enlace de la VPC de lagateway (p. 330). No puede crear, modificar, compartir ni eliminar una lista de prefijos administrada porAWS.

• Lista de prefijos administrada por el cliente: un conjunto de bloques CIDR IPv4 o IPv6 que usted definey administra. Puede hacer referencia a la lista de prefijos en las reglas de grupo de seguridad de laVPC, entradas de tabla de enrutamiento de subred y entradas de tabla de enrutamiento de gateway detránsito. Esto le permite administrar las direcciones IP que utiliza con frecuencia para estos recursos enun solo grupo, en lugar de hacer referencia repetidamente a las mismas direcciones IP en cada uno delos recursos. Puede compartir su lista de prefijos con otras cuentas de AWS, lo que permite que dichascuentas hagan referencia a la lista de prefijos en sus propios recursos.

En los siguientes temas se describe cómo crear y trabajar con listas de prefijos administradas por elcliente.

Temas• Conceptos y reglas de las listas de prefijos (p. 244)• Trabajar con listas de prefijos (p. 245)• Administración de identidades y accesos para listas de prefijos (p. 249)• Uso de listas de prefijos compartidas (p. 249)

Conceptos y reglas de las listas de prefijosUna lista de prefijos consta de entradas. Cada entrada consta de un bloque CIDR y, opcionalmente, de unadescripción para el bloque CIDR.

Las siguientes reglas se aplican a las listas de prefijos administradas por el cliente:

• Al crear una lista de prefijos, debe especificar el número máximo de entradas que puede admitir la listade prefijos. No puede modificar el número máximo de entradas más adelante.

• Cuando hace referencia a una lista de prefijos en un recurso, el número máximo de entradas de las listasde prefijos cuenta como el mismo número de reglas o entradas del recurso. Por ejemplo, si crea una listade prefijos con un máximo de 20 entradas y hace referencia a esa lista de prefijos en una regla de grupode seguridad, esto cuenta como 20 reglas para el grupo de seguridad.

• Puede modificar una lista de prefijos agregando o eliminando entradas, o cambiando su nombre.• Una lista de prefijos solo admite un único tipo de direccionamiento IP (IPv4 o IPv6). No puede combinar

bloques CIDR IPv4 e IPv6 en una única lista de prefijos.• Hay cuotas relacionadas con las listas de prefijos. Para obtener más información, consulte Cuotas de

Amazon VPC (p. 378).• Cuando hace referencia a una lista de prefijos en una tabla de ruteo, se aplican las reglas de prioridad

de ruta. Para obtener más información, consulte Prioridad de ruta para listas de prefijos (p. 228).

244

https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2RouteTable.html

Amazon Virtual Private Cloud Guía del usuarioTrabajar con listas de prefijos

Las siguientes reglas se aplican a las listas de prefijos administrados por AWS:

• No puede crear, modificar, compartir ni eliminar una lista de prefijos administrada por AWS.• Cuando hace referencia a una lista de prefijos administrados por AWS en un recurso, cuenta como una

única regla o entrada para el recurso.• No puede ver el número de versión de una lista de prefijos administrada por AWS.

Versiones de lista de prefijosUna lista de prefijos puede tener varias versiones. Cada vez que agrega o elimina entradas en una listade prefijos, creamos una nueva versión de la lista de prefijos. Los recursos que hacen referencia al prefijosiempre usan la versión actual (la más reciente). Puede restaurar las entradas de una versión anterior de lalista de prefijos a una nueva versión.

Trabajar con listas de prefijosEn los siguientes temas se describe cómo crear y trabajar con listas de prefijos administradas por elcliente. Puede trabajar con listas de prefijos mediante la consola de la Amazon VPC o la AWS CLI.

Temas• Crear una lista de prefijos (p. 245)• Ver listas de prefijos (p. 246)• Ver las entradas de una lista de prefijos (p. 246)• Ver las asociaciones (referencias) de su lista de prefijos (p. 246)• Modificar una lista de prefijos (añadir y eliminar entradas) (p. 247)• Restaurar una versión anterior de una lista de prefijos (p. 247)• Eliminar una lista de prefijos (p. 247)• Hacer referencia a listas de prefijos en sus recursos de AWS (p. 248)

Crear una lista de prefijosAl crear una nueva lista de prefijos, debe especificar el número máximo de entradas que puede admitir lalista de prefijos. Asegúrese de especificar un número máximo de entradas que satisfagan sus necesidades,ya que no puede cambiar este número más adelante.

Para crear una lista de prefijos mediante la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Managed Prefix Lists (Listas de prefijos administradas).3. Elija Create prefix list (Crear lista de prefijos).4. En Prefix list name (Nombre de lista de prefijos), escriba un nombre para la lista de prefijos.5. En Max entries (Entradas máximas), introduzca el número máximo de entradas para la lista de

prefijos.6. En Address family (Familia de direcciones), elija si la lista de prefijos admite entradas IPv4 o IPv6.7. En Prefix list entries (Entradas de lista de prefijos), elija Add new entry (Agregar nueva entrada), e

introduzca el bloque CIDR y una descripción para la entrada. Repita este paso para cada entrada.8. (Opcional) En Tags (Etiquetas), agregue etiquetas a la lista de prefijos para ayudarle a identificarlas

más adelante.9. Elija Create prefix list (Crear lista de prefijos).

245



Para crear una lista de prefijos mediante la AWS CLI

Utilice el comando create-managed-prefix-list.

Ver listas de prefijosPuede ver sus listas de prefijos, las listas de prefijos que se comparten con usted y las listas de prefijosadministradas por AWS mediante la consola de Amazon VPC o la AWS CLI.

Para ver listas de prefijos mediante la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Managed Prefix Lists (Listas de prefijos administradas).3. La columna Owner ID (ID del propietario) muestra el ID de la cuenta de AWS del propietario de la lista

de prefijos. En las listas de prefijos administradas por AWS, el ID del propietario es AWS.

Para ver listas de prefijos mediante la AWS CLI

Utilice el comando describe-managed-prefix-lists.

Ver las entradas de una lista de prefijosPuede ver las entradas de una lista de prefijos mediante la consola de Amazon VPC o la AWS CLI.

Para ver las entradas de una lista de prefijos mediante la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Managed Prefix Lists (Listas de prefijos administradas).3. Seleccione la lista de prefijos.4. En el panel inferior, elija Entries (Entradas) para ver las entradas de la lista de prefijos.

Para ver las entradas de una lista de prefijos mediante la AWS CLI

Utilice el comando get-managed-prefix-list-entries.

Ver las asociaciones (referencias) de su lista de prefijosPuede ver los ID y los propietarios de los recursos asociados a su lista de prefijos. Los recursos asociadosson recursos que hacen referencia a la lista de prefijos en sus entradas o reglas.

No puede ver los recursos asociados de una lista de prefijos administrada por AWS.

Para ver asociaciones de listas de prefijos mediante la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Managed Prefix Lists (Listas de prefijos administradas).3. Seleccione la lista de prefijos.4. En el panel inferior, elija Associations (Asociaciones) para ver los recursos que hacen referencia a la

lista de prefijos.

Para ver asociaciones de listas de prefijos mediante la AWS CLI

Utilice el comando get-managed-prefix-list-associations.

246

https://docs.aws.amazon.com/cli/latest/reference/ec2/create-managed-prefix-list.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-managed-prefix-lists.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/get-managed-prefix-list-entries.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/get-managed-prefix-list-associations.html


Modificar una lista de prefijos (añadir y eliminar entradas)Puede modificar el nombre de la lista de prefijos y añadir o eliminar entradas.

No puede modificar una lista de prefijos administrada por AWS.

Para modificar una lista de prefijos mediante la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Managed Prefix Lists (Listas de prefijos administradas).3. Seleccione la lista de prefijos y elija Actions (Acciones), Modify prefix list (Modificar lista de prefijos).4. En Prefix list name (Nombre de la lista de prefijos), escriba un nuevo nombre para la lista de prefijos.5. En Prefix list entries (Entradas de la lista de prefijos), elija Remove (Eliminar) para eliminar una

entrada existente. Para añadir una nueva entrada, elija Add new entry (Añadir nueva entrada) eintroduzca el bloque de CIDR y una descripción para la entrada.

6. Elija Save prefix list (Guardar lista de prefijos).

Para modificar una lista de prefijos mediante la AWS CLI

Utilice el comando modify-managed-prefix-list.

Restaurar una versión anterior de una lista de prefijosPuede restaurar las entradas de una versión anterior de su lista de prefijos a una versión nueva.

Para restaurar una versión anterior de una lista de prefijos mediante la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Managed Prefix Lists (Listas de prefijos administradas).3. Seleccione la lista de prefijos y elija Actions (Acciones), Restore prefix list (Restaurar lista de prefijos).4. En la lista desplegable, elija la versión de la lista de prefijos.5. Elija Restore prefix list (Restaurar lista de prefijos).

Para restaurar una versión anterior de una lista de prefijos mediante la AWS CLI

Utilice el comando restore-managed-prefix-list-version.

Eliminar una lista de prefijosPara eliminar una lista de prefijos, primero debe eliminar cualquier referencia a ella que haya en losrecursos (como en las tablas de ruteo). Si ha compartido la lista de prefijos mediante AWS RAM,primero debe eliminar cualquier referencia que haya en los recursos propiedad del consumidor. Paraver las referencias a su lista de prefijos, consulte Ver las asociaciones (referencias) de su lista deprefijos (p. 246).

No puede eliminar una lista de prefijos administrada por AWS.

Para eliminar una lista de prefijos mediante la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Managed Prefix Lists (Listas de prefijos administradas).3. Seleccione la lista de prefijos y elija Actions (Acciones), Delete prefix list (Eliminar lista de prefijos).4. En el cuadro de diálogo de confirmación, escriba delete y elija Delete (Eliminar).

247


https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-managed-prefix-list.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/restore-managed-prefix-list-version.html



Para eliminar una lista de prefijos mediante la AWS CLI

Utilice el comando delete-managed-prefix-list.

Hacer referencia a listas de prefijos en sus recursos de AWSPuede hacer referencia a una lista de prefijos en los recursos de AWS que se muestran a continuación.

Subnet route tables

Puede especificar una lista de prefijos como destino de la entrada de la tabla de enrutamiento. Nopuede hacer referencia a una lista de prefijos en una tabla de ruteo de gateway. Para obtener másinformación acerca de las tablas de ruteo, consulte Tablas de ruteo (p. 220).

Para hacer referencia a una lista de prefijos en una tabla de ruteo mediante la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Route Tables (Tablas de ruteo) y, a continuación, seleccione la

tabla de ruteo.3. Elija Actions (Acciones), Edit routes (Editar rutas).4. Para agregar una ruta, elija Add route (Añadir ruta). En Destination (Destino), introduzca el ID de

una lista de prefijos.5. En Target (Objetivo), elija un objetivo.6. Elija Save routes (Guardar rutas).

Para hacer referencia a una lista de prefijos en una tabla de ruteo mediante la AWS CLI

Utilice el comando create-route (AWS CLI). Utilice el parámetro --destination-prefix-list-idpara especificar el ID de una lista de prefijos.

VPC security groups

Puede especificar una lista de prefijos como origen de una regla de entrada o como destino de unaregla de salida. Para obtener más información acerca de los grupos de seguridad, consulte Grupos deseguridad de su VPC (p. 165).

Para hacer referencia a una lista de prefijos en una regla de grupo de seguridad mediante laconsola


outbound rules (Editar reglas de salida).5. Seleccione Add rule. En Type (Tipo), seleccione el tipo de tráfico. En Source (Origen) (reglas de

entrada) o Destination (Destino) (reglas de salida), elija el ID de la lista de prefijos.6. Seleccione Save rules (Guardar reglas).

Para hacer referencia a una lista de prefijos en una regla de grupo de seguridad mediante la AWS CLI

Utilice los comandos authorize-security-group-ingress y authorize-security-group-egress. Para elparámetro --ip-permissions, especifique el ID de la lista de prefijos mediante PrefixListIds.

Transit gateway route tables

Puede especificar una lista de prefijos como destino de una ruta. Para obtener más información,consulte Referencias de lista de prefijos en Gateways de tránsito de Amazon VPC.

248

https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-managed-prefix-list.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/create-route.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-ingress.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-egress.html

https://docs.aws.amazon.com/vpc/latest/tgw/tgw-prefix-lists.html

Amazon Virtual Private Cloud Guía del usuarioAdministración de identidades yaccesos para listas de prefijos

Administración de identidades y accesos para listas deprefijosDe forma predeterminada, los usuarios de IAM no tienen permiso para crear, ver, modificar o eliminar listasde prefijos. Puede crear una política de IAM que permita a los usuarios trabajar con listas de prefijos.

Para ver una lista de las acciones de Amazon VPC y los recursos y las claves de condición que puedeutilizar en una política de IAM, consulte Acciones, recursos y claves de condición para Amazon EC2 en laGuía del usuario de IAM.

El siguiente ejemplo de política permite a los usuarios ver y trabajar con la lista de prefijospl-123456abcde123456 solamente. Los usuarios no pueden crear ni eliminar listas de prefijos.

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ec2:DescribeManagedPrefixLists", "ec2:ModifyManagedPrefixList", "ec2:GetManagedPrefixListEntries", "ec2:RestoreManagedPrefixListVersion", "ec2:GetManagedPrefixListAssociations" ], "Resource": "arn:aws:ec2:region:account:prefix-list/pl-123456abcde123456" } ]}

Para obtener más información acerca de cómo trabajar con IAM en una Amazon VPC, consulteAdministración de identidades y accesos para Amazon VPC (p. 147).

Uso de listas de prefijos compartidasLas listas de prefijos administradas por el cliente se integran con AWS Resource Access Manager (AWSRAM). Con AWS RAM, puede compartir recursos de su propiedad entre cuentas de AWS creando unrecurso compartido. Este especifica los recursos que compartir y los consumidores con los que se vana compartir. Los consumidores pueden ser cuentas de AWS individuales, unidades organizativas o unaorganización completa en AWS Organizations.

Para obtener más información acerca de AWS RAM, consulte Guía del usuario de AWS RAM.

El propietario de una lista de prefijos puede compartir una lista de prefijos con:

• Cuentas específicas de AWS dentro o fuera de la organización en AWS Organizations• Una unidad organizativa dentro de la organización en AWS Organizations• Toda la organización en AWS Organizations

Los consumidores con los que se ha compartido una lista de prefijos pueden ver la lista de prefijos y susentradas, y pueden hacer referencia a la lista de prefijos en sus recursos de AWS.

Contenido• Requisitos previos para compartir listas de prefijos (p. 250)• Compartir una lista de prefijos (p. 250)• Identificar una lista de prefijos compartida (p. 250)• Identificar referencias a una lista de prefijos compartida (p. 251)

249


https://docs.aws.amazon.com/ram/latest/userguide/

Amazon Virtual Private Cloud Guía del usuarioUso de listas de prefijos compartidas

• Dejar de compartir una lista de prefijos compartida (p. 251)• Permisos de lista de prefijos compartida (p. 251)• Facturación y medición (p. 252)• Cuotas (p. 252)

Requisitos previos para compartir listas de prefijos• Para compartir una lista de prefijos, debe ser el propietario en su cuenta de AWS. No puede compartir

una lista de prefijos que se ha compartido con usted. No puede compartir una lista de prefijosadministrada por AWS.

• Para compartir una lista de prefijos con su organización o con una unidad organizativa en AWSOrganizations, debe habilitar el uso compartido con AWS Organizations. Para obtener más información,consulte Habilitar el uso compartido con AWS Organizations en la Guía del usuario de AWS RAM.

Compartir una lista de prefijosPara compartir una lista de prefijos, debe añadirla a un recurso compartido. Si no tiene un recursocompartido, primero debe crear uno mediante la consola de AWS RAM.

Si forma parte de una organización en AWS Organizations y el uso compartido dentro de la organizaciónestá habilitado, los consumidores de la organización obtienen automáticamente acceso a la lista de prefijoscompartida. De lo contrario, los consumidores reciben una invitación para unirse al recurso compartido y seles concede acceso a la lista de prefijos compartida después de aceptar la invitación.

Puede crear un recurso compartido y compartir una lista de prefijos de su propiedad mediante la consolade AWS RAM o la AWS CLI.

Para crear un recurso compartido y compartir una lista de prefijos mediante la consola de AWS RAM

Siga los pasos descritos en Crear un recurso compartido en la Guía del usuario de AWS RAM. En Selectresource type (Seleccionar tipo de recurso), elija Prefix Lists (Listas de prefijos) y, a continuación, active lacasilla de verificación de la lista de prefijos.

Para añadir una lista de prefijos a un recurso compartido existente mediante la consola de AWS RAM

Para añadir un prefijo administrado del que es propietario a un recurso compartido existente, siga lospasos descritos en Actualizar un recurso compartido en la Guía del usuario de AWS RAM. En Selectresource type (Seleccionar tipo de recurso), elija Prefix Lists (Listas de prefijos) y, a continuación, active lacasilla de verificación de la lista de prefijos.

Para compartir una lista de prefijos de la que es propietario mediante la AWS CLI

Utilice los siguientes comandos para crear y actualizar un recurso compartido:

• create-resource-share• associate-resource-share• update-resource-share

Identificar una lista de prefijos compartidaLos propietarios y consumidores pueden identificar listas de prefijos compartidas mediante la consola de laAmazon VPC y la AWS CLI.

Para identificar una lista de prefijos compartida mediante la consola de Amazon VPC


250


https://console.aws.amazon.com/ram


https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing.html#working-with-sharing-update

https://docs.aws.amazon.com/cli/latest/reference/ram/create-resource-share.html

https://docs.aws.amazon.com/cli/latest/reference/ram/associate-resource-share.html

https://docs.aws.amazon.com/cli/latest/reference/ram/update-resource-share.html


Amazon Virtual Private Cloud Guía del usuarioUso de listas de prefijos compartidas

2. En el panel de navegación, elija Managed Prefix Lists (Listas de prefijos administradas).3. La página muestra las listas de prefijos de las que es propietario y las listas de prefijos que se

comparten con usted. La columna Owner ID (ID del propietario) muestra el ID de la cuenta de AWS delpropietario de la lista de prefijos.

4. Para ver la información de recurso compartido de una lista de prefijos, seleccione la lista de prefijos yelija Sharing (Compartir) en el panel inferior.

Para identificar una lista de prefijos compartida mediante la AWS CLI

Utilice el comando describe-managed-prefix-lists. El comando devuelve las listas de prefijos de las quees propietario y las listas de prefijos que se comparten con usted. OwnerId muestra el ID de la cuenta deAWS del propietario de la lista de prefijos.

Identificar referencias a una lista de prefijos compartidaLos propietarios pueden identificar los recursos propiedad del consumidor que hacen referencia a una listade prefijos compartida mediante la consola de Amazon VPC y la AWS CLI.

Para identificar referencias a una lista de prefijos compartida mediante la consola de Amazon VPC

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Managed Prefix Lists (Listas de prefijos administradas).3. Seleccione la lista de prefijos y elija Associations (Asociaciones) en el panel inferior.4. Los ID de los recursos que hacen referencia a la lista de prefijos se muestran en la columna Resource

ID (ID de recurso). Los propietarios de los recursos se muestran en la columna Resource Owner(Propietario del recurso).

Para identificar referencias a una lista de prefijos compartida mediante la AWS CLI

Utilice el comando get-managed-prefix-list-associations.

Dejar de compartir una lista de prefijos compartidaCuando deja de compartir una lista de prefijos, los consumidores ya no pueden ver la lista de prefijos nisus entradas en su cuenta y no pueden hacer referencia a la lista de prefijos en sus recursos. Si ya hayreferencias a la lista de prefijos en los recursos del consumidor, esas referencias seguirán funcionando connormalidad y podrá seguir viendo esas referencias (p. 251). Si actualiza la lista de prefijos a una nuevaversión, las referencias utilizarán la versión más reciente.

Para dejar de compartir una lista de prefijos compartida que sea de su propiedad, debe quitarla del recursocompartido. Para ello, puede utilizar la consola de la AWS RAM o la AWS CLI.

Para dejar de compartir una lista de prefijos compartida de su propiedad mediante la consola de AWS RAM

Consulte Actualización de un recurso compartido en la Guía del usuario de AWS RAM.

Para dejar de compartir una lista de prefijos compartida de su propiedad mediante la AWS CLI

Utilice el comando disassociate-resource-share.

Permisos de lista de prefijos compartidaPermisos de los propietariosLos propietarios son responsables de administrar una lista de prefijos compartida y sus entradas. Lospropietarios pueden ver los ID de los recursos de AWS que hacen referencia a la lista de prefijos. Sin

251

https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-managed-prefix-lists.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/get-managed-prefix-list-associations.html

https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing.html#working-with-sharing-update

https://docs.aws.amazon.com/cli/latest/reference/ram/disassociate-resource-share.html

Amazon Virtual Private Cloud Guía del usuarioPuertos de enlace a internet

embargo, no pueden añadir ni eliminar referencias a una lista de prefijos en recursos de AWS que seanpropiedad de los consumidores.

Los propietarios no pueden eliminar una lista de prefijos si esta tiene referencias en un recurso que espropiedad de un consumidor.

Permisos de los consumidoresLos consumidores pueden ver las entradas de una lista de prefijos compartida y pueden hacer referenciaa una lista de prefijos compartida en sus recursos de AWS. Sin embargo, los consumidores no puedenmodificar, restaurar o eliminar una lista de prefijos compartida.

Facturación y mediciónNo se aplican cargos adicionales por compartir listas de prefijos.

CuotasPara obtener más información sobre las cuotas (límites) relacionadas con AWS RAM, vea Límites delservicio en la Guía del usuario de AWS RAM.

Puertos de enlace a internetUna gateway de internet es un componente de la VPC de escalado horizontal, redundante y de altadisponibilidad que permite la comunicación entre su VPC e internet.

Un gateway de Internet sirve para dos fines: proporcionar un objetivo en sus tablas de ruteo de VPCpara el tráfico direccionable de Internet y realizar la conversión de las direcciones de red (NAT) para lasinstancias que tengan asignadas direcciones IPv4 públicas.

Un gateway de Internet admite el tráfico IPv4 e IPv6. No genera riesgos de disponibilidad ni restriccionesdel ancho de banda del tráfico de red. No hay ningún cargo adicional por tener una gateway de Internet ensu cuenta.

Habilitar el acceso a InternetPara habilitar el acceso a internet o desde internet para instancias de una subred en una VPC, haga losiguiente:

• Adjunte un gateway de Internet a su VPC.• Agregue una ruta a la tabla de enrutamiento de la subred que dirija el tráfico vinculado a Internet a la

gateway de Internet. Si la subred está asociada a una tabla de enrutamiento que tiene una ruta a unagateway de Internet, esta se denomina subred pública. Si una subred está asociada a una tabla deenrutamiento que no tiene ninguna ruta a una gateway de Internet, se denomina subred privada.

• Asegúrese de que las instancias de su subred tienen una dirección IP única global (dirección IPv4pública, dirección IP elástica o dirección IPv6).

• Asegúrese de que las reglas de los grupos de seguridad y las listas de control de acceso a la redpermitan el envío de tráfico relevante desde o hacia la instancia.

En la tabla de enrutamiento de la subred, puede especificar la ruta de la gateway de internet en todos losdestinos que no se conocen explícitamente en la tabla (0.0.0.0/0 para IPv4 o ::/0 para IPv6). Si lodesea, también puede establecer el ámbito de la ruta en un intervalo más pequeño de direcciones IP; porejemplo, las direcciones IPv4 públicas de los puntos de enlace públicos de la empresa que estén fuera deAWS o las direcciones IP elásticas de otras instancias Amazon EC2 externas a la VPC.

252

https://docs.aws.amazon.com/ram/latest/userguide/what-is.html#what-is-limits

https://docs.aws.amazon.com/ram/latest/userguide/what-is.html#what-is-limits

Amazon Virtual Private Cloud Guía del usuarioHabilitar el acceso a Internet

Para permitir la comunicación a través de Internet para IPv4, su instancia debe tener una dirección IPv4pública o una dirección IP elástica asociada a una dirección IPv4 privada en su instancia. Su instancia solotendrá en cuenta el espacio de dirección IP (interno) privado definido en la VPC y la subred. El gatewayde Internet proporciona lógicamente la NAT individual en nombre de su instancia. Por lo tanto, cuandoel tráfico sale de su subred de VPC a Internet, el campo de dirección de respuesta se configura con ladirección IPv4 pública o la dirección IP elástica de su instancia y no con su dirección IP privada. Por elcontrario, la dirección de destino del tráfico con destino a la dirección IP elástica o la dirección IPv4 públicade su instancia se convertirá a la dirección IPv4 privada de la instancia antes de que el tráfico se entreguea la VPC.

Para permitir la comunicación a través de Internet para IPv6, su VPC y su subred deben tener un bloquede CIDR IPv6 asociado y su instancia debe asignarse a una dirección IPv6 desde el rango de la subred.Las direcciones IPv6 son únicas de forma global y, por lo tanto, públicas de manera predeterminada.

En el siguiente diagrama, la subred 1 de la VPC es una subred pública. Está asociada a una tabla deenrutamiento personalizada que hace que todo el tráfico IPv4 vinculado a Internet apunte a una gatewayde Internet. La instancia dispone de una dirección IP elástica que permite la comunicación con Internet.

Para proporcionar a sus instancias acceso a internet sin asignarles direcciones IP públicas, puede utilizarun dispositivo NAT en su lugar. Para obtener más información, consulte NAT (p. 267).

Acceso a internet para VPC predeterminadas y no predeterminadas

La tabla siguiente ofrece información general acerca de si una VPC incluye automáticamente loscomponentes necesarios para el acceso a Internet a través de IPv4 o IPv6.

Componente VPC predeterminada VPC no predeterminada

Puerto de enlace a Internet Sí Sí, si creó la VPC utilizando laprimera o la segunda opción delasistente para la creación deVPC. De lo contrario, deberá

253

Amazon Virtual Private Cloud Guía del usuarioAdjuntar una gateway de internet a una VPC.

Componente VPC predeterminada VPC no predeterminadacrear y adjuntar manualmente elgateway de Internet.

Tabla de ruteo con ruta algateway de Internet para eltráfico IPv4 (0.0.0.0/0)

Sí Sí, si creó la VPC utilizando laprimera o la segunda opción delasistente para la creación deVPC. De lo contrario, deberácrear manualmente la tabla deruteo y añadir la ruta.

Tabla de ruteo con ruta algateway de Internet para eltráfico IPv6 (::/0)

No Sí, si creó la VPC utilizando laprimera o la segunda opción delasistente para la creación deVPC y seleccionó la opción paraasociar un bloque de CIDR IPv6a la VPC. De lo contrario, deberácrear manualmente la tabla deruteo y añadir la ruta.

Dirección IPv4 pública asignadaautomáticamente a una instanciainiciada en la subred

Sí (subred predeterminada) No (subred no predeterminada)

Dirección IPv6 asignadaautomáticamente a una instanciainiciada en la subred

No (subred predeterminada) No (subred no predeterminada)

Para obtener más información acerca de las VPC predeterminadas, consulte VPC predeterminada ysubredes predeterminadas (p. 115). Para obtener más información acerca de la utilización del asistente deVPC para crear una VPC con un gateway de Internet, consulte VPC con una única subred pública (p. 21) oVPC con subredes privadas y públicas (NAT) (p. 29).

Para obtener más información acerca del direccionamiento IP en su VPC y acerca del control dela asignación de direcciones IPv4 o IPv6 públicas a las instancias, consulte Direcciones IP en suVPC (p. 123).

Al añadir una nueva subred a su VPC, deberá configurar el direccionamiento y la seguridad para dichasubred.

Adjuntar una gateway de internet a una VPC.A continuación se describe cómo crear manualmente una subred pública y adjuntar una gateway deinternet a la VPC para facilitar el acceso a internet.

Tareas• Crear una subred (p. 255)• Crear y asociar una gateway de Internet (p. 255)• Crear una tabla de enrutamiento personalizada (p. 256)• Crear un grupo de seguridad para obtener acceso a Internet (p. 256)• Agregar direcciones IP elásticas (p. 257)• Separar una gateway de Internet de su VPC (p. 257)• Eliminar una gateway de Internet (p. 257)

254


• Información general de la API y de los comandos (p. 258)

Crear una subredPara añadir una subred a su VPC

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Subnets (Subredes), Create Subnet (Crear subred).3. Especifique los detalles de la subred según sea necesario:

• Name tag: indique, de manera opcional, un nombre para su subred. Esta acción creará una etiquetacon una clave de Name y el valor que especifique.

• VPC: elija la VPC para la que va a crear la subred.• Availability Zone (Zona de disponibilidad): de forma opcional, elija la zona de disponibilidad o

zona local en la que residirá la subred, o bien deje el valor predeterminado No Preference (Sinpreferencias) para que AWS elija una zona de disponibilidad por usted.

Para obtener información acerca de las regiones que admiten zonas locales, consulte Regionesdisponibles en la Guía del usuario de Amazon EC2 para instancias de Linux.

• IPv4 CIDR block: especifique un bloque de CIDR IPv4 para su subred. Por ejemplo, 10.0.1.0/24.Para obtener más información, consulte Tamaño de VPC y subred para direcciones IPv4 (p. 94).

• IPv6 CIDR block: (opcional) si ha asociado un bloque de CIDR IPv6 a su VPC, elija Specify acustom IPv6 CIDR. Especifique la pareja de valores hexadecimales de la subred, o bien deje el valorpredeterminado.

4. Seleccione Create (Crear).

Para obtener más información acerca de las subredes, consulte VPC y subredes (p. 91).

Crear y asociar una gateway de InternetPara crear una gateway de internet y adjuntarla a su VPC.

Para crear un gateway de Internet y adjuntarlo a su VPC

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Internet Gateways (Gateways de Internet) y, a continuación, elija

Create internet gateway (Crear gateway de Internet).3. Opcionalmente, asigne un nombre a su gateway de Internet.4. Como opción, agregue o elimine una etiqueta.



[Eliminar una etiqueta] Elija Eliminar a la derecha de la clave y el valor de la etiqueta.5. Elija Crear gateway de Internet.6. Seleccione el gateway de Internet que acaba de crear y, a continuación, elija Actions, Attach to VPC

(Acciones, Adjuntar a la VPC).7. Seleccione la VPC de la lista y, a continuación, elija Asociar gateway de Internet.

255






Crear una tabla de enrutamiento personalizadaAl crear una subred, esta se asocia automáticamente a la tabla de ruteo principal de la VPC. Demanera predeterminada, la tabla de ruteo principal no contiene ninguna ruta al gateway de Internet. Elprocedimiento que se describe a continuación permite crear una tabla de ruteo personalizada con unaruta que enviará el tráfico cuyo destino esté fuera de la VPC al gateway de Internet para, a continuación,asociarlo a su subred.

Para crear una tabla de ruteo personalizada

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Route Tables y, a continuación, elija Create Route Table.3. En el cuadro de diálogo Create Route Table, podrá, de manera opcional, asignar un nombre a su tabla

de ruteo, seleccionar su VPC y, a continuación, elegir Yes, Create.4. Seleccione la tabla de ruteo personalizada que acaba de crear. El panel de detalles muestra pestañas

para trabajar con sus rutas, sus asociaciones y la propagación de rutas.5. En la pestaña Routes, elija Edit, Add another route y, a continuación, añada las siguientes rutas según

sea necesario. Elija Save cuando haya terminado.

• Para el tráfico IPv4, especifique 0.0.0.0/0 en el cuadro Destination (Destino) y seleccione el IDdel gateway de Internet en la lista Target (Objetivo).

• Para el tráfico IPv6, especifique ::/0 en el cuadro Destination (Destino) y seleccione el ID delgateway de Internet en la lista Target (Objetivo).

6. En la pestaña Subnet Associations, elija Edit, active la casilla de verificación Associate para la subredy, a continuación, elija Save.

Para obtener más información, consulte Tablas de ruteo (p. 220).

Crear un grupo de seguridad para obtener acceso a InternetDe forma predeterminada, un grupo de seguridad de VPC permite todo el tráfico saliente. Puede crear unnuevo grupo de seguridad y agregar reglas que permitan el tráfico entrante desde internet. A continuación,puede asociar el grupo de seguridad con instancias de la subred pública.

Para crear un nuevo grupo de seguridad y asociarlo a sus instancias

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Security Groups y, a continuación, elija Create Security Group.3. En el cuadro de diálogo Create Security Group, especifique el nombre del grupo de seguridad junto

con una descripción. Seleccione el ID de su VPC de la lista VPC y, a continuación, elija Yes, Create.4. Seleccione el grupo de seguridad. El panel de detalles muestra información detallada del grupo de

seguridad, además de pestañas que permiten usar las reglas entrantes y salientes.5. En la pestaña Inbound Rules, elija Edit. Elija Add Rule y complete la información necesaria. Por

ejemplo, seleccione HTTP o HTTPS en la lista Type y escriba en Source el valor 0.0.0.0/0 para eltráfico IPv4 o el valor ::/0 para el tráfico IPv6. Elija Save cuando haya terminado.

6. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.7. En el panel de navegación, elija Instances (Instancias).8. Seleccione la instancia, elija Actions, Networking y, a continuación, seleccione Change Security

Groups.9. En el cuadro de diálogo Change Security Groups, desactive la casilla de verificación del grupo de

seguridad seleccionado actualmente y seleccione otro distinto. Seleccione Assign Security Groups.

Para obtener más información, consulte Grupos de seguridad de su VPC (p. 165).

256





Agregar direcciones IP elásticasTras lanzar la instancia en la subred, debe asignarle una dirección IP elástica si desea que esté disponibledesde Internet a través de IPv4.

Note

Si asignó una dirección IPv4 pública a su instancia durante el lanzamiento, la instancia estarádisponible desde Internet y no tendrá que asignarle ninguna dirección IP elástica. Para obtenermás información acerca de la asignación de direcciones IP para su instancia, consulte DireccionesIP en su VPC (p. 123).

Para asignar una dirección IP elástica y asignarla a una instancia utilizando la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Elastic IPs.3. Elija Allocate new address.4. Elija Allocate.

Note

Si su cuenta es compatible con EC2-Classic, elija primero VPC.5. Seleccione la dirección IP elástica de la lista, elija Actions y, a continuación, elija Associate address.6. Elija Instance o Network interface y, a continuación, seleccione la instancia o el ID de interfaz de red.

Seleccione la dirección IP privada a la que desea asociar la dirección IP elástica y, a continuación,elija Associate.

Para obtener más información, consulte Direcciones IP elásticas (p. 307).

Separar una gateway de Internet de su VPCSi ya no necesita el acceso a Internet para las instancias que se lanzan en una VPC no predeterminada,puede separar el puerto de enlace a Internet de la VPC. Tenga en cuenta que no es posible separar elgateway de Internet si la VPC tiene recursos con las direcciones IP públicas o las direcciones IP elásticas.

Para separar un gateway de Internet

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Elastic IPs y seleccione la dirección IP elástica.3. Elija Actions, Disassociate address. Elija Disassociate address.4. En el panel de navegación, elija Internet Gateways (Gateways de Internet).5. Seleccione el gateway de Internet y elija Actions, Detach from VPC (Acciones, Separar de la VPC).6. En el cuadro de diálogo Desconectar de VPC elija Desconectar gateway de Internet.

Eliminar una gateway de InternetSi ya no necesita el gateway de Internet, puede eliminarlo. Tenga en cuenta que no podrá eliminar elgateway de Internet si sigue adjunto a la VPC.

Para eliminar un gateway de Internet

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Internet Gateways.3. Seleccione el gateway de Internet y, a continuación, elija Actions (Acciones), Delete internet gateway

(Eliminar gateway de Internet).

257




Amazon Virtual Private Cloud Guía del usuarioGateways de Internet de solo salida

4. En el cuadro de diálogo Eliminar gateway de Internet escriba delete y elija Eliminar gateway deInternet.

Información general de la API y de los comandosPuede realizar las tareas descritas en esta página utilizando la línea de comandos o a un API. Paraobtener más información acerca de las interfaces de la línea de comandos, junto con una lista de lasacciones de API disponibles, consulte Acceso a Amazon VPC (p. 1).

Cree un gateway de Internet

• create-internet-gateway (AWS CLI)• New-EC2InternetGateway (Herramientas de AWS para Windows PowerShell)

Adjuntar un gateway de Internet a una VPC

• attach-internet-gateway (AWS CLI)• Add-EC2InternetGateway (Herramientas de AWS para Windows PowerShell)

Descripción de un gateway de Internet

• describe-internet-gateways (AWS CLI)• Get-EC2InternetGateway (Herramientas de AWS para Windows PowerShell)

Separar un gateway de Internet de una VPC

• detach-internet-gateway (AWS CLI)• Dismount-EC2InternetGateway (Herramientas de AWS para Windows PowerShell)

Eliminar un gateway de Internet

• delete-internet-gateway (AWS CLI)• Remove-EC2InternetGateway (Herramientas de AWS para Windows PowerShell)

Gateways de Internet de solo salidaLa gateway de internet de solo salida es un componente de VPC de escalado horizontal, redundante y dealta disponibilidad que permite la comunicación saliente a través de IPv6 desde instancias de su VPC ainternet. Asimismo, impide que internet inicie conexiones IPv6 con sus instancias.

Note

La gateway de internet de solo salida se utiliza solo para el tráfico IPv6. Para habilitar lacomunicación con internet de solo salida mediante IPv4, utilice una gateway NAT. Para obtenermás información, consulte Gateways NAT (p. 268).

Contenido• Conceptos básicos de las gateways de Internet de solo salida (p. 259)• Usar gateways de Internet de solo salida (p. 260)• Información general de la API y de la CLI (p. 261)

258

https://docs.aws.amazon.com/cli/latest/reference/ec2/create-internet-gateway.html

https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2InternetGateway.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/attach-internet-gateway.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Add-EC2InternetGateway.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-internet-gateways.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2InternetGateway.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/detach-internet-gateway.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Dismount-EC2InternetGateway.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-internet-gateway.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2InternetGateway.html

Amazon Virtual Private Cloud Guía del usuarioConceptos básicos de las

gateways de Internet de solo salida

Conceptos básicos de las gateways de Internet desolo salidaLas instancias de su subred pública podrán conectarse a internet mediante la gateway de internet sitienen una dirección IPv4 pública o una dirección IPv6. Del mismo modo, los recursos de internet podrániniciar una conexión a su instancia utilizando su dirección IPv4 o su dirección IPv6 como, por ejemplo, alconectarse a su instancia mediante su equipo local.

Las direcciones IPv6 son únicas de forma global y, por lo tanto, son públicas de manera predeterminada.Si desea que su instancia pueda obtener acceso a internet pero desea evitar que los recursos de internetinicien comunicaciones con su instancia, utilice una gateway de internet de solo salida. Para ello, cree unagateway de internet de solo salida en su VPC y, a continuación, añada una ruta a su tabla de enrutamientoque apunte a todo el tráfico IPv6 (::/0) o un rango específico de direcciones IPv6 a la gateway de internetde solo salida. El tráfico IPv6 de la subred asociado a la tabla de enrutamiento se direcciona a la gatewayde internet de solo salida.

La gateway de internet de solo salida tiene estado: reenvía el tráfico desde las instancias de la subred ainternet o a otros servicios de AWS y, a continuación, envía la respuesta de nuevo a las instancias.

La gateway de internet de solo salida tiene las características siguientes:

• No puede asociar un grupo de seguridad a una gateway de internet de solo salida. Puede utilizar gruposde seguridad para sus instancias de la subred privada para controlar el tráfico entrante y saliente deestas instancias.

• Puede usar una ACL de red para controlar el tráfico hacia la subred y procedente de esta para la que lagateway de internet de solo salida direcciona el tráfico.

En el diagrama siguiente, la VPC tiene un bloque de CIDR IPv6 y una subred de la VPC tiene un bloque deCIDR IPv6. La tabla de enrutamiento personalizada se asocia a la subred 1 y apunta todo el tráfico IPv6 deinternet (::/0) a una gateway de internet de solo salida en la VPC.

259

Amazon Virtual Private Cloud Guía del usuarioUsar gateways de Internet de solo salida

Usar gateways de Internet de solo salidaLas secciones siguientes describen cómo crear una gateway de Internet de solo salida (saliente) para susubred privada y para configurar el enrutamiento para la subred.

Crear una gateway de Internet de solo salidaPuede crear una gateway de internet de solo salida para su VPC mediante la consola de Amazon VPC.

Para crear una gateway de internet de solo salida

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Egress Only Internet Gateways.3. Elija Create Egress Only Internet Gateway.4. (Opcional) Añada o elimine una etiqueta.

[Agregar una etiqueta] Elija Agregar etiqueta y haga lo siguiente:


[Eliminar una etiqueta] Elija Eliminar a la derecha de la clave y el valor de la etiqueta.5. Seleccione la VPC en la que desea crear el puerto de enlace a Internet de solo salida.6. Seleccione Create (Crear).

Consultar una gateway de Internet de solo salidaPuede ver información acerca de una gateway de internet de solo salida en la consola de Amazon VPC.

Para ver la información acerca de la gateway de internet de solo salida

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Egress Only Internet Gateways.3. Seleccione la gateway de internet de solo salida para ver su información en el panel de detalles.

Crear una tabla de enrutamiento personalizadaPara enviar el tráfico con destino fuera de la VPC a la gateway de internet de solo salida, debe crear unatabla de enrutamiento personalizada, añadir una ruta que envíe el tráfico a la gateway y, a continuación,asociarla a la subred.

Para crear una tabla de enrutamiento personalizada y añadir una ruta a la gateway de internet desolo salida

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Route Tables, Create Route Table.3. En el cuadro de diálogo Crear tabla de enrutamiento, podrá, de manera opcional, asignar un nombre a

la tabla de enrutamiento, a continuación seleccionar su VPC y elegir Sí, crear.4. Seleccione la tabla de ruteo personalizada que acaba de crear. El panel de detalles muestra pestañas

para trabajar con sus rutas, sus asociaciones y la propagación de rutas.

260




Amazon Virtual Private Cloud Guía del usuarioInformación general de la API y de la CLI

5. En la pestaña Routes (Rutas), elija Edit (Editar), especifique ::/0 en el cuadro Destination (Destino),seleccione el ID de la gateway de internet de solo salida en la lista Target (Objetivo) y, a continuación,elija Save (Guardar).

6. En la pestaña Asociaciones de subred, elija Editar y seleccione la casilla de verificación Asociar parala subred. Seleccione Save.

De manera alternativa, pude añadir una ruta a la tabla de ruteo existente asociada a su subred. Seleccionela tabla de enrutamiento existente y siga los pasos 5 y 6 anteriores para añadir una ruta a la gateway deinternet de solo salida.

Para obtener más información acerca de las tablas de ruteo, consulte Tablas de ruteo (p. 220).

Eliminar una gateway de Internet de solo salidaSi ya no necesita la gateway de internet de solo salida, puede eliminarla. Las rutas de la tabla deenrutamiento que apuntan a la gateway de internet de solo salida permanecerán con el estado blackholehasta que elimine o actualice manualmente la ruta.

Para eliminar la gateway de internet de solo salida

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Gateways de Internet de solo salida y seleccione la gateway de

internet de solo salida.3. Elija Eliminar.4. Elija Delete Egress Only Internet Gateway en el cuadro de diálogo de confirmación.

Información general de la API y de la CLIPuede realizar las tareas descritas en esta página utilizando la línea de comandos o a un API. Paraobtener más información acerca de las interfaces de la línea de comandos, junto con una lista de lasacciones de API disponibles, consulte Acceso a Amazon VPC (p. 1).

Creación de una gateway de internet de solo salida

• create-egress-only-internet-gateway (AWS CLI)• New-EC2EgressOnlyInternetGateway (Herramientas de AWS para Windows PowerShell)

Descripción de una gateway de internet de solo salida

• describe-egress-only-internet-gateways (AWS CLI)• Get-EC2EgressOnlyInternetGatewayList (Herramientas de AWS para Windows PowerShell)

Eliminación de una gateway de internet de solo salida

• delete-egress-only-internet-gateway (AWS CLI)• Remove-EC2EgressOnlyInternetGateway (Herramientas de AWS para Windows PowerShell)

Gateways de operadorUna gateway de operador tiene dos propósitos. Permite el tráfico entrante desde una red de operadoren una ubicación específica y permite el tráfico saliente a la red de operador e Internet. No hay ninguna

261


https://docs.aws.amazon.com/cli/latest/reference/ec2/create-egress-only-internet-gateway.html

https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2EgressOnlyInternetGateway.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-egress-only-internet-gateways.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2EgressOnlyInternetGatewayList.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-egress-only-internet-gateway.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2EgressOnlyInternetGateway.html

Amazon Virtual Private Cloud Guía del usuarioHabilitar el acceso a la red de

operador de telecomunicaciones

configuración de conexión entrante desde Internet a una zona de Wavelength a través de la gateway deoperador.

Una gateway de operador admite tráfico IPv4.

Las gateways de operador solo están disponibles para VPC que contienen subredes en una zona deWavelength. La gateway de operador proporciona conectividad entre la zona de Wavelength y operadorde telecomunicaciones y los dispositivos en la red de operadores de telecomunicaciones. La gatewayde operador realiza NAT de las direcciones IP de las instancias de Wavelength a las direcciones IP deloperador desde un grupo asignado al grupo de bordes de red. La función NAT de la gateway de operadores similar a cómo funciona una gateway de Internet en una región.

Habilitar el acceso a la red de operador detelecomunicacionesPara habilitar el acceso a la red de operador de telecomunicaciones o desde ella para las instancias deuna subred de Wavelength, debe hacer lo siguiente:

• Cree una VPC.• Cree una gateway de operador y asocie la gateway de operador a su VPC. Al crear la gateway de

operador, puede elegir opcionalmente qué subredes enrutan a la gateway de operador. Al seleccionaresta opción, creamos automáticamente los recursos relacionados con las gateways de operador, comolas tablas de enrutamiento y las ACL de red. Si no elige esta opción, debe realizar las siguientes tareas:• Seleccione las subredes que enrutan el tráfico a la gateway de operador.• Asegúrese de que las tablas de enrutamiento de subred tengan una ruta que dirija el tráfico a la

gateway de operador.• Asegúrese de que las instancias de su subred tengan una dirección IP de operador única globalmente.• Asegúrese de que las reglas de los grupos de seguridad y las listas de control de acceso a la red

permitan el envío de tráfico relevante desde o hacia la instancia.

Trabajar con gateways de operadorEn las secciones siguientes se describe cómo crear manualmente una gateway de operador para su VPCpara admitir el tráfico entrante de la red de operadores (por ejemplo, teléfonos móviles) y para admitir eltráfico saliente a la red de operador y a Internet.

Tareas• Creación de una VPC (p. 262)• Crear una gateway de operador (p. 263)• Crear un grupo de seguridad para acceder a la red de operador de telecomunicaciones (p. 264)• Asigne y asocie una dirección IP de operador con la instancia en la subred de la zona de

Wavelength (p. 265)• Ver los detalles de la gateway de operador (p. 266)• Administrar etiquetas de gateway de operador (p. 266)• Eliminar una gateway de operador (p. 267)

Creación de una VPCPuede crear una VPC de Wavelength vacía utilizando la consola de Amazon VPC o la AWS CLI.

262

Amazon Virtual Private Cloud Guía del usuarioTrabajar con gateways de operador

Amazon VPC console

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Your VPCs, Create VPC.3. Especifique los siguientes detalles de VPC según sea necesario y elija Crear.

• Name tag: indique, de manera opcional, un nombre para su VPC. Esta acción creará unaetiqueta con una clave de Name y el valor que especifique.

• IPv4 CIDR block: especifique un bloque de CIDR IPv4 para la VPC. Se recomienda especificarun bloque de CIDR de los rangos de direcciones IP privadas (no direccionables públicamente)tal como se especifica en RFC 1918. Por ejemplo, 10.0.0.0/16 o 192.168.0.0/16.

Note

Puede especificar un rango de direcciones IPv4 enrutables públicamente. Sinembargo, actualmente no admitimos el acceso directo a Internet desde bloquesde CIDR enrutables públicamente en una VPC. Las instancias de Windows no sepodrán iniciar correctamente si se lanzan en una VPC con rangos que oscilan desde224.0.0.0 a 255.255.255.255 (rangos de direcciones IP de clase D y clase E).

AWS CLI

Para crear una VPC

• Use create-vpc. Para obtener más información, consulte create-vpc en la AWS CLI CommandReference.

Crear una gateway de operadorDespués de crear una VPC, cree una gateway de operador y, a continuación, seleccione las subredes queenrutan el tráfico a la gateway de operador.

Si no ha optado por una zona de Wavelength, Consola de Amazon VPC le pedirá que lo haga. Paraobtener más información, consulte the section called “Administrar zonas” (p. 267).

Cuando elige enrutar automáticamente el tráfico de las subredes a la gateway de operador, creamos lossiguientes recursos:

• Una gateway de operador• Una subred Opcionalmente, puede asignar todas las etiquetas de gateway de operador que no tengan

un valor Clave de Name a la subred.• Una ACL de red con los siguientes recursos:

• Una subred asociada a la subred en la zona de Wavelength• Reglas predeterminadas de entrada y salida para todo el tráfico

• Una tabla de enrutamiento con los siguientes recursos:• Una ruta para todo el tráfico local• Una ruta que enruta todo el tráfico no local a la gateway de operador• Una asociación con la subred

Amazon VPC console

Para crear una gateway de operador


263



https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpc.html



2. En el panel de navegación, elija Gateways de operador, y, a continuación, elija Crear gateway deoperador.

3. Opcional: en Nombre, escriba un nombre para la gateway de operador.4. En VPC, elija la VPC.5. Elija Route subnet traffic to carrier gateway (Enrutar el tráfico de subred a la gateway de

operador), y, en Subnets to route (Subredes que enrutar) haga lo siguiente.

a. En Existing subnets in Wavelength Zone (Subredes existentes en zona de Wavelength),seleccione el recuadro de cada subred de Wavelength que enrutar a la gateway de operador.

b. Para crear una subred en la zona de Wavelength, elija Add new subnet (Agregar nuevasubred), especifique la siguiente información y, a continuación, elija Add new subnet (Agregarnueva subred):

• Name tag: indique, de manera opcional, un nombre para su subred. Esta acción creará unaetiqueta con una clave de Name y el valor que especifique.

• VPC: elija la VPC.• Zona de disponibilidad: elija la zona de Wavelength.• IPv4 CIDR block: especifique un bloque de CIDR IPv4 para su subred. Por ejemplo,10.0.1.0/24.

• Para aplicar las etiquetas de gateway de operador a la subred, seleccione Apply same tagsfrom this carrier gateway (Aplicar las mismas etiquetas de esta gateway de operador).

6. (Opcional) Para agregar una etiqueta a la gateway de operador, elija Agregar etiqueta, y, acontinuación, haga lo siguiente:• En Key (Clave), escriba el nombre de la clave.• En Value (Valor), escriba el valor de la clave.

7. Elija Crear gateway de operador.

AWS CLI

Para crear una gateway de operador

• Use create-carrier-gateway. Para obtener más información, consulte create-carrier-gateway en la AWS CLI Command Reference.

Crear un grupo de seguridad para acceder a la red de operadorde telecomunicacionesDe forma predeterminada, un grupo de seguridad de VPC permite todo el tráfico saliente. Puede crearun nuevo grupo de seguridad y agregar reglas que permitan el tráfico entrante desde operador detelecomunicaciones. A continuación, asociará el grupo de seguridad con las instancias de la subred.

Amazon VPC console

Para crear un nuevo grupo de seguridad y asociarlo a sus instancias

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Security Groups y, a continuación, elija Create Security Group.3. Para crear un grupo de seguridad, elija Crear grupo de seguridad, especifique la siguiente

información y, a continuación, elija crear:

• Nombre de grupo de seguridad: escriba un nombre para la subred.

264

https://docs.aws.amazon.com/cli/latest/reference/ec2/create-carrier-gateway.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/create-carrier-gateway.html



• Descripción: escriba la descripción del grupo de seguridad.• VPC: elija la VPC.

4. Seleccione el grupo de seguridad. El panel de detalles muestra información detallada del grupo deseguridad, además de pestañas que permiten usar las reglas entrantes y salientes.

5. En la pestaña Inbound Rules, elija Edit. Elija Add Rule y complete la información necesaria. Porejemplo, seleccione HTTP o HTTPS en la lista Type y escriba en Source el valor 0.0.0.0/0 parael tráfico IPv4 o el valor ::/0 para el tráfico IPv6. Seleccione Save.

6. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.7. En el panel de navegación, elija Instances (Instancias).8. Seleccione la instancia, elija Acciones, Networking (Redes) y, a continuación, seleccione Change

Security Groups (Cambiar grupos de seguridad).9. Desactive la casilla de verificación del grupo de seguridad seleccionado actualmente y, a

continuación, seleccione el nuevo. Seleccione Assign Security Groups (Asignar grupos deseguridad).

AWS CLI

Para crear un grupo de seguridad

• Use create-security-group. Para obtener más información, consulte create-security-groupen la AWS CLI Command Reference.

Asigne y asocie una dirección IP de operador con la instancia enla subred de la zona de WavelengthSi utilizó la consola de Amazon EC2 para lanzar la instancia, o no utilizó la opción associate-carrier-ip-address de la AWS CLI, debe asignar una dirección IP de operador y asignarla a la instancia:

Para asignar y asociar una dirección IP de operador

1. Use allocate-address para asignar una dirección IP del operador. Para obtener más información,consulte allocate-address en la AWS CLI Command Reference.

Ejemplo

aws ec2 allocate-address--address --region us-east-1 --domain vpc --network-border-group us-east-1-wl1-bos-wlz-1

Salida

{ "AllocationId": "eipalloc-05807b62acEXAMPLE", "PublicIpv4Pool": "amazon", "NetworkBorderGroup": "us-east-1-wl1-bos-wlz-1", "Domain": "vpc", "CarrierIp": "155.146.10.111"

}

2. Utilice associate-address para asociar la dirección IP del operador con la instancia EC2. Paraobtener más información, consulte associate-address en la AWS CLI Command Reference.

Ejemplo

265


https://docs.aws.amazon.com/cli/latest/reference/ec2/dcreate-security-group.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/allocate-address.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/associate-address.html


aws ec2 associate-address --allocation-id eipalloc-05807b62acEXAMPLE --network-interface-id eni-1a2b3c4d

Salida

{ "AssociationId": "eipassoc-02463d08ceEXAMPLE",}

Ver los detalles de la gateway de operadorPuede ver información sobre la gateway de operador, incluido el estado y las etiquetas.

Amazon VPC console

Para ver los detalles de la gateway de operador

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Gateways de operador.3. Seleccione la gateway de operador y elija Acciones, Ver detalles.

AWS CLI

Para ver los detalles de la gateway de operador

• Use describe-carrier-gateways. Para obtener más información, consulte describe-carrier-gateways en la AWS CLI Command Reference.

Administrar etiquetas de gateway de operadorLas etiquetas le ayudan a identificar las gateways de operador. Puede agregar o eliminar etiquetas.

Amazon VPC console

Para administrar las etiquetas de la gateway de operador

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Gateways de operador.3. Seleccione la gateway de operador y elija Acciones, Manage tags (Administrar etiquetas).4. Para agregar una etiqueta, elija Agregar etiqueta y, a continuación, haga lo siguiente:


5. Para eliminar una etiqueta, elija Quitar a la derecha de la Clave y Valor de la etiqueta.6. Elija Save (Guardar).

AWS CLI

Para administrar las etiquetas de la gateway de operador

• Para crear una etiqueta, utilice create-tag. Para obtener más información, consulte create-tagen la AWS CLI Command Reference.

266


https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-carrier-gateways.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-carrier-gateways.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/create-tag.html

Amazon Virtual Private Cloud Guía del usuarioAdministrar zonas

Para eliminar etiquetas, utilice delete-tags. Para obtener más información, consulte delete-tagsen la AWS CLI Command Reference.

Eliminar una gateway de operadorSi ya no necesita una gateway de operador, puede eliminarla.

Important

Si no elimina la ruta que tiene la gateway de operador como Objetivo, la ruta es una ruta deagujero negro.

Amazon VPC console

Para eliminar una gateway de operador

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Gateways de operador.3. Seleccione la gateway de operador y elija Acciones, Eliminar gateway de operador.4. En el cuadro de diálogo Eliminar gateway de operador escriba Eliminar y, a continuación, elija

Eliminar.

AWS CLI

Para eliminar una gateway de operador

• Use delete-carrier-gateway. Para obtener más información, consulte delete-carrier-gateway en la AWS CLI Command Reference.

Administrar zonasAntes de que especifique una zona de Wavelength para un recurso o servicio, debe inscribirse en la zona.

Es necesario que solicite acceso para utilizar zonas de Wavelength antes de inscribirse. Para obtenerinformación sobre cómo solicitar acceso a la zona de Wavelength, consulte AWS Wavelength.

NATPuede utilizar un dispositivo NAT para permitir a las instancias de la subred privada conectarse a Internet(por ejemplo, para actualizaciones de software) o a otros servicios de AWS a la vez que impide a Internetiniciar conexiones a las instancias. El dispositivo NAT reenvía el tráfico desde las instancias de la subredprivada a Internet o a otros servicios de AWS y, a continuación, envía la respuesta de nuevo a lasinstancias. Cuando el tráfico va a Internet, la dirección IPv4 de origen se reemplaza con la direccióndel dispositivo NAT y, de forma similar, cuando el tráfico de respuesta se dirige a dichas instancias, eldispositivo NAT convierte la dirección de nuevo a las direcciones IPv4 privadas de estas instancias.

Los dispositivos NAT no son compatibles con el tráfico IPv6; en su lugar, utilice un puerto de enlacea Internet de solo salida. Para obtener más información, consulte Gateways de Internet de solosalida (p. 258).

267

https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-tags.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-carrier-gateway.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-carrier-gateway.html

https://pages.awscloud.com/wavelength-signup-form.html

Amazon Virtual Private Cloud Guía del usuarioGateways NAT

Note

En esta documentación empleamos el término NAT para seguir la práctica habitual en el sector deTI, aunque la función real de un dispositivo NAT aborda tanto la conversión de direcciones comola conversión de direcciones de puertos (PAT).

AWS ofrece dos tipos de dispositivos NAT: una gateway NAT o una instancia NAT. Recomendamoslas gateways NAT, ya que proporcionan una mayor disponibilidad y ancho de banda que las instanciasNAT. El servicio de gateway NAT también es un servicio administrado que no requiere esfuerzos deadministración por su parte. Las instancias NAT se lanzan desde una AMI de NAT. Puede elegir utilizaruna instancia NAT para casos especiales.

• Gateways NAT (p. 268)• Instancias NAT (p. 287)• Comparación de las instancias NAT con las gateways NAT (p. 295)

Gateways NATPuede utilizar una gateway de conversión de las direcciones de red (NAT) para permitir a las instanciasde la subred privada conectarse a Internet o a otros servicios de AWS a la vez que se impide a Internetiniciar una conexión a esas mismas instancias. Para obtener más información acerca de NAT, consulteNAT (p. 267).

Se le cobrará por la creación y el uso de una gateway NAT en su cuenta. Se aplican las tarifas deprocesamiento de datos y uso por horas de la gateway NAT. También se aplican cargos de Amazon EC2por la transferencia de datos. Para obtener más información, consulte Precios de Amazon VPC.

Las gateways NAT no son compatibles con el tráfico IPv6; en su lugar, utilice una gateway de Internet desolo salida. Para obtener más información, consulte Gateways de Internet de solo salida (p. 258).

Contenido• Conceptos básicos de la gateway NAT (p. 268)• Usar gateways NAT (p. 270)• Controlar el uso de gateways NAT (p. 274)• Etiquetar una gateway NAT (p. 274)• Información general de la API y de la CLI (p. 274)• Monitorear gateways NAT con Amazon CloudWatch (p. 275)• Solucionar problemas de gateways NAT (p. 280)

Conceptos básicos de la gateway NATPara crear una gateway NAT, debe especificar la subred pública en la que se debe encontrar la gatewayNAT. Para obtener más información acerca de las subredes públicas y privadas, consulte Enrutar lasubred (p. 99). También debe especificar una dirección IP elástica (p. 307) para asociar a la gatewayNAT cuando la cree. La dirección IP elástica no se puede cambiar después de asociarla con la gatewayNAT. Una vez creada una gateway NAT, debe actualizar la tabla de enrutamiento asociada a una o variasde sus subredes privadas para que apunten el tráfico vinculado a Internet a la gateway NAT. Esto permitea las instancias de sus subredes privadas comunicarse con Internet.

Cada gateway NAT se crea en una zona de disponibilidad específica, y se implementa con redundancia endicha zona. Hay una cuota establecida en el número de gateways NAT que puede crear en una zona dedisponibilidad. Para obtener más información, consulte Cuotas de Amazon VPC (p. 378).

268

http://aws.amazon.com/vpc/pricing/


Note

Si tiene recursos en varias zonas de disponibilidad que comparten una gateway NAT y lazona de disponibilidad de la gateway NAT no funciona, los recursos de las demás zonas dedisponibilidad perderán el acceso a Internet. Para crear una arquitectura independiente de lazona de disponibilidad, cree una gateway NAT en cada zona de disponibilidad y configure eldireccionamiento para asegurarse de que los recursos utilicen la gateway NAT de la misma zonade disponibilidad.

Si ya no necesita una gateway NAT, puede eliminarla. Al eliminar una gateway NAT, se desasocia sudirección IP elástica, pero no se libera la dirección de su cuenta.

El siguiente diagrama ilustra la arquitectura de una VPC con una gateway NAT. La tabla de ruteo principalenvía el tráfico de Internet desde las instancias de la subred privada a la gateway NAT. La gateway NATusa la dirección IP elástica de la gateway NAT como la dirección IP de origen para enviar el tráfico alpuerto de enlace a Internet.

Reglas y limitaciones de una gateway NAT

Las gateways NAT tienen las siguientes características y limitaciones:

• Las gateways NAT admiten 5 Gbps de ancho de banda y se amplían automáticamente hasta 45 Gbps.Si necesita más velocidad, distribuya la carga de trabajo dividiendo los recursos en varias subredes ycreando una gateway NAT en cada subred.

• Puede asociar exactamente una dirección IP elástica a una gateway NAT. No puede desasociar unadirección IP elástica de una gateway NAT después de crearla. Para usar una dirección IP elástica

269


distinta para su gateway NAT, debe crear una nueva gateway NAT con la dirección necesaria, actualizarsus tablas de ruteo y, a continuación, eliminar la gateway NAT existente si ya no la necesita.

• Una gateway NAT admite los siguientes protocolos: TCP, UDP e ICMP.• No puede asociar un grupo de seguridad a una gateway NAT. Puede usar grupos de seguridad para sus

instancias en las subredes privadas para controlar el tráfico entrante y saliente de estas instancias.• Puede usar una ACL de red para controlar el tráfico hacia la subred y procedente de esta en la que se

encuentra la gateway NAT. La ACL de red se aplica al tráfico de la gateway NAT. Una gateway NATutiliza los puertos 1024-65535. Para obtener más información, consulte ACL de red (p. 174).

• Cuando se crea una gateway NAT, recibe una interfaz de red a la que se asigna automáticamente unadirección IP privada del rango de direcciones IP de su subred. Puede ver la interfaz de red de la gatewayNAT en la consola de Amazon EC2. Para obtener más información, consulte Consultar los detalles deuna interfaz de red. No se pueden modificar los atributos de esta interfaz de red.

• No se puede obtener acceso a una gateway NAT desde una conexión de ClassicLink asociada a suVPC.

• No se puede dirigir el tráfico a una gateway NAT mediante una interconexión de VPC, una conexión deSite-to-Site VPN ni AWS Direct Connect. No es posible utilizar una gateway NAT con recursos situadosen el otro lado de dichas conexiones.

• Una gateway NAT puede admitir hasta 55,000 conexiones simultáneas a cada destino único. Este límitese aplica también cuando se crean aproximadamente 900 conexiones por segundo hacia un únicodestino (sobre 55 000 conexiones por minuto). Si la dirección IP de destino, el puerto de destino o elprotocolo (TCP/UDP/ICMP) cambian, puede crear 55 000 conexiones adicionales. Cuando hay más de55 000 conexiones, las probabilidades de errores de conexión aumentan debido a errores de asignaciónde puertos. Estos errores se pueden monitorizar examinando la métrica de ErrorPortAllocationCloudWatch para la gateway NAT. Para obtener más información, consulte Monitorear gateways NATcon Amazon CloudWatch (p. 275).

Migrar desde una instancia NATSi ya está utilizando una instancia NAT, puede reemplazarla por una gateway NAT. Para ello, puede crearuna gateway NAT en la misma subred que su instancia NAT, y luego reemplazar la ruta existente en sutabla de ruteo que apunta a la instancia NAT por una ruta que apunte a la gateway NAT. Para usar lamisma dirección IP elástica para la gateway NAT que utiliza actualmente para su instancia NAT, primerodebe desasociar la dirección IP elástica de su instancia NAT y después asociarla a su gateway NAT alcrear la gateway.

Note

Si cambia su direccionamiento de una instancia NAT a una gateway NAT, o si desasocia ladirección IP elástica de su instancia NAT, las conexiones actuales se perderán y tendrá que volvera establecerlas. Asegúrese de no estar ejecutando ninguna tarea crítica (o cualquier otra tareaque opere mediante la instancia NAT).

Práctica recomendada cuando se envía tráfico a Amazon S3 o DynamoDB en lamisma regiónPara evitar cargos por procesamiento de datos para las gateways NAT al obtener acceso a Amazon S3y DynamoDB que se encuentran en la misma región, configure un punto de enlace de puerta de enlace ydireccione el tráfico a través del punto de enlace de gateway en vez de la gateway NAT. No hay cargos porusar un punto de enlace de gateway. Para obtener más información, consulte Puntos de conexión de laVPC de gateway (p. 330).

Usar gateways NATPuede utilizar la consola de Amazon VPC para crear, ver y eliminar gateways NAT. También puedeutilizar el asistente de Amazon VPC para crear una VPC con una subred pública, una subred privada

270

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html#view_eni_details

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html#view_eni_details


y una gateway NAT. Para obtener más información, consulte VPC con subredes privadas y públicas(NAT) (p. 29).

Tareas• Crear una gateway NAT (p. 271)• Actualizar la tabla de enrutamiento (p. 271)• Eliminar una gateway NAT (p. 272)• Comprobar una gateway NAT (p. 272)

Crear una gateway NAT

Para crear una gateway NAT, debe especificar una subred y una dirección IP elástica. Asegúrese de quela dirección IP elástica no está asociada actualmente a una instancia o una interfaz de red. Si va a migrarde una instancia NAT a una gateway NAT y desea reutilizar la dirección IP elástica de la instancia NAT,primero debe desasociar la dirección de su instancia NAT.

Para crear una gateway NAT

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija NAT Gateways, Create NAT Gateway.3. Especifique la subred en la que crear la gateway NAT y seleccione el ID de asignación de una

dirección IP elástica que asociar a la gateway NAT.4. (Opcional) Añada o elimine una etiqueta.



[Eliminar una etiqueta] Elija el botón de eliminación (“x”) situado a la derecha de la clave y valor de laetiqueta.

5. Elija Create a NAT Gateway (Crear una gateway NAT).6. La gateway NAT aparecerá en la consola. Después de un momento, su estado cambiará a

Available, una vez que esté lista para su uso.

Si la gateway NAT cambia al estado Failed, esto indica que ha habido un error durante la creación. Paraobtener más información, consulte La creación de la gateway NAT produce un error (p. 280).

Actualizar la tabla de enrutamiento

Una vez creada su gateway NAT, debe actualizar sus tablas de ruteo para sus que sus redes privadasapunten el tráfico de Internet a la gateway NAT. Para determinar cómo dirigir tráfico, se usa la ruta másespecífica que coincida con el tráfico en cuestión (coincidencia del prefijo más largo). Para obtener másinformación, consulte Prioridad de la ruta (p. 227).

Para crear una ruta para una gateway NAT

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Route Tables.3. Seleccione la tabla de ruteo asociada a su subred privada y elija Routes, Edit.4. Elija Add another route. En Destination, escriba 0.0.0.0/0. En Target, seleccione el ID de su

gateway NAT.

271




Note

Si va a migrar de utilizar una instancia NAT, puede reemplazar la ruta actual que apunte a lainstancia NAT con una ruta a la gateway NAT.

5. Seleccione Save (Guardar).

Para asegurarse de que su gateway NAT tiene acceso a Internet, la tabla de ruteo asociada a lasubred en la que reside su gateway NAT debe incluir una ruta que apunte el tráfico de Internet a unpuerto de enlace a Internet. Para obtener más información, consulte Crear una tabla de enrutamientopersonalizada (p. 256). Si elimina una gateway NAT, sus rutas permanecerán con el estado blackholehasta que las elimine o las actualice. Para obtener más información, consulte Agregar y eliminar rutas deuna tabla de enrutamiento (p. 238).

Eliminar una gateway NAT

Puede eliminar una gateway NAT través de la consola de Amazon VPC. Una vez que se elimine lagateway NAT, su entrada permanecerá visible en la consola de Amazon VPC durante un breve periodo detiempo (normalmente una hora), hasta que se elimine automáticamente. No puede quitar esta entrada porsí mismo.

Para eliminar una gateway NAT

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija NAT Gateways.3. Seleccione la gateway NAT y, a continuación, elija Actions (Acciones) y Delete NAT Gateway (Eliminar

gateway NAT).4. En el cuadro de diálogo de confirmación, elija Delete NAT Gateway.5. Si ya no necesita la dirección IP elástica asociada con la gateway NAT, es recomendable liberarla.

Para obtener más información, consulte Liberación de una dirección IP elástica (p. 311).

Comprobar una gateway NAT

Una vez que haya creado la gateway NAT y haya actualizado sus tablas de enrutamiento, puede hacerping a varias direcciones remotas de Internet desde una instancia de su subred privada para comprobarque puede conectarse a Internet. Para ver un ejemplo práctico, consulte Comprobar la conexión aInternet (p. 273).

Si se puede conectar a Internet, también podrá realizar las siguientes pruebas para determinar si el tráficode Internet se está dirigiendo a través de la gateway NAT:

• Puede trazar la ruta de tráfico desde una instancia de su subred privada. Para ello, ejecute el comandotraceroute desde una instancia de Linux en su subred privada. En el resultado, debería ver ladirección IP privada de la gateway NAT en uno de los saltos (suele ser el primero).

• Puede utilizar un sitio web o una herramienta de terceros que muestre la dirección IP de origen alconectarse desde una instancia de su subred privada. La dirección IP de origen debería ser la direcciónIP elástica de su gateway NAT. Puede obtener la dirección IP elástica y la dirección IP privada de sugateway NAT viendo su información en la página NAT Gateways (Gateways NAT) de la consola deAmazon VPC.

Si las pruebas anteriores no son satisfactorias, consulte Solucionar problemas de gatewaysNAT (p. 280).

272



Comprobar la conexión a Internet

El siguiente ejemplo muestra cómo comprobar si su instancia en una subred privada se puede conectar aInternet.

1. Lance una instancia en su subred pública (la usará como host bastión). Para obtener más información,consulte Lanzar una instancia en su subred (p. 104). En el asistente de lanzamiento, asegúrese deseleccionar una AMI de Amazon Linux y de asignar una dirección IP pública a su instancia. Asegúresede que las reglas de su grupo de seguridad admiten el tráfico SSH entrante del rango de direcciones IPde su red local y el tráfico SSH saliente al rango de direcciones IP de su subred privada (también puedeutilizar 0.0.0.0/0 para el tráfico SSH tanto entrante como saliente en esta prueba).

2. Lance una instancia en su subred privada. En el asistente de lanzamiento, asegúrese de seleccionaruna AMI de Amazon Linux. No asigne una dirección IP pública a su instancia. Asegúrese de quelas reglas de su grupo de seguridad admiten el tráfico SSH entrante de la dirección IP privada de lainstancia que lanzó en la subred pública, así como todo el tráfico ICMP saliente. Debe elegir el mismopar de claves que utilizó para lanzar su instancia en la subred pública.

3. Configure el reenvío de agentes SSH en su equipo local, y conéctese a su host bastión en la subredpública. Para obtener más información, consulte Para configurar el reenvío de agentes SSH para Linuxo macOS (p. 273) o Para configurar el reenvío de agentes SSH para Windows (PuTTY) (p. 273).

4. Desde el host bastión, conéctese a su instancia en la subred privada y, a continuación, compruebe laconexión a Internet desde su instancia en la subred privada. Para obtener más información, consultePara comprobar la conexión a Internet (p. 274).

Para configurar el reenvío de agentes SSH para Linux o macOS

1. Desde su equipo local, añada su clave privada al agente de autenticación.

Para Linux, utilice el siguiente comando.

ssh-add -c mykeypair.pem

Para macOS, utilice el siguiente comando.

ssh-add -K mykeypair.pem

2. Conéctese a su instancia en la subred pública utilizando la opción -A para habilitar el reenvío deagentes SSH y utilice la dirección pública de la instancia, como se muestra en el ejemplo siguiente.

ssh -A [email protected]

Para configurar el reenvío de agentes SSH para Windows (PuTTY)

1. Descargue e instale Pageant desde la página de descargas de PuTTY, si aún no lo tiene instalado.2. Convierta su clave privada al formato .ppk. Para obtener más información, consulte Convertir la clave

privada mediante PuTTYgen en la Guía del usuario de Amazon EC2 para instancias de Linux.3. Inicie Pageant, haga clic con el botón derecho en el icono de Pageant de la barra de tareas (puede

estar oculto) y elija Add Key. Seleccione el archivo .ppk que ha creado, escriba la frase de contraseñasi es necesario y elija Open (Abrir).

4. Inicie una sesión de PuTTY y conéctese a su instancia en la subred pública utilizando su dirección IPpública. Para obtener más información, consulte Conectarse a la instancia de Linux. En la categoríaAuth, asegúrese de seleccionar la opción Allow agent forwarding y deje el cuadro Private key file forauthentication en blanco.

273

http://www.chiark.greenend.org.uk/~sgtatham/putty/

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/putty.html#putty-private-key


https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/putty.html#putty-ssh


Para comprobar la conexión a Internet

1. Desde su instancia en la subred pública, conéctese a su instancia en la subred privada utilizando sudirección IP privada, como se muestra en el ejemplo siguiente.

ssh [email protected]

2. Desde su instancia privada, compruebe que puede conectarse a Internet ejecutando el comando pingpara un sitio web que tenga ICMP habilitado.

ping ietf.org

PING ietf.org (4.31.198.44) 56(84) bytes of data.64 bytes from mail.ietf.org (4.31.198.44): icmp_seq=1 ttl=47 time=86.0 ms64 bytes from mail.ietf.org (4.31.198.44): icmp_seq=2 ttl=47 time=75.6 ms...

Pulse Ctrl+C en su teclado para cancelar el comando ping. Si el comando ping da error, consulteLas instancias no pueden obtener acceso a Internet (p. 283).

3. (Opcional) Si ya no necesita las instancias, termínelas. Para obtener más información, consulteTerminar la instancia en la Guía del usuario de Amazon EC2 para instancias de Linux.

Controlar el uso de gateways NATDe forma predeterminada, los usuarios de IAM no tienen permiso para trabajar con gateways NAT.Puede crear una política de usuarios de IAM que conceda permisos a los usuarios para crear, describir yeliminar gateways NAT. Actualmente no se admiten los permisos de nivel de recursos para ninguna de lasoperaciones API de ec2:*NatGateway*. Para obtener más información sobre las políticas de IAM paraAmazon VPC, consulte Administración de identidades y accesos para Amazon VPC (p. 147).

Etiquetar una gateway NATPuede etiquetar la gateway NAT como ayuda para identificarla o clasificarla según las necesidades de suorganización. Para obtener información sobre trabajar con etiquetas, consulte Etiquetar los recursos deAmazon EC2 en la Guía del usuario de Amazon EC2 para instancias de Linux.

Las etiquetas de asignación de costos son compatibles con las gateways NAT. Por lo tanto, tambiénpuede utilizar etiquetas para organizar su factura de AWS y reflejar su propia estructura de costos. Paraobtener más información, consulte Usar etiquetas de asignación de costos en la Guía del usuario de AWSBilling and Cost Management. Para obtener más información acerca de la configuración de un informe deasignación de costos con etiquetas, consulte Informe de asignación de costos mensual en Facturación decuentas de AWS.

Información general de la API y de la CLIPuede realizar las tareas descritas en esta página utilizando la línea de comandos o al API. Para obtenermás información acerca de las interfaces de la línea de comandos, junto con una lista de las operacionesde API disponibles, consulte Acceso a Amazon VPC (p. 1).

Creación de una gateway NAT

• create-nat-gateway (AWS CLI)• New-EC2NatGateway (Herramientas de AWS para Windows PowerShell)• CreateNatGateway (API de consulta de Amazon EC2)

274


https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html

https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html

https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/configurecostallocreport.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/create-nat-gateway.html

https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2NatGateway.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateNatGateway.html


Etiquetar una gateway NAT

• create-tags (AWS CLI)• New-EC2Tag (Herramientas de AWS para Windows PowerShell)• CreateTags (API de consulta de Amazon EC2)

Descripción de una gateway NAT

• describe-nat-gateways (AWS CLI)• Get-EC2NatGateway (Herramientas de AWS para Windows PowerShell)• DescribeNatGateways (API de consulta de Amazon EC2)

Eliminación de una gateway NAT

• delete-nat-gateway (AWS CLI)• Remove-EC2NatGateway (Herramientas de AWS para Windows PowerShell)• DeleteNatGateway (API de consulta de Amazon EC2)

Monitorear gateways NAT con Amazon CloudWatchPuede monitorizar la gateway NAT con CloudWatch, que recopila información de la gateway NAT y creamétricas legibles y casi en tiempo real. Puede utilizar esta información para monitorizar la gateway NAT ysolucionar sus problemas. Los datos de las métricas de gateway NAT se proporcionan en intervalos de unminuto y las estadísticas se registran durante un periodo de 15 meses.

Para obtener más información sobre Amazon CloudWatch, consulte Guía del usuario de AmazonCloudWatch. Para obtener más información sobre los precios, consulte Precios de Amazon CloudWatch.

Métricas y dimensiones de gateway NAT

Las siguientes métricas están disponibles para las gateways de NAT.

Métrica Descripción

ActiveConnectionCount Número total de conexiones TCP simultáneasactivas a través de la gateway NAT.

Si el valor es cero, indica que no hay conexionesactivas a través de la gateway NAT.

Unidades: recuento

Estadísticas: la estadística más útil es Max.

BytesInFromDestination Número de bytes recibidos por la gateway NATdesde el destino.

Si el valor de BytesOutToSource es menorque el valor de BytesInFromDestination,puede que se estén perdiendo datos duranteel procesamiento de la gateway NAT o que lagateway NAT bloquee el tráfico.

Unidades: bytes

275

https://docs.aws.amazon.com/cli/latest/reference/ec2/create-tags.html

https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Tag.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateTags.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-nat-gateways.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2NatGateway.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeNatGateways.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-nat-gateway.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2NatGateway.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DeleteNatGateway.html

https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/

https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/

http://aws.amazon.com/cloudwatch/pricing


Métrica DescripciónEstadísticas: la estadística más útil es Sum.

BytesInFromSource Número de bytes recibidos por la gateway NATdesde los clientes de la VPC.

Si el valor de BytesOutToDestination esmenor que el valor de BytesInFromSource,puede que se estén perdiendo datos durante elprocesamiento de la gateway NAT.

Unidades: bytes

Estadísticas: la estadística más útil es Sum.

BytesOutToDestination Número de bytes enviados a través de la gatewayNAT al destino.

Un valor mayor que cero indica que hay tráficoen dirección a Internet desde los clientes que seencuentran detrás de la gateway NAT. Si el valorde BytesOutToDestination es menor que elvalor de BytesInFromSource, puede que seestén perdiendo datos durante el procesamiento dela gateway NAT.

Unidades: bytes


BytesOutToSource Número de bytes enviados a través de la gatewayNAT a los clientes de la VPC.

Un valor mayor que cero indica que hay tráficoprocedente de Internet a los clientes que seencuentran detrás de la gateway NAT. Si el valorde BytesOutToSource es menor que el valor deBytesInFromDestination, puede que se esténperdiendo datos durante el procesamiento de lagateway NAT o que la gateway NAT bloquee eltráfico.

Unidades: bytes


ConnectionAttemptCount Número de intentos de conexión realizados através de la gateway NAT.

Si el valor de ConnectionEstablishedCountes menor que el valor deConnectionAttemptCount, esto indica que losclientes que se encuentran detrás de la gatewayNAT han intentado establecer nuevas conexiones,pero que no han obtenido respuesta.

Unidad: recuento


276



ConnectionEstablishedCount Número de conexiones establecidas a través de lagateway NAT.

Si el valor de ConnectionEstablishedCountes menor que el valor deConnectionAttemptCount, esto indica que losclientes que se encuentran detrás de la gatewayNAT han intentado establecer nuevas conexiones,pero que no han obtenido respuesta.

Unidad: recuento


ErrorPortAllocation Número de veces que la gateway NAT no pudoasignar un puerto de origen.

Un valor mayor que cero indica que haydemasiadas conexiones simultáneas abiertas através de la gateway NAT.

Unidades: recuento


IdleTimeoutCount El número de conexiones que pasaroncorrectamente del estado Active al estado Idle.Una conexión con el estado Active pasa al estadoIdle si no se cierra bien y no hay ninguna actividaden los últimos 350 segundos.

Un valor mayor que cero indica que hayconexiones han entrado en el estado deinactividad. Si el valor de IdleTimeoutCountaumenta, podría indicar que los clientes quese encuentran detrás de la gateway NAT estánreutilizando conexiones obsoletas.

Unidad: recuento


PacketsDropCount Número de paquetes que la gateway NAT haperdido.

Un valor mayor que cero puede indicar que existeun problema transitorio con la gateway NAT. Siel valor es alto, consulte el Panel de estado delservicio de AWS.

Unidades: recuento


277

http://status.aws.amazon.com/

http://status.aws.amazon.com/



PacketsInFromDestination Número de paquetes recibidos por la gateway NATdesde el destino.

Si el valor de PacketsOutToSource es menorque el valor de PacketsInFromDestination,puede que se estén perdiendo datos duranteel procesamiento de la gateway NAT o que lagateway NAT bloquee el tráfico.

Unidad: recuento


PacketsInFromSource Número de paquetes recibidos por la gateway NATdesde los clientes de la VPC.

Si el valor de PacketsOutToDestination esmenor que el valor de PacketsInFromSource,puede que se estén perdiendo datos durante elprocesamiento de la gateway NAT.

Unidad: recuento


PacketsOutToDestination Número de paquetes enviados a través de lagateway NAT al destino.

Un valor mayor que cero indica que hay tráficoen dirección a Internet desde los clientes que seencuentran detrás de la gateway NAT. Si el valorde PacketsOutToDestination es menor que elvalor de PacketsInFromSource, puede que seestén perdiendo datos durante el procesamiento dela gateway NAT.

Unidad: recuento


PacketsOutToSource Número de paquetes enviados a través de lagateway NAT a los clientes de la VPC.

Un valor mayor que cero indica que hay tráficoprocedente de Internet a los clientes que seencuentran detrás de la gateway NAT. Si el valorde PacketsOutToSource es menor que el valorde PacketsInFromDestination, puede que seestén perdiendo datos durante el procesamiento dela gateway NAT o que la gateway NAT bloquee eltráfico.

Unidad: recuento


278


Para filtrar los datos de las métricas, use la siguiente dimensión.

Dimensión Descripción

NatGatewayId Filtra los datos de las métricas en función del ID degateway NAT.

Consultar métricas de CloudWatch de gateways NAT

Las métricas de la gateway NAT se envían a CloudWatch en intervalos de un minuto. Puede ver lasmétricas de las gateways NAT de la manera siguiente.

Para consultar las métricas desde la consola de CloudWatch

Las métricas se agrupan en primer lugar por el espacio de nombres de servicio y, a continuación, por lasdiversas combinaciones de dimensiones dentro de cada espacio de nombres.

1. Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.2. En el panel de navegación, seleccione Metrics.3. En All metrics elija el espacio de nombres de métricas NAT gateway.4. Para ver las métricas, seleccione la dimensión de métricas.

Para ver métricas mediante la AWS CLI

En el símbolo del sistema, use el siguiente comando para enumerar las métricas que están disponiblespara el servicio de gateway NAT.

aws cloudwatch list-metrics --namespace "AWS/NATGateway"

Crear alarmas de CloudWatch para monitorear una gateway NAT

Puede crear una alarma de CloudWatch que envíe un mensaje de Amazon SNS cuando la alarmacambie de estado. Una alarma vigila una métrica determinada durante el periodo especificado. Envía unanotificación a un tema de Amazon SNS según el valor de la métrica con respecto a un umbral dado durantevarios periodos de tiempo.

Por ejemplo, puede crear una alarma que monitorice el volumen de tráfico que entra o sale de la gatewayNAT. La alarma siguiente monitoriza el volumen de tráfico saliente de los clientes de la VPC a través dela gateway NAT a Internet. Envía una notificación cuando el número de bytes alcanza un umbral de 5 000000 durante un periodo de 15 minutos.

Para crear una alarma para el tráfico saliente a través de la gateway NAT

1. Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.2. En el panel de navegación, elija Alarms, Create Alarm.3. Elija NAT gateway.4. Seleccione la gateway NAT y la métrica BytesOutToDestination; a continuación, elija Next.5. Configure la alarma del modo que se indica y elija Create Alarm cuando haya terminado:

• En Alarm Threshold, escriba el nombre y la descripción de la alarma. En Whenever, elija >= yescriba 5000000. Escriba 1 para los periodos consecutivos.

• En Actions, seleccione una notificación existente o elija New list para crear una.

279




• En Alarm Preview, seleccione un periodo de 15 minutos y especifique una estadística de Sum.

Puede crear una alarma que monitorice la métrica ErrorPortAllocation y envíe una notificacióncuando el valor sea mayor que cero (0) durante tres periodos consecutivos de 5 minutos.

Para crear una alarma para monitorizar los errores de asignación de puertos

1. Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.2. En el panel de navegación, elija Alarms, Create Alarm.3. Elija NAT Gateway.4. Seleccione la gateway NAT y la métrica ErrorPortAllocation; a continuación, elija Next.5. Configure la alarma del modo que se indica y elija Create Alarm cuando haya terminado:

• En Alarm Threshold, escriba el nombre y la descripción de la alarma. En Whenever, elija > y escriba0. Escriba 3 para los periodos consecutivos.

• En Actions, seleccione una notificación existente o elija New list para crear una.• En Alarm Preview, seleccione un periodo de 5 minutos y especifique una estadística de Maximum.

Para obtener más ejemplos de creación de alarmas, consulte Creación de alarmas de AmazonCloudWatch en la Guía del usuario de Amazon CloudWatch.

Solucionar problemas de gateways NATLos siguientes temas le ayudarán a solucionar problemas comunes que podría encontrarse a la hora decrear o utilizar una gateway NAT.

Problemas• La creación de la gateway NAT produce un error (p. 280)• Cuotas de las direcciones IP elásticas y las gateway NAT (p. 282)• La zona de disponibilidad no es compatible (p. 282)• La gateway NAT ya no está visible (p. 283)• La gateway NAT no responde a un comando ping (p. 283)• Las instancias no pueden obtener acceso a Internet (p. 283)• Error de la conexión TCP a un destino (p. 284)• La salida del comando traceroute no muestra la dirección IP privada de la gateway NAT (p. 285)• La conexión a Internet se pierde después de 350 segundos (p. 286)• La conexión IPsec no se puede establecer (p. 286)• No se pueden iniciar más conexiones (p. 286)

La creación de la gateway NAT produce un error

Problema

Al crear una gateway NAT, esta cambia al estado Failed.

Causa

Se produjo un error al crear la gateway NAT. El mensaje de estado devuelto proporciona el motivo delerror.

Solución

280


https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html

https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html


Para ver el mensaje de error, vaya a la consola de Amazon VPC y, a continuación, elija NAT Gateways(Gateways NAT). Seleccione su gateway NAT y, a continuación, consulte el mensaje de error en el campoStatus message (Mensaje de estado) del panel de detalles.

La siguiente tabla enumera las causas posibles del error según lo que indique la consola de Amazon VPC.Tras aplicar los pasos recomendados como solución, puede intentar volver a crear una gateway NAT.

Note

Una gateway NAT con error se elimina automáticamente después de un breve período(normalmente de una hora).

Error mostrado Causa Solución

Subnet has insufficient freeaddresses to create this NATgateway

La subred que ha especificadono tiene ninguna dirección IPprivada libre. La gateway NATrequiere una interfaz de redcon una dirección IP privadaasignada desde el rango de lasubred.

Vaya a la página Subnets(Subredes) de la consola deAmazon VPC para comprobarcuántas direcciones IP haydisponibles en su subred.Puede ver las Available IPs(IP disponibles) en el panel dedetalles de su subred. Paracrear direcciones IP libres ensu subred, puede eliminar lasinterfaces de red que no utilice, obien terminar las instancias queno necesite.

Network vpc-xxxxxxxx has nointernet gateway attached

Debe haber una gateway NATcreada en una VPC con unpuerto de enlace a Internet.

Cree un puerto de enlace aInternet y vincúlelo a su VPC.Para obtener más información,consulte Crear y asociar unagateway de Internet (p. 255).

Elastic IP address eipalloc-xxxxxxxx could not be associatedwith this NAT gateway

La dirección IP elástica que haespecificado no existe o no sepuede encontrar.

Compruebe el ID de asignaciónde la dirección IP elástica paraasegurarse de haberlo escritocorrectamente. Asegúrese dehaber especificado una direcciónIP elástica que se encuentre enla misma región de AWS en laque está creando la gatewayNAT.

Elastic IP address eipalloc-xxxxxxxx is already associated

La dirección IP elástica que haespecificado ya está asociadaa otro recurso, y no se puedeasociar a la gateway NAT.

Compruebe qué recurso estáasociado a la dirección IPelástica. Vaya a la página ElasticIPs (IP elásticas) de la consolade Amazon VPC y consulte losvalores especificados para elID de instancia o el ID de lainterfaz de red. Si no necesitala dirección IP elástica para eserecurso, puede desasociarla.De forma alternativa, puedeasignar una nueva direcciónIP elástica a su cuenta. Paraobtener más información,

281


Error mostrado Causa Soluciónconsulte Uso de direcciones IPelásticas (p. 308).

Network interface eni-xxxxxxxx,created and used internally bythis NAT gateway is in an invalidstate. Inténtelo de nuevo.

Ha habido un problema al crearo utilizar la interfaz de red para lagateway NAT.

No puede resolver este error.Intente crear de nuevo unagateway NAT.

Cuotas de las direcciones IP elásticas y las gateway NAT

Problema

Cuando intenta asignar una dirección IP elástica, obtiene el siguiente error.

The maximum number of addresses has been reached.

Cuando intenta crear una gateway NAT, obtiene el siguiente error.

Performing this operation would exceed the limit of 5 NAT gateways

Causa

Hay dos causas posibles:

• Ha alcanzado la cuota de direcciones IP elásticas para su cuenta en esa región.• Ha alcanzado la cuota de gateways NAT para su cuenta en esa zona de disponibilidad.

Solución

Si ha alcanzado la cuota de direcciones IP elásticas, puede anular la asociación de una dirección IPelástica de otro recurso. También puede solicitar un aumento de la cuota mediante el Formulario de límitesde Amazon VPC.

Si ha alcanzado la cuota de su gateway NAT, puede elegir una de las siguientes opciones:

• Solicite un aumento de las cuotas utilizando el Formulario de límites de Amazon VPC. La cuota degateways de NAT se aplica según la zona de disponibilidad.

• Compruebe el estado de su gateway NAT. Una gateway con los estados Pending, Available oDeleting cuenta al calcular la cuota. Si ha eliminado recientemente una gateway NAT, espere unosminutos para que el estado cambie de Deleting a Deleted. A continuación, intente crear una nuevagateway NAT.

• Si no necesita que su gateway NAT esté en una zona de disponibilidad específica, intente crear unagateway NAT en una zona de disponibilidad en la que no haya alcanzado la cuota.

Para obtener más información, consulte Cuotas de Amazon VPC (p. 378).

La zona de disponibilidad no es compatible

Problema

Cuando intenta crear una gateway NAT, obtiene el siguiente mensaje de error: NotAvailableInZone.

282

https://console.aws.amazon.com/support/home#/case/create?issueType=service-limit-increase&limitType=vpc




Causa

Puede que esté intentando crear la gateway NAT en una zona de disponibilidad limitada, es decir, unazona en la que la capacidad de ampliación esté restringida.

Solución

Las gateways NAT no son compatibles en estas zonas de disponibilidad. Puede crear una gateway NATen otra zona de disponibilidad y usarla para subredes privadas en la zona limitada. También puede moverlos recursos a una zona de disponibilidad no limitada para que sus recursos y su gateway NAT estén en lamisma zona.

La gateway NAT ya no está visible

Problema

Ha creado una gateway NAT, pero ya no está visible en la consola de Amazon VPC.

Causa

Puede que haya habido un error en la creación de su gateway NAT. Una gateway NAT con el estadoFailed estará visible en la consola de Amazon VPC durante un breve periodo (normalmente una hora).Después de una hora, se elimina automáticamente.

Solución

Revise la información en La creación de la gateway NAT produce un error (p. 280) e intente crear unanueva gateway NAT.

La gateway NAT no responde a un comando ping

Problema

Cuando intenta hacer ping a la dirección IP elástica de una gateway NAT o en la dirección IP privadadesde Internet (por ejemplo, desde su equipo doméstico) o desde alguna instancia en su VPC, no obtieneninguna respuesta.

Causa

Una gateway NAT solo pasa el tráfico desde una instancia de una subred privada a Internet.

Solución

Para comprobar si su gateway NAT está funcionando, consulte Comprobar una gateway NAT (p. 272).

Las instancias no pueden obtener acceso a Internet

Problema

Ha creado una gateway NAT y ha seguido los pasos para probarla, pero el comando ping produce unerror o sus instancias de la subred privada no tienen acceso a Internet.

Causas

Este problema podría deberse a una de las siguientes causas:

• La gateway NAT no está lista para dirigir tráfico.• Sus tablas de ruteo no se han configurado correctamente.

283


• Sus grupos de seguridad o las ACL de red están bloqueando el tráfico entrante o saliente.• Está utilizando un protocolo no admitido.

Solución

Compruebe la siguiente información:

• Compruebe que la gateway NAT tiene el estado Available. En la consola de Amazon VPC, vaya ala página NAT Gateways (Gateways NAT) y consulte la información de estado en el panel de detalles.Si la gateway NAT tiene un estado de error, puede que haya habido un error durante su creación. Paraobtener más información, consulte La creación de la gateway NAT produce un error (p. 280).

• Asegúrese de haber configurado las tablas de ruteo correctamente:• La gateway NAT debe estar en una subred pública con una tabla de ruteo que direccione el tráfico de

Internet a un puerto de enlace a Internet. Para obtener más información, consulte Crear una tabla deenrutamiento personalizada (p. 256).

• Su instancia debe estar en una subred privada con una tabla de ruteo que direccione el tráficode Internet a la gateway NAT. Para obtener más información, consulte Actualizar la tabla deenrutamiento (p. 271).

• Compruebe que no haya otras entradas de tabla de ruteo que dirijan todo o parte del tráfico de Interneta otro dispositivo en lugar de a la gateway NAT.

• Asegúrese de que las reglas de su grupo de seguridad para su instancia privada permiten el tráfico desalida de Internet. Para que el comando ping funcione, las reglas también deben permitir el tráfico ICMPsaliente.

Note

La gateway NAT permite por sí misma todo el tráfico de salida, y el tráfico recibido en respuestaa una solicitud saliente (por tanto, es con estado).

• Asegúrese de que las ACL de red estén asociadas a la subred privada y de que las subredes públicasno tengan reglas que bloqueen el tráfico de entrada y salida de Internet. Para que el comando pingfuncione, las reglas también deben permitir el tráfico ICMP entrante y saliente.

Note

Puede habilitar los logs de flujo para que le ayuden a diagnosticar las conexiones perdidas acausa de las reglas de grupos de seguridad o de ACL de red. Para obtener más información,consulte Logs de flujo de VPC (p. 190).

• Si va a utilizar el comando ping, asegúrese de hacer ping a un host con ICMP habilitado. Si ICMP no seha habilitado, no recibirá paquetes de respuesta. Para comprobar esto, ejecute el mismo comando pingdesde el terminal de línea de comandos en su propio equipo.

• Asegúrese de que su instancia puede hacer ping a otros recursos, como, por ejemplo, otras instanciasde la subred privada (suponiendo que las reglas de ese grupo de seguridad lo permitan).

• Asegúrese de que su conexión esté utilizando únicamente un protocolo TCP, UDP o ICMP.

Error de la conexión TCP a un destino

Problema

Algunas de sus conexiones TCP desde instancias de una subred privada a un destino específico a travésde una gateway de NAT se realizan correctamente, pero otras producen errores o se agota el tiempo deespera.

Causas

Este problema podría deberse a una de las siguientes causas:

284


• El punto de enlace de destino responde con paquetes TCP fragmentados. Una gateway NAT noadmite actualmente la fragmentación de IP para TCP o ICMP. Para obtener más información, consulteComparación de las instancias NAT con las gateways NAT (p. 295).

• La opción tcp_tw_recycle, de la que se sabe que causa problemas cuando hay varias conexionesdesde detrás de un dispotivo NAT, está habilitada en el servidor remoto.

Soluciones

Haga lo siguiente para comprobar si el punto de enlace al que intenta conectarse está respondiendo conpaquetes TCP fragmentados:

1. Utilizar una instancia en una subred pública con una dirección IP pública para desencadenar unarespuesta lo suficientemente grande para provocar la fragmentación desde el punto de enlaceespecífico.

2. Utilizar tcpdump para verificar que el punto de conexión esté enviando paquetes fragmentados.Important

Debe utilizar una instancia en una subred pública para realizar estas comprobaciones. Nopuede utilizar la instancia desde la que estaba fallando la conexión original ni una instancia enuna subred privada detrás de una gateway NAT o una instancia NAT.Note

Las herramientas de diagnóstico que envían o reciben grandes paquetes ICMP informarán dela pérdida de paquetes. Por ejemplo, el comando ping -s 10000 example.com no funcionatras una gateway NAT.

3. Si el punto de conexión está enviando paquetes TCP fragmentados, puede utilizar una instancia NAT enlugar de una gateway NAT.

Si tiene acceso al servidor remoto, haga lo siguiente para comprobar si la opción tcp_tw_recycle estáhabilitada:

1. Desde el servidor, ejecute el comando siguiente.

cat /proc/sys/net/ipv4/tcp_tw_recycle

Si el resultado es 1, la opción tcp_tw_recycle está habilitada.2. Si se ha habilitado tcp_tw_recycle, le recomendamos deshabilitarla. Si necesita reutilizar las

conexiones, tcp_tw_reuse es una opción más segura.

Si no tiene acceso al servidor remoto, pruebe a deshabilitar temporalmente la opción tcp_timestamps enuna instancia de la subred privada. A continuación, vuelva a conectarse al servidor remoto. Si la conexiónse realiza correctamente, puede que el error anterior se deba a que la opción tcp_tw_recycle estáhabilitada en el servidor remoto. Si es posible, póngase en contacto con el propietario del servidor remotopara comprobar si esta opción está habilitada y solicitar que se deshabilite.

La salida del comando traceroute no muestra la dirección IP privada de lagateway NATProblema

Su instancia puede obtener acceso a Internet, pero al ejecutar el comando traceroute, la salida nomuestra la dirección IP privada de la gateway NAT.

Causa

285


Su instancia está obteniendo acceso a Internet mediante una gateway distinta, como una gateway deInternet.

Solución

En la tabla de ruteo de la subred en la que se encuentra su instancia, compruebe la siguiente información:

• Asegúrese de que hay una ruta que envía el tráfico de Internet a la gateway NAT.• Asegúrese de que no hay una ruta más específica que esté enviando el tráfico de Internet a otros

dispositivos, como una gateway privada virtual o un puerto de enlace a Internet.

La conexión a Internet se pierde después de 350 segundos

Problema

Sus instancias pueden obtener acceso a Internet, pero la conexión se interrumpe transcurridos350 segundos.

Causa

Si una conexión que está utilizando una gateway NAT se queda inactiva durante 350 segundos o más, sutiempo de espera se agota.

Solución

Para impedir que se pierda la conexión, puede iniciar más tráfico a través de esta. También puede habilitarconexiones keepalive de TCP en la instancia con un valor inferior a 350 segundos.

La conexión IPsec no se puede establecer

Problema

No puede establecer una conexión IPsec a un destino.

Causa

Las gateways NAT actualmente no admiten el protocolo IPsec.

Solución

Puede usar NAT-Traversal (NAT-T) para encapsular el tráfico IPsec en UDP, que es un protocolo admitidopara las gateways NAT. Asegúrese de probar la configuración de NAT-T e IPsec para verificar que eltráfico IPsec no se elimina.

No se pueden iniciar más conexiones

Problema

Ya tiene conexiones a un destino a través de una gateway NAT, pero no se pueden establecer más.

Causa

Puede que haya alcanzado el límite de conexiones simultáneas para una sola gateway NAT. Para obtenermás información, consulte Reglas y limitaciones de una gateway NAT (p. 269). Si sus instancias de lasubred privada crean un gran número de conexiones, puede que alcance este límite.

Solución

286

Amazon Virtual Private Cloud Guía del usuarioInstancias NAT


• Cree una gateway NAT por zona de disponibilidad y reparta sus clientes entre estas zonas.• Cree gateways NAT adicionales en la subred pública y divida sus clientes en varias subredes privadas,

cada una con una ruta a una gateway NAT distinta.• Limite el número de conexiones que pueden crear sus clientes al destino.• Utilice la métrica IdleTimeoutCount (p. 275) en CloudWatch para monitorear los aumentos de las

conexiones inactivas. Cierre las conexiones inactivas para liberar capacidad.

Instancias NATPuede utilizar una instancia de conversión de las direcciones de red (NAT) en una subred pública de suVPC para permitir que las instancias de la subred privada inicien el tráfico IPv4 saliente a internet o a otrosservicios de AWS, pero impedir que las instancias reciban tráfico entrante iniciado por alguien en internet.

Para obtener más información acerca de las subredes públicas y privadas, consulte Enrutar lasubred (p. 99). Para obtener más información acerca de NAT, consulte NAT (p. 267).

La NAT no es compatible con el tráfico IPv6; en su lugar, utilice una gateway de internet de solo salida.Para obtener más información, consulte Gateways de Internet de solo salida (p. 258).

La cuota de instancias NAT depende de la cuota de instancias para la región. Para obtener másinformación, consulte las preguntas frecuentes acerca de EC2.

Note

También puede utilizar una gateway NAT, que es un servicio NAT administrado que ofrece unamejor disponibilidad y un mayor ancho de banda, y que requiere menos esfuerzo administrativo.Para casos de uso comunes, recomendamos utilizar una gateway NAT en lugar de una instanciaNAT. Para obtener más información, consulte Gateways NAT (p. 268) y Comparación de lasinstancias NAT con las gateways NAT (p. 295).

Contenido• Conceptos básicos de las instancias NAT (p. 287)• AMI de instancia NAT (p. 288)• Configurar la instancia NAT (p. 289)• Crear el grupo de seguridad de NATSG (p. 291)• Deshabilitar las comprobaciones de origen/destino (p. 292)• Actualizar la tabla de enrutamiento principal (p. 292)• Comprobar la configuración de su instancia NAT (p. 293)

Conceptos básicos de las instancias NATEl siguiente gráfico muestra los conceptos básicos de las instancias NAT. La tabla de ruteo principal estáasociada a la subred privada y envía el tráfico de las instancias de la subred privada a la instancia NAT enla subred pública. La instancia NAT envía el tráfico a continuación a la gateway de internet para la VPC. Eltráfico se atribuye a la dirección IP elástica de la instancia NAT. La instancia NAT especifica un número depuerto alto para la respuesta; si la respuesta vuelve, la instancia NAT la envía a una instancia de la subredprivada en función del número de puerto de la respuesta.

El tráfico de Internet desde las instancias en la subred privada se direcciona a la instancia NAT, que luegose comunica con Internet. Por lo tanto, la instancia NAT debe tener acceso a Internet. Debe estar en una

287

http://aws.amazon.com/ec2/faqs/#EC2_On-Demand_Instance_limits


subred pública (una subred que tiene una tabla de enrutamiento con una ruta a la gateway de Internet) ydebe tener una dirección IP pública o una dirección IP elástica.

AMI de instancia NATAmazon ofrece las AMI de Amazon Linux, que están configuradas para ejecutarse como instancias NAT.Estas AMI incluyen la cadena amzn-ami-vpc-nat en sus nombres, por lo que puede identificarlas en laconsola de Amazon EC2 o buscarlas mediante la AWS CLI.

Al lanzar una instancia desde una AMI de NAT, se genera la siguiente configuración en la instancia:

• Se habilita el reenvío de IPv4 y las redirecciones de ICMP se deshabilitan en /etc/sysctl.d/10-nat-settings.conf.

• Al iniciarse, se ejecuta un script ubicado en /usr/sbin/configure-pat.sh que configura lasmáscaras IP iptables.

Para obtener información sobre la compatibilidad con Amazon Linux, consulte las preguntas frecuentessobre la AMI de Amazon Linux.

Important

Le recomendamos que utilice siempre la versión más reciente de la AMI de la NAT y que actualicesu instancia de NAT existente para aprovechar las actualizaciones de configuración y seguridad.

288

https://aws.amazon.com/amazon-linux-ami/faqs/

https://aws.amazon.com/amazon-linux-ami/faqs/


Obtener el ID de la AMI de la NAT

Le recomendamos que utilice la AMI más reciente para Amazon Linux 2018.03. Para obtener una lista deID de las AMI, consulte las notas de la versión de la AMI de Amazon para Linux 2018.03. Busque la AMIque incluya la cadena amzn-ami-vpc-nat en su nombre y copie su ID.

También puede utilizar la AWS CLI. Utilice el comando describe-images y utilice filtros para que sedevuelvan resultados solo para AMI que sean propiedad de Amazon y que tengan la cadena amzn-ami-vpc-nat-2018.03 en sus nombres. En el ejemplo siguiente se utiliza el parámetro --querypara mostrar solo el ID de AMI, el nombre y la fecha de creación en la salida para ayudarle a identificarrápidamente la AMI más reciente.

aws ec2 describe-images --filter Name="owner-alias",Values="amazon" --filter Name="name",Values="amzn-ami-vpc-nat-2018.03*" --query "Images[*].[ImageId,Name,CreationDate]"

Actualización de la instancia NAT existente

Si ya tiene una instancia NAT, ejecute el siguiente comando para aplicar actualizaciones de seguridad enla instancia.

sudo yum update --security

También puede utilizar el Administrador de parches de AWS Administrador de sistemas para automatizarel proceso de instalación de actualizaciones relacionadas con la seguridad. Para obtener más información,consulte el Administrador de parches de AWS Administrador de sistemas en la Guía del usuario de AWSAdministrador de sistemas.

Configurar la instancia NATPuede utilizar el asistente de VPC para configurar una VPC con una instancia NAT; para obtener másinformación, consulte VPC con subredes privadas y públicas (NAT) (p. 29). El asistente realiza muchosde los pasos de configuración por usted, incluidos el lanzamiento de la instancia NAT y la configuracióndel direccionamiento. No obstante, si lo prefiere, puede crear y configurar una VPC y una instancia NATmanualmente. Para ello, siga los pasos que se indican a continuación.

Antes de comenzar, obtenga el ID de una AMI configurada para ejecutarse como instancia NAT. Paraobtener más información, consulte Obtener el ID de la AMI de la NAT (p. 289).

1. Cree una VPC con dos subredes.

Note

Los pasos siguientes sirven para crear y configurar manualmente una VPC, no para crear unaVPC mediante el asistente de VPC.

a. Cree una VPC (consulte Creación de una VPC (p. 100)).b. Cree dos subredes (consulte Crear una subred (p. 255)).c. Conecte una gateway de internet a la VPC (consulte Crear y asociar una gateway de

Internet (p. 255)).d. Cree una tabla de ruteo personalizada que envíe el tráfico cuyo destino esté fuera de la VPC a

la gateway de internet para que, a continuación, se asocie a una subred y se convierta en unasubred pública (consulte Crear una tabla de enrutamiento personalizada (p. 256)).

2. Cree el grupo de seguridad de NATSG (consulte Crear el grupo de seguridad de NATSG (p. 291)).Este grupo de seguridad se especifica al lanzar la instancia NAT.

289

https://aws.amazon.com/amazon-linux-ami/2018.03-release-notes/

https://docs.aws.amazon.com/cli/latest/userguide/cli-usage-output.html#cli-usage-output-filter

https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-patch.html


3. Lance una instancia en su subred pública desde una AMI que se haya configurado para ejecutarsecomo instancia NAT.

a. Abra la consola de Amazon EC2.b. En el panel, elija el botón Launch Instance y complete el asistente de la siguiente forma:

i. En la página Choose an Amazon Machine Image (AMI) (Elija una imagen de AmazonMachine (AMI)), seleccione la categoría Community AMIs (AMI de la comunidad). En elcampo de búsqueda, introduzca el ID de la AMI identificada anteriormente (p. 289). ElijaSelect.

ii. En la página Choose an Instance Type, seleccione el tipo de instancia y, a continuación, elijaNext: Configure Instance Details.

iii. En la página Configure Instance Details, seleccione la VPC que creó en la lista Network yseleccione la subred pública desde la lista Subnet.

iv. (Opcional) Seleccione la casilla de verificación Public IP para solicitar que la instancia NATreciba una dirección IP pública. Si elige no asignar una dirección IP pública ahora, puedeasignar una dirección IP elástica y asignarla a su instancia una vez lanzada. Para obtenermás información acerca de la asignación de una IP pública en el lanzamiento, consulteAsignar una dirección IPv4 pública durante el lanzamiento de la instancia (p. 127). Elija Next:Add Storage (Siguiente: Agregar almacenamiento).

v. Puede elegir añadir almacenamiento a su instancia y, en la página siguiente, añadiretiquetas. Elija Next: Configure Security Group cuando haya terminado.

vi. En la página Configure Security Group, seleccione la opción Select an existing security groupy seleccione el grupo de seguridad NATSG que ha creado. Elija Review and Launch (Revisary lanzar).

vii. Revise los ajustes que ha elegido. Realice los cambios que necesite y, a continuación, elijaLaunch para seleccionar un par de claves y lanzar su instancia.

4. (Opcional) Conéctese a la instancia NAT, haga las modificaciones que necesite y, a continuación, creesu propia AMI, que ha configurado para ejecutarse como instancia NAT. Puede utilizar esta AMI lapróxima vez que necesite lanzar una instancia NAT. Para obtener más información, consulte Crear lasAMI de Amazon con respaldo EBS en la Guía del usuario de Amazon EC2 para instancias de Linux.

5. Deshabilite el atributo SrcDestCheck para la instancia NAT (consulte Deshabilitar lascomprobaciones de origen/destino (p. 292)).

6. Si no ha asignado una dirección IP pública a su instancia NAT durante el lanzamiento (paso 3), debeasociarle una dirección IP elástica.

a. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.b. En el panel de navegación, elija Elastic IPs y, a continuación, elija Allocate new address.c. Elija Allocate.d. Seleccione la dirección IP elástica de la lista y, a continuación, elija Actions, Associate address.e. Seleccione el recurso de interfaz de red y, a continuación, seleccione la interfaz de red para la

instancia NAT. Seleccione la dirección a la que desea asociar la IP elástica en la lista Private IP y,a continuación, elija Associate.

7. Actualice la tabla de ruteo principal para enviar el tráfico a la instancia NAT. Para obtener másinformación, consulte Actualizar la tabla de enrutamiento principal (p. 292).

Lanzar una instancia NAT mediante la línea de comandos

Para lanzar una instancia NAT en su red, utilice uno de los siguientes comandos. Para obtener másinformación, consulte Acceso a Amazon VPC (p. 1). Para obtener el ID de una AMI configurada paraejecutarse como instancia NAT, consulte Obtener el ID de la AMI de la NAT (p. 289).

• run-instances (AWS CLI)

290

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/creating-an-ami-ebs.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/creating-an-ami-ebs.html




• New-EC2Instance (Herramientas de AWS para Windows PowerShell)

Crear el grupo de seguridad de NATSGDefina el grupo de seguridad de NATSG según lo descrito en la siguiente tabla para permitir a su instanciaNAT recibir tráfico vinculado a internet desde instancias de una subred privada, así como tráfico SSH desu red. La instancia NAT también puede enviar tráfico a internet, lo que permite que las instancias de lasubred privada obtengan actualizaciones de software.

NATSG: reglas recomendadas

Inbound

Source Protocol Port range Comments

10.0.1.0/24 TCP 80 Permite el tráfico HTTP entrante deservidores en la subred privada.

10.0.1.0/24 TCP 443 Permite el tráfico HTTPS entrante deservidores en la subred privada.

Rango de direcciones IP públicasde la red doméstica

TCP 22 Permite el acceso SSH entrantea la instancia NAT desde la reddoméstica (a través de la gateway deinternet).

Outbound

Destination Protocol Port range Comments

0.0.0.0/0 TCP 80 Permite el acceso HTTP saliente ainternet

0.0.0.0/0 TCP 443 Permite el acceso HTTPS saliente ainternet

Para crear el grupo de seguridad de NATSG

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Security Groups y, a continuación, elija Create Security Group.3. En el cuadro de diálogo Create Security Group, especifique NATSG como el nombre del grupo

de seguridad y proporcione una descripción. Seleccione el ID de su VPC de la lista VPC y, acontinuación, elija Yes, Create.

4. Seleccione el grupo de seguridad NATSG que acaba de crear. El panel de detalles muestrainformación detallada del grupo de seguridad, además de pestañas que permiten usar las reglasentrantes y salientes.

5. Añada reglas para el tráfico entrante utilizando la pestaña Inbound Rules, tal y como se indica acontinuación:

a. Elija Edit.b. Elija Add another rule y seleccione HTTP en la lista Type. En el campo Source, especifique el

rango de direcciones IP de su subred privada.c. Elija Add another rule y seleccione HTTPS en la lista Type. En el campo Source, especifique el

rango de direcciones IP de su subred privada.d. Elija Add another rule y seleccione SSH en la lista Type. En el campo Source, especifique el

rango de direcciones IP públicas de su red.

291




e. Seleccione Save (Guardar).6. Añada reglas para el tráfico saliente utilizando la pestaña Outbound Rules, tal y como se indica a

continuación:

a. Elija Edit.b. Elija Add another rule y seleccione HTTP en la lista Type. En el campo Destination, especifique

0.0.0.0/0

c. Elija Add another rule y seleccione HTTPS en la lista Type. En el campo Destination, especifique0.0.0.0/0

d. Seleccione Save (Guardar).

Para obtener más información, consulte Grupos de seguridad de su VPC (p. 165).

Deshabilitar las comprobaciones de origen/destinoCada instancia EC2 realiza las comprobaciones de origen/destino de forma predeterminada. Esto significaque la instancia debe ser el origen o el destino de todo tráfico que envíe o reciba. No obstante, unainstancia NAT debe poder enviar y recibir tráfico cuando el origen o el destino no sea la propia instancia.Por lo tanto, debe deshabilitar las comprobaciones de origen/destino en la instancia NAT.

Puede deshabilitar el atributo SrcDestCheck para una instancia NAT que se esté ejecutando o se hayadetenido mediante la consola o la línea de comandos.

Para deshabilitar la comprobación de origen/destino mediante la consola

1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, seleccione Instances (Instancias).3. Seleccione la instancia NAT, elija Actions (Acciones), Networking (Redes). Change Source/Dest.

Check (Cambiar comprobación de origen y destino).4. Para la instancia NAT, verifique que este atributo esté deshabilitado. En caso contrario, elija Yes,

Disable.5. Si la instancia NAT tiene una interfaz de red secundaria, selecciónela en Network interfaces

(Interfaces de red) en la pestaña Description (Descripción) y elija el ID de interfaz para ir a la páginade interfaces de red. Elija Actions (Acciones), Change Source/Dest. Check (Cambiar comprobación deorigen y destino), desactive la configuración y elija Save (Guardar).

Para deshabilitar la comprobación de origen/destino mediante la línea de comandos

Puede utilizar uno de los siguientes comandos. Para obtener más información, consulte Acceso a AmazonVPC (p. 1).

• modify-instance-attribute (AWS CLI)• Edit-EC2InstanceAttribute (Herramientas de AWS para Windows PowerShell)

Actualizar la tabla de enrutamiento principalLa subred privada de su VPC no está asociada a una tabla de ruteo personalizada; por tanto, utiliza latabla de ruteo principal. De forma predeterminada, la tabla de ruteo principal permite que las instanciasde su VPC se comuniquen entre sí. Debe agregar una ruta que envíe el resto del tráfico de la subred a lainstancia NAT.

Para actualizar la tabla de ruteo principal


292


https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-instance-attribute.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2InstanceAttribute.html



2. En el panel de navegación, elija Route Tables.3. Seleccione la tabla de ruteo principal para su VPC (la columna Main mostrará Yes). El panel de

detalles muestra pestañas para trabajar con sus rutas, sus asociaciones y la propagación de rutas.4. En la pestaña Routes, elija Edit, especifique 0.0.0.0/0 en el cuadro Destination, seleccione el ID de

la instancia NAT en la lista Target y, a continuación, elija Save.5. En la pestaña Subnet Associations (Asociaciones de subred), elija Edit (Editar) y, a continuación,

active la casilla de verificación Associate (Asociar) de la subred privada. Seleccione Save (Guardar).

Para obtener más información, consulte Tablas de ruteo (p. 220).

Comprobar la configuración de su instancia NATDespués de haber iniciado una instancia NAT y completado los pasos de configuración anteriores, puederealizar una prueba para comprobar si una instancia de su subred privada puede obtener acceso a interneta través de la instancia NAT utilizando la instancia NAT como servidor bastión. Para ello, actualice lasreglas del grupo de seguridad de su instancia NAT para que permitan el tráfico ICMP entrante y salientey el tráfico SSH saliente, lance una instancia en su subred privada, configure el reenvío de agentes SSHpara obtener acceso a las instancias de su subred privada, conéctese a su instancia y, a continuación,pruebe la conectividad a internet.

Para actualizar el grupo de seguridad de su instancia NAT

1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, elija Security Groups.3. Busque el grupo de seguridad asociado a su instancia NAT y elija Edit en la pestaña Inbound.4. Elija Add Rule (Añadir regla), seleccione All ICMP - IPv4 (Todos los ICMP - IPv4) en la lista Type

(Tipo) y seleccione Custom (Personalizado) en la lista Source (Origen). Escriba el rango dedirecciones IP de su subred privada; por ejemplo: 10.0.1.0/24. Seleccione Save (Guardar).

5. En la pestaña Outbound, elija Edit.6. Elija Add Rule (Añadir regla), seleccione SSH en la lista Type (Tipo) y seleccione Custom

(Personalizado) en la lista Destination (Destino). Escriba el rango de direcciones IP de su subredprivada; por ejemplo: 10.0.1.0/24. Seleccione Save (Guardar).

7. Elija Add Rule (Añadir regla), seleccione All ICMP - IPv4 (Todos los ICMP - IPv4) en la lista Type(Tipo) y seleccione Custom (Personalizado) en la lista Destination (Destino). Escriba 0.0.0.0/0 y, acontinuación, elija Save.

Para lanzar una instancia en su subred privada

1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, seleccione Instances (Instancias).3. Lance una instancia en su subred privada. Para obtener más información, consulte Lanzar una

instancia en su subred (p. 104). Asegúrese de configurar las siguientes opciones en el asistente delanzamiento y, a continuación, elija Launch:

• En la página Choose an Amazon Machine Image (AMI), seleccione una AMI de Amazon Linux en lacategoría Quick Start.

• En la página Configure Instance Details, seleccione su subred privada de la lista Subnet y no asigneuna dirección IP pública a su instancia.

• En la página Configure Security Group, asegúrese de que su grupo de seguridad incluye una reglaentrante que permita el acceso al SSH desde la dirección IP privada de su instancia NAT o desde elrango de direcciones IP de su subred pública, y asegúrese de tener una regla saliente que permitael tráfico ICMP saliente.

293




• En el cuadro de diálogo Select an existing key pair or create a new key pair, seleccione el mismo parde claves que utilizó para lanzar la instancia NAT.

Para configurar el reenvío de agentes SSH para Linux u OS X

1. Desde su equipo local, añada su clave privada al agente de autenticación.

Para Linux, utilice el siguiente comando:

ssh-add -c mykeypair.pem

Para OS X, utilice el siguiente comando:

ssh-add -K mykeypair.pem

2. Conéctese a su instancia NAT utilizando la opción -A para habilitar el reenvío de agentes SSH; porejemplo:

ssh -A [email protected]

Para configurar el reenvío de agentes SSH para Windows (PuTTY)

1. Descargue e instale Pageant desde la página de descargas de PuTTY, si aún no lo tiene instalado.2. Convierta su clave privada al formato .ppk. Para obtener más información, consulte Convertir la clave

privada mediante PuTTYgen.3. Inicie Pageant, haga clic con el botón derecho en el icono de Pageant de la barra de tareas (puede

estar oculto) y elija Add Key. Seleccione el archivo .ppk que ha creado, escriba la frase de contraseñasi es necesario, y elija Open.

4. Inicie una sesión de PuTTY para conectarse a su instancia NAT. En la categoría Auth, asegúresede seleccionar la opción Allow agent forwarding y deje el campo Private key file for authentication enblanco.

Para comprobar la conexión a Internet

1. Compruebe que su instancia NAT puede conectarse a internet ejecutando el comando ping para unsitio web que tenga ICMP habilitado; por ejemplo:

ping ietf.org


Pulse Ctrl+C en su teclado para cancelar el comando ping.2. Desde su instancia NAT, conéctese a su instancia en su subred privada utilizando su dirección IP

privada. Por ejemplo:

ssh [email protected]

3. Desde su instancia privada, compruebe que puede conectarse a internet ejecutando el comandoping:

294

http://www.chiark.greenend.org.uk/~sgtatham/putty/



Amazon Virtual Private Cloud Guía del usuarioComparación de las instancias NAT con las gateways NAT

ping ietf.org


Pulse Ctrl+C en su teclado para cancelar el comando ping.

En caso de error en el comando ping, compruebe la información siguiente:

• Compruebe que las reglas de grupo de seguridad de su instancia NAT permiten el tráfico ICMPentrante desde su subred privada. En caso contrario, su instancia NAT no podrá recibir el comandoping desde su instancia privada.

• Asegúrese de haber configurado las tablas de ruteo correctamente. Para obtener más información,consulte Actualizar la tabla de enrutamiento principal (p. 292).

• Asegúrese de haber deshabilitado la comprobación de origen/destino para su instancia NAT. Paraobtener más información, consulte Deshabilitar las comprobaciones de origen/destino (p. 292).

• Asegúrese de estar haciendo ping a un sitio web que tiene ICMP habilitado. En caso contrario, norecibirá paquetes de respuesta. Para comprobar esto, ejecute el mismo comando ping desde elterminal de línea de comandos en su propio equipo.

4. (Opcional) Termine su instancia privada si ya no la necesita. Para obtener más información, consulteTerminar la instancia en la Guía del usuario de Amazon EC2 para instancias de Linux.

Comparación de las instancias NAT con las gatewaysNATA continuación se proporciona un resumen general de las diferencias entre las instancias NAT y lasgateways NAT.

Atributo gateway NAT Instancia NAT

DisponibilidadAltamente disponibles. Las gateways NAT decada zona de disponibilidad se implementancon redundancia. Cree una gateway NAT encada zona de disponibilidad para garantizaruna arquitectura independiente de zonas.

Utilice un script para administrar laconmutación por error entre instancias.

Ancho debanda

Se puede escalar hasta 45 Gbps. Dependen del ancho de banda del tipo deinstancia.

MantenimientoAdministrado por AWS. No necesita realizarningún mantenimiento.

Administradas por usted. Por ejemplo,al instalar actualizaciones de softwareo parches de sistema operativo en lainstancia.

DesempeñoEl software está optimizado para la gestióndel tráfico de NAT.

Una AMI de Amazon Linux configurada pararealizar la NAT.

Costo Se cobra en función del número de gatewaysNAT que utilice, la duración del uso y la

Se cobra en función del número deinstancias NAT que utilice, la duración deluso y el tamaño y el tipo de instancia.

295


Amazon Virtual Private Cloud Guía del usuarioComparación de las instancias NAT con las gateways NAT

Atributo gateway NAT Instancia NATcantidad de datos que envíe mediante lasgateways NAT.

Tipo ytamaño

Oferta uniforme; no necesita decidir el tamañoni el tipo.

Elija un tipo de instancia y un tamañoadecuados, acordes con la estimación desu carga de trabajo.

DireccionesIPpúblicas

Elija la dirección IP elástica para asociar a lagateway NAT en el momento de la creación.

Utilice una dirección IP elástica o unadirección IP pública con una instancia NAT.Puede cambiar la dirección IP pública en elmomento de asociar una nueva dirección IPelástica a la instancia.

DireccionesIPprivadas

Se seleccionan automáticamente del rangode direcciones IP de la subred al crear lagateway.

Al lanzar la instancia, asigne una direcciónIP privada específica del rango dedirecciones IP de la subred.

Gruposdeseguridad

No se pueden asociar a una gateway NAT.Puede asociar grupos de seguridad a susrecursos detrás de la gateway NAT paracontrolar el tráfico entrante y saliente.

Asocie su instancia NAT y los recursosdetrás de su instancia NAT para controlar eltráfico entrante y saliente.

ACL dered

Utilice una ACL de red para controlar el tráficohacia la subred y procedente de esta en laque se encuentra su gateway NAT.

Utilice una ACL de red para controlar eltráfico hacia la subred y procedente de estaen la que se encuentra su instancia NAT.

Logs deflujo

Utilice los logs de flujo para capturar el tráfico. Utilice los logs de flujo para capturar eltráfico.

Enrutamientodepuertos

No es compatible. Personalice manualmente la configuraciónpara que admita el reenvío de puertos.

Servidoresbastión

No es compatible. Se pueden utilizar como servidor bastión.

Métricasde tráfico

Consulte las métricas de CloudWatch para lagateway NAT (p. 275).

Consulte las métricas de CloudWatch parala instancia.

Comportamientode lostiemposde espera

Cuando el tiempo de espera de una conexiónfinaliza, una gateway NAT devuelve unpaquete RST a los recursos situados detrásde la gateway NAT que intenten continuar laconexión (no envía un paquete FIN).

Cuando el tiempo de espera de unaconexión finaliza, una instancia NAT envíaun paquete FIN a los recursos situadosdetrás de la instancia NAT para cerrar laconexión.

Fragmentaciónde IP

Admiten el reenvío de paquetes IPfragmentados para el protocolo UDP.

No admiten la fragmentación para losprotocolos ICMP y TCP. Los paquetesfragmentados para estos protocolos seretirarán.

Admiten el reensamblado de paquetes IPfragmentados para los protocolos ICMP,UDP y TCP.

296

Amazon Virtual Private Cloud Guía del usuarioConjuntos de opciones de DHCP

Conjuntos de opciones de DHCPEl protocolo de configuración dinámica de host (DHCP) proporciona un estándar para la comunicación deinformación de configuración a hosts de redes TCP/IP. El campo options de un mensaje DHCP contieneparámetros de configuración, que incluyen el nombre del dominio, el servidor del nombre del dominio y eltipo de nodo NetBIOS.

Puede configurar conjuntos de opciones DHCP para sus nubes virtuales privadas (VPC).

Contenido• Información general acerca de los conjuntos de opciones de DHCP (p. 297)• Servidor DNS de Amazon (p. 298)• Cambiar las opciones de DHCP (p. 299)• Utilizar los conjuntos de opciones de DHCP (p. 299)• Información general de la API y de los comandos (p. 302)

Información general acerca de los conjuntos deopciones de DHCPLas instancias de Amazon EC2 que inicie en una VPC no predeterminada son privadas por defecto. Nose les asigna una dirección IPv4 pública a menos que se asigne una específicamente durante el inicio,o si modifica el atributo de dirección IPv4 pública de la subred. De forma predeterminada, AWS asignaráa todas las instancias de VPC no predeterminadas un nombre de host que no se puede resolver (porejemplo, ip-10-0-0-202). Es posible asignar su propio nombre de dominio a sus instancias y utilizar hastacuatro servidores DNS propios. Para ello, debe especificar un conjunto especial de opciones de DHCPpara utilizarlas con la VPC.

La tabla siguiente muestra todas las opciones compatibles con los conjuntos de opciones de DHCP. Solopuede especificar las opciones que necesita en su conjunto de opciones de DHCP. Para obtener másinformación acerca de las opciones, consulte RFC 2132.

Nombre de opción de DHCP Descripción

domain-name-servers Direcciones IP de hasta cuatro servidores denombre de dominio o AmazonProvidedDNS. Elconjunto de opciones de DHCP predeterminadoespecifica AmazonProvidedDNS. Si va aespecificar más de un servidor de nombre dedominio, separe los valores con comas. Aunquepuede especificar hasta cuatro servidores denombre de dominio, tenga en cuenta que algunossistemas operativos podrían imponer límitesinferiores.

Si desea que su instancia reciba un nombrede host de DNS personalizado tal como seespecifica en domain-name, debe establecerdomain-name-servers con un servidor DNSpersonalizado.

Para usar esta opción, establézcala enAmazonProvidedDNS o en servidores de nombresde dominio personalizados. Si la establece

297


Amazon Virtual Private Cloud Guía del usuarioServidor DNS de Amazon

Nombre de opción de DHCP Descripciónen ambas, el resultado podría provocar uncomportamiento inesperado.

domain-name Si va a utilizar AmazonProvidedDNS en us-east-1, especifique ec2.internal. Si va autilizar AmazonProvidedDNS en otra región,especifique región.compute.internal (por ejemplo,ap-northeast-1.compute.internal). Delo contrario, especifique un nombre de dominio(por ejemplo, example.com). Este valor se utilizapara completar los nombres de host de DNSincompletos. Para obtener más información sobrenombres de host de DNS y soporte de DNS en suVPC, consulte Utilizar DNS con su VPC (p. 302).

Important

Algunos sistemas operativos Linuxaceptan el uso de varios nombres dedominio separados por espacios. Sinembargo, otros sistemas operativosLinux y Windows tratan el valor comoun dominio único, lo que da lugar aun comportamiento inesperado. Sisu conjunto de opciones de DHCPestá asociado a una VPC que tieneinstancias con varios sistemas operativos,especifique solo un nombre de dominio.

ntp-servers Direcciones IP de hasta cuatro servidores deNetwork Time Protocol (NTP). Para obtenermás información, consulte la sección 8.3 deRFC 2132. El Amazon Time Sync Service estádisponible en 169.254.169.123. Para obtenermás información, consulte Establecer la hora en laGuía del usuario de Amazon EC2 para instanciasde Linux.

netbios-name-servers Direcciones IP de hasta cuatro servidores denombre NetBIOS.

netbios-node-type Tipo de nodo de NetBIOS (1, 2, 4 u 8). Lerecomendamos que especifique 2 (punto a punto onodo-P). Actualmente no se admiten la difusión nila multidifusión. Par obtener más información sobreestos tipos de nodos, consulte la sección 8.7 deRFC 2132 y la sección 10 de RFC1001.

Servidor DNS de AmazonAl crear una VPC, se crea automáticamente un conjunto de opciones de DHCP que se asocia a la VPC.Este conjunto incluye dos opciones: domain-name-servers=AmazonProvidedDNS y domain-name=domain-name-for-your-region. AmazonProvidedDNS es un servidor Amazon Route 53Resolver y esta opción habilita el DNS para las instancias que necesitan comunicarse a través de lagateway de internet de la VPC. La cadena AmazonProvidedDNS se asigna a un servidor DNS que se

298


https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/set-time.html



Amazon Virtual Private Cloud Guía del usuarioCambiar las opciones de DHCP

ejecuta en una dirección IP reservada en la base del rango de red IPv4 de la VPC, más dos. Por ejemplo,el servidor DNS de la red 10.0.0.0/16 se encuentra en 10.0.0.2. En el caso de las VPC con varios bloquesde CIDR IPv4, la dirección IP del servidor DNS se encuentra en el bloque de CIDR principal. El servidorDNS no reside dentro de una subred específica o zona de disponibilidad en una VPC.

Note

No puede filtrar tráfico hacia o desde un servidor DNS mediante ACL de red o grupos deseguridad.

Al lanzar una instancia en una VPC, dicha instancia recibe un nombre de host de DNS privado y unnombre de host de DNS público si recibe una dirección IPv4 pública. Si domain-name-servers en lasopciones de DHCP está configurado como AmazonProvidedDNS, el nombre de host de DNS públicoadopta el formato ec2-public-ipv4-address.compute-1.amazonaws.com en la región us-east-1 yel formato ec2-public-ipv4-address.region.compute.amazonaws.com en las demás regiones.El nombre de host privado adopta la forma ip-private-ipv4-address.ec2.internal en la regiónus-east-1 y la forma ip-private-ipv4-address.region.compute.internal en las demásregiones. Para modificar estos nombres de host de DNS personalizados, debe configurar domain-name-servers como servidor DNS personalizado.

El servidor DNS de Amazon de su VPC se utiliza para resolver los nombres de dominio de DNS queespecifique en una zona hospedada privada en Route 53. Para obtener más información acerca de laszonas alojadas privadas, consulte Usar zonas alojadas privadas en la Guía para desarrolladores deAmazon Route 53.

Los servicios que utilizan el marco de trabajo de Hadoop como, por ejemplo Amazon EMR, requierenque las instancias resuelvan sus propios nombres completos del dominio (FQDN). En estos casos, laresolución de DNS puede producir error si la opción domain-name-servers está establecida con unvalor predeterminado. Para asegurarse de que la resolución de DNS se realiza correctamente, considerela posibilidad de añadir un programa de envío condicional que reenvíe las consultas del dominio region-name.compute.internal al servidor DNS de Amazon. Para obtener más información, consulteConfigurar una VPC para alojar clústeres en la Guía de administración de Amazon EMR.

Note

Puede utilizar la dirección IP del servidor DNS de Amazon 169.254.169.253, aunque algunosservidores no permite su utilización. Windows Server 2008, por ejemplo, no permite utilizar unservidor DNS que se encuentre en el rango de red 169.254.x.x.

Cambiar las opciones de DHCPLos conjuntos de opciones de DHCP no se pueden modificar una vez creados. Si quiere que su VPC utiliceun conjunto de opciones de DHCP distinto, tendrá que crear uno nuevo y asociarlo a la VPC. Tambiénpuede configurar la VPC para que no utilice opciones de DHCP.

Puede tener varios conjuntos de opciones de DHCP, aunque solo podrá asociar un conjunto de opcionesde DHCP a una VPC a la vez. Si elimina una VPC, también se desasocia de la VPC el conjunto deopciones de DHCP que está asociado a la VPC.

Una vez asociado el nuevo conjunto de opciones de DHCP a una VPC, las instancias existentes y nuevasque lance en la VPC utilizarán las nuevas opciones. No es necesario reiniciar ni volver a lanzar lasinstancias. Los cambios se aplican automáticamente en unas pocas horas, en función de la frecuencia conla que la instancia renueva la concesión de DHCP. Si lo desea, puede renovar explícitamente la concesióna través del sistema operativo de la instancia.

Utilizar los conjuntos de opciones de DHCPEsta sección describe cómo usar los conjuntos de opciones de DHCP.

Tareas

299

https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zones-private.html

https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-vpc-host-job-flows.html

Amazon Virtual Private Cloud Guía del usuarioUtilizar los conjuntos de opciones de DHCP

• Crear un conjunto de opciones de DHCP (p. 300)• Cambiar el conjunto de opciones de DHCP que utiliza la VPC (p. 300)• Cambiar una VPC para que no utilice ninguna opción de DHCP (p. 301)• Modificación de las etiquetas de un conjunto de opciones DHCP (p. 301)• Eliminar un conjunto de opciones de DHCP (p. 302)

Crear un conjunto de opciones de DHCPPuede crear tantos conjuntos de opciones de DHCP adicionales como desee. Sin embargo, solo podráasociar una VPC a un conjunto de opciones de DHCP a la vez. Tras crear un conjunto de opciones deDHCP, deberá configurar su VPC para que lo utilice. Para obtener más información, consulte Cambiar elconjunto de opciones de DHCP que utiliza la VPC (p. 300).

Para crear un conjunto de opciones de DHCP

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija DHCP Options Sets.3. En el cuadro de diálogo, escriba valores para las opciones que desee utilizar.

Important

Si su VPC tiene una gateway de internet, asegúrese de especificar su propio servidorDNS o el servidor DNS de Amazon (AmazonProvidedDNS) en el valor Domain nameservers (Servidores de nombres de dominio). De lo contrario, las instancias que necesitencomunicarse con internet no tendrán acceso al DNS.

4. Como opción, agregue o elimine una etiqueta.

[Agregar una etiqueta] Elija Agregar etiqueta y haga lo siguiente:


[Eliminar una etiqueta] Elija Eliminar a la derecha de la clave y el valor de la etiqueta.5. Luego, Create DHCP options set (Crear conjunto de opciones de DHCP).

El nuevo conjunto de opciones de DHCP aparecerá en la lista de opciones de DHCP.6. Anote el ID del nuevo conjunto de opciones de DHCP (dopt-xxxxxxxx). Necesitará este ID para asociar

el nuevo conjunto de opciones a su VPC.

Ahora que ha creado un conjunto de opciones de DHCP, deberá asociarlo a su VPC para que las opcionessurtan efecto. Puede crear varios conjuntos de opciones de DHCP, aunque solo podrá asociar un conjuntode opciones de DHCP a su VPC a la vez.

Cambiar el conjunto de opciones de DHCP que utiliza la VPCEs posible modificar el conjunto de opciones de DHCP que utiliza su VPC. Si desea que la configuraciónde VPC no utilice las opciones DHCP, consulte Cambiar una VPC para que no utilice ninguna opción deDHCP (p. 301).

Note

El siguiente procedimiento supone que ya ha creado el conjunto de opciones de DHCP al quedesea cambiar. Si no lo ha hecho, cree el conjunto de opciones. Para obtener más información,consulte Crear un conjunto de opciones de DHCP (p. 300).

300


Amazon Virtual Private Cloud Guía del usuarioUtilizar los conjuntos de opciones de DHCP

Para cambiar el conjunto de opciones de DHCP asociado a una VPC

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Your VPCs.3. Seleccione la VPC y seleccione Actions (Acciones), Edit DHCP options set (Editar conjuntos de

opciones DHCP).4. En la lista DHCP Options Set (Conjunto de opciones DHCP), seleccione un conjunto de opciones de la

lista y, a continuación, elija Save (Guardar).

Una vez asociado el nuevo conjunto de opciones de DHCP a la VPC, las instancias existentes y nuevasque lance en dicha VPC utilizarán las nuevas opciones. No es necesario reiniciar ni volver a lanzar lasinstancias. Los cambios se aplican automáticamente en unas pocas horas, en función de la frecuencia conla que la instancia renueva la concesión de DHCP. Si lo desea, puede renovar explícitamente la concesióna través del sistema operativo de la instancia.

Cambiar una VPC para que no utilice ninguna opción de DHCPPuede configurar la VPC para que no utilice un conjunto de opciones DHCP.

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Your VPCs.3. Seleccione la VPC y seleccione Actions (Acciones), Edit DHCP options set (Editar conjuntos de

opciones DHCP).4. En la lista DHCP Options Set (Conjunto de opciones DHCP), seleccione No DHCP Options Set

(Ningún conjunto de opciones DHCP) en la lista y, a continuación, elija Save (Guardar).

No es necesario reiniciar ni volver a lanzar las instancias. Los cambios se aplican automáticamente enunas pocas horas, en función de la frecuencia con la que la instancia renueva la concesión de DHCP. Si lodesea, puede renovar explícitamente la concesión a través del sistema operativo de la instancia.

Modificación de las etiquetas de un conjunto de opciones DHCPPuede agregar etiquetas para identificar fácilmente el conjunto de opciones. Agregar una etiqueta alconjunto de opciones DHCP o quitar una etiqueta del conjunto de opciones DHCP.

Para modificar las etiquetas de un conjunto de opciones DHCP

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija DHCP Options Sets (Conjuntos de opciones DHCP).3. Seleccione las opciones DHCP establecidas y, a continuación, seleccione Actions (Acciones), Manage

tags (Administrar etiquetas).4. Añada o elimine una etiqueta.

[Añadir una etiqueta] Seleccione Add new tag (Añadir nueva etiqueta), y, a continuación, haga losiguiente:• En Key (Clave), escriba el nombre de la clave.• En Value (Valor), escriba el valor de la clave.

[Eliminar una etiqueta] Junto a la etiqueta, elija Remove (Quitar).5. Elija Save (Guardar).

301




Amazon Virtual Private Cloud Guía del usuarioInformación general de la API y de los comandos

Eliminar un conjunto de opciones de DHCPCuando ya no necesite el conjunto de opciones de DHCP, utilice el siguiente procedimiento para eliminarlo.Asegúrese de cambiar las VPC que utilizan estas opciones a otro conjunto de opciones o a ningunaopción. Para obtener más información, consulte the section called “Cambiar el conjunto de opciones deDHCP que utiliza la VPC” (p. 300) y the section called “Cambiar una VPC para que no utilice ningunaopción de DHCP” (p. 301).

Para eliminar un conjunto de opciones de DHCP

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija DHCP Options Sets.3. Seleccione las opciones DHCP establecidas para eliminar y, a continuación, elija Actions (Acciones),

Delete DHCP options set (Eliminar conjunto de opciones DHCP).4. En el cuadro de diálogo de confirmación, escriba delete, y, a continuación, elija Delete DHCP options

set (Eliminar conjunto de opciones DHCP).

Información general de la API y de los comandosPuede realizar las tareas descritas en este tema mediante la línea de comandos o una API. Para obtenermás información acerca de las interfaces de la línea de comandos, junto con una lista de API disponibles,consulte Acceso a Amazon VPC (p. 1).

Creación de un conjunto de opciones de DHCP para su VPC

• create-dhcp-options (AWS CLI)• New-EC2DhcpOption (Herramientas de AWS para Windows PowerShell)

Asociación de un conjunto de opciones de DHCP a la VPC especificada o configuración para queno se utilice ninguna opción de DHCP

• associate-dhcp-options (AWS CLI)• Register-EC2DhcpOption (Herramientas de AWS para Windows PowerShell)

Describe uno o varios conjuntos de opciones de DHCP

• describe-dhcp-options (AWS CLI)• Get-EC2DhcpOption (Herramientas de AWS para Windows PowerShell)

Elimina un conjunto de opciones de DHCP

• delete-dhcp-options (AWS CLI)• Remove-EC2DhcpOption (Herramientas de AWS para Windows PowerShell)

Utilizar DNS con su VPCEl sistema de nombres de dominio (DNS) es un estándar mediante el cual los nombres utilizados enInternet se resuelven a sus direcciones IP correspondientes. Un nombre de host DNS es un nombre que

302


https://docs.aws.amazon.com/cli/latest/reference/ec2/create-dhcp-options.html

https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2DhcpOption.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/associate-dhcp-options.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Register-EC2DhcpOption.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-dhcp-options.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2DhcpOption.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-dhcp-options.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2DhcpOption.html

Amazon Virtual Private Cloud Guía del usuarioNombre de host DNS

denomina de forma única y absoluta a un equipo, y se compone de un nombre de host y de un nombre dedominio. Los servidores DNS resuelven los nombres de host DNS a sus direcciones IP correspondientes.

Las direcciones IPv4 públicas permiten la conexión a través de Internet, mientras que las direcciones IPv4privadas permiten la comunicación dentro de la red de la instancia (ya sea EC2-Classic o VPC). Paraobtener más información, consulte Direcciones IP en su VPC (p. 123).

Ofrecemos un servidor DNS de Amazon. Para usar su propio servidor DNS, cree un nuevo conjunto deopciones de DHCP para su VPC. Para obtener más información, consulte Conjuntos de opciones deDHCP (p. 297).

Contenido• Nombre de host DNS (p. 303)• Compatibilidad de la VPC con DNS (p. 303)• Cuotas de DNS (p. 305)• Consultar nombres de host DNS para su instancia EC2 (p. 305)• Consultar y actualizar la compatibilidad de DNS para su VPC (p. 306)• Utilizar zonas alojadas privadas (p. 307)

Nombre de host DNSAl lanzar una instancia en una VPC predeterminada, ofrecemos la instancia con nombres de host DNSpúblicos y privados que correspondan a las direcciones IPv4 públicas y privadas para la instancia. Allanzar una instancia en una VPC que no es predeterminada, ofrecemos la instancia con un nombre dehost DNS privado y podemos proporcionar un nombre de host DNS público, en función de los atributosde DNS (p. 303) que especifique para la VPC y de si su instancia tiene una dirección IPv4 pública. Paraobtener más información, consulte Direcciones IPv4 públicas y nombres de host DNS externos en la Guíadel usuario de Amazon EC2 para instancias de Linux.

Un nombre de host DNS privado (interno) proporcionado por Amazon se resuelve en la dirección IPv4privada de la instancia, y tiene el formato ip-private-ipv4-address.ec2.internal para la regiónus-east-1 y ip-private-ipv4-address.region.compute.internal para las demás regiones(donde private-ipv4-address es la dirección IP de búsqueda inversa). Puede utilizar el nombre dehost DNS privado para la comunicación entre instancias de la misma red, pero no podemos resolver elnombre de host DNS fuera de la red en la que se encuentra la instancia.

Un nombre de host DNS público (externo) tiene el formato ec2-public-ipv4-address.compute-1.amazonaws.com para la región us-east-1 y el formato ec2-public-ipv4-address.region.compute.amazonaws.com para las demás regiones. El servidor DNS de Amazonresuelve un nombre de host DNS público en la dirección IPv4 pública de la instancia fuera de la red de lainstancia y en la dirección IPv4 privada de la instancia desde dentro de la red de la instancia.

No proporcionamos nombres de host DNS para direcciones IPv6.

Compatibilidad de la VPC con DNSLa VPC tiene atributos que determinan si las instancias lanzadas en la VPC reciben nombres de hostDNS públicos que se corresponden con sus direcciones IP públicas, y si la resolución de DNS a través delservidor DNS de Amazon es compatible con la VPC.

Atributo Descripción

enableDnsHostnames Indica si las instancias con direcciones IP públicasobtienen los nombres de host DNS públicoscorrespondientes.

303

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-instance-addressing.html#concepts-public-addresses

Amazon Virtual Private Cloud Guía del usuarioCompatibilidad de la VPC con DNS

Atributo DescripciónSi este atributo es true, las instancias de la VPCobtienen nombres de host DNS públicos, pero solosi el atributo enableDnsSupport también estáconfigurado con el valor true.

enableDnsSupport Indica si la se admite la resolución de DNS.

Si este atributo es false, el servidor AmazonRoute 53 Resolver que resuelve nombres de hostDNS públicos en direcciones IP no está habilitado.

Si este atributo es true, las consultas al servidorDNS proporcionado por Amazon en la direcciónIP 169.254.169.253 o la dirección IP reservadaen la base del rango de red IPv4 de la VPC másdos se realizarán correctamente. Para obtenermás información, consulte Servidor DNS deAmazon (p. 298).

Si los dos atributos están configurados con el valor true, se producirán las siguientes situaciones:

• Las instancias con direcciones IP públicas obtienen los nombres de host DNS públicoscorrespondientes.

• El servidor Amazon Route 53 Resolver puede resolver los nombres de host de DNS públicosproporcionados por Amazon.

Si uno de los atributos o ambos están configurados con el valor false, ocurrirá lo siguiente:

• Las instancias con direcciones IP públicas no obtienen los nombres de host DNS públicoscorrespondientes.

• Amazon Route 53 Resolver no puede resolver los nombres de host de DNS públicos proporcionados porAmazon.

• Las instancias reciben nombres de host DNS privados personalizados si hay un nombre de dominiopersonalizado en el conjunto de opciones de DHCP (p. 297). Si no está utilizando el servidor AmazonRoute 53 Resolver, sus servidores de nombres de dominio personalizados deberán resolver el nombrede host según corresponda.

De forma predeterminada, ambos atributos están configurados como true en una VPC predeterminadao una VPC creada mediante el asistente de VPC. De forma predeterminada, en una VPC creada decualquier otra forma, el atributo enableDnsSupport tiene el valor true. Para comprobar si la VPCestá habilitada para estos atributos, consulte Consultar y actualizar la compatibilidad de DNS para suVPC (p. 306).

Important

Si utiliza nombres de dominio DNS personalizados definidos en una zona alojada privada enAmazon Route 53, o utiliza un DNS privado con puntos de enlace de la VPC de tipo interfaz (AWSPrivateLink), debe asignar a los atributos enableDnsHostnames y enableDnsSupport el valortrue.

El Amazon Route 53 Resolver puede resolver nombres de host de DNS privados en direcciones IPv4privadas para todos los espacios de direcciones, incluido aquél en el que el rango de direcciones IPv4 dela VPC queda fuera de los rangos de direcciones IPv4 privadas especificados por RFC 1918.

304


Amazon Virtual Private Cloud Guía del usuarioCuotas de DNS

Important

Si creó su VPC antes de octubre de 2016, el servidor de Amazon no puede resolver nombresde host DNS privados si el rango de direcciones IPv4 de su VPC queda fuera de los rangos dedirecciones IPv4 privadas especificados por RFC 1918. Si desea habilitar el servidor DNS deAmazon para que resuelva nombres de host DNS privados para estas direcciones, contacte conAWS Support.

Si habilita los nombres de host DNS y la compatibilidad de DNS en una VPC previamente incompatible,una instancia que ya haya lanzado en esa VPC obtendrá un nombre de host DNS público si tiene unadirección IPv4 pública o una dirección IP elástica.

Cuotas de DNSCada instancia EC2 limita el número de paquetes que se pueden enviar al solucionador de AmazonRoute 53 (en concreto, la dirección .2, como 10.0.0.2) hasta un máximo de 1024 paquetes por segundopor interfaz de red. Esta cuota no puede incrementarse. El número de consultas de DNS por segundoadmitidas por el solucionador de Amazon Route 53 varía según el tipo de consulta, el tamaño de respuestay el protocolo en uso. Para obtener más información y recomendaciones para una arquitectura de DNSescalable, consulte el documento técnico Hybrid Cloud DNS Solutions for Amazon VPC.

Consultar nombres de host DNS para su instanciaEC2Puede ver los nombres de host DNS para una instancia en ejecución o una interfaz de red utilizando laconsola de Amazon EC2 o la línea de comandos.

Los campos Public DNS (IPv4) (DNS público [IPv4]) y Private DNS (DNS privado) están disponiblescuando las opciones de DNS están habilitadas para la VPC asociada a la instancia. Para obtener másinformación, consulte the section called “Compatibilidad de la VPC con DNS” (p. 303).

InstanciaPara ver los nombres de host DNS para una instancia utilizando la consola

1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, seleccione Instances (Instancias).3. Seleccione la instancia de la lista.4. En el panel de detalles, los campos Public DNS (IPv4) y Private DNS mostrarán los nombres de host

DNS, si corresponde.

Para ver los nombres de host DNS para una instancia utilizando la línea de comandos

Puede utilizar uno de los siguientes comandos. Para obtener más información acerca de estas interfacesde línea de comandos, consulte Acceso a Amazon VPC (p. 1).

• describe-instances (AWS CLI)• Get-EC2Instance (Herramientas de AWS para Windows PowerShell)

Interfaz de redPara ver el nombre de host DNS privado para una interfaz de red utilizando la consola

1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

305

https://aws.amazon.com/contact-us/

https://d1.awsstatic.com/whitepapers/hybrid-cloud-dns-options-for-vpc.pdf



https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Instance.html


Amazon Virtual Private Cloud Guía del usuarioConsultar y actualizar la

compatibilidad de DNS para su VPC

2. En el panel de navegación, elija Network Interfaces.3. Seleccione la interfaz de red de la lista.4. En el panel de detalles, el campo Private DNS (IPv4) (DNS privado (IPv4)) mostrará el nombre de host

DNS privado.

Para ver los nombres de host DNS para una interfaz de red utilizando la línea de comandos


• describe-network-interfaces (AWS CLI)• Get-EC2NetworkInterface (Herramientas de AWS para Windows PowerShell)

Consultar y actualizar la compatibilidad de DNS parasu VPCPuede ver y actualizar los atributos de compatibilidad de DNS para su VPC utilizando la consola deAmazon VPC,

Para describir y actualizar la compatibilidad de DNS para una VPC utilizando la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Your VPCs.3. Seleccione la VPC de la lista.4. Revise la información de la pestaña Description (Descripción). En este ejemplo, se han habilitado

ambas configuraciones.

5. Para actualizar estas configuraciones, elija Actions y Edit DNS Resolution o Edit DNS Hostnames. Enel cuadro de diálogo que se abre, elija Yes (Sí) o No, y luego elija Save (Guardar).

Para describir la compatibilidad de DNS para una VPC utilizando la línea de comandos


• describe-vpc-attribute (AWS CLI)• Get-EC2VpcAttribute (Herramientas de AWS para Windows PowerShell)

Para actualizar la compatibilidad de DNS para una VPC utilizando la línea de comandos


• modify-vpc-attribute (AWS CLI)• Edit-EC2VpcAttribute (Herramientas de AWS para Windows PowerShell)

306

https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-network-interfaces.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2NetworkInterface.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpc-attribute.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2VpcAttribute.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-attribute.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2VpcAttribute.html

Amazon Virtual Private Cloud Guía del usuarioUtilizar zonas alojadas privadas

Utilizar zonas alojadas privadasSi desea obtener acceso a los recursos de su VPC utilizando nombres de dominio DNS personalizados,como ejemplo.com, en lugar de utilizar direcciones IPv4 privadas o nombres de host DNS privadosproporcionados por AWS, puede crear una zona hospedada privada en Route 53. Una zona hospedadaprivada es un contenedor que aloja información acerca de cómo deseas dirigir el tráfico de un dominioy sus subdominios en una o varias VPC sin tener que exponer sus recursos en Internet. A continuación,puede crear conjuntos de registros de recursos de Route 53, que determinan cómo responde Route 53ante las consultas para su dominio y subdominios. Por ejemplo, si desea que las solicitudes del navegadorse dirijan a un servidor web en su VPC, creará un registro A en su zona hospedada privada y especificarála dirección IP en ese servidor web. Para obtener más información acerca de la creación de una zonaalojada privada, consulte Usar zonas alojadas privadas en la Guía para desarrolladores de AmazonRoute 53.

Para obtener acceso a recursos utilizando nombres de dominio DNS personalizados, debe estar conectadoa una instancia en su VPC. Desde su instancia, puede comprobar que su recurso de la zona hospedadaprivada esté accesible desde su nombre DNS personalizado mediante el comando ping; por ejemplo,ping mywebserver.example.com. (Debe asegurarse de que las reglas del grupo de seguridad de suinstancia permiten el tráfico ICMP entrante para que el comando ping funcione).

Puede obtener acceso a una zona hospedada privada desde una instancia de EC2-Classic vinculada asu VPC mediante ClassicLink, siempre que su VPC esté habilitada para la compatibilidad de DNS conClassicLink. Para obtener más información, consulte Habilitar la compatibilidad de DNS para ClassicLinken la Guía del usuario de Amazon EC2 para instancias de Linux. En caso contrario, las zonas hospedadasprivadas no admitirán las relaciones transitivas fuera de la VPC; por ejemplo, no es posible obtener accesoa los recursos utilizando sus nombres DNS privados personalizados desde el otro lado de una conexiónVPN. Para obtener más información, consulte Limitaciones de ClassicLink en la Guía del usuario deAmazon EC2 para instancias de Linux.

Important

Si utiliza nombres de dominio DNS personalizados definidos en una zona alojada privada enAmazon Route 53, debe establecer los atributos enableDnsHostnames y enableDnsSupportcomo true.

Interconexión con VPCUna interconexión de VPC es una conexión de redes entre dos VPC que permite direccionar el tráficoentre ellas de forma privada. Las instancias de ambas VPC se pueden comunicar entre sí siempre que seencuentren en la misma red. Puede crear una interconexión de VPC entre sus propias VPC, con una VPCde otra cuenta de AWS o con una VPC de otra región de AWS.

AWS utiliza la infraestructura existente de una VPC para crear una interconexión de VPC. No se trata deninguna gateway o conexión de AWS Site-to-Site VPN y no usa ningún hardware físico individual. Por lotanto, no existen puntos de error de comunicaciones ni cuellos de botella de ancho de banda.

Para obtener más información acerca del uso de interconexiones de VPC con ejemplos de escenarios deutilización de interconexiones de VPC, consulte la Amazon VPC Peering Guide.

Direcciones IP elásticasLas direcciones IP elásticas son direcciones IPv4 estáticas y públicas, diseñadas para la informática enla nube dinámica. Puede asociar una dirección IP elástica con cualquier instancia o interfaz de red decualquier VPC de su cuenta. Con una dirección IP elástica, puede enmascarar los errores de las instanciasreasignando rápidamente la dirección a otra instancia de su VPC.

307

https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zones-private.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/vpc-classiclink.html#classiclink-enable-dns-support

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/vpc-classiclink.html#classiclink-limitations


Amazon Virtual Private Cloud Guía del usuarioConceptos y reglas de direcciones IP elásticas

Conceptos y reglas de direcciones IP elásticasPara utilizar una dirección IP elástica, primero debe asignar para utilizar en su cuenta. A continuación,puede asociarla con una instancia o interfaz de red en su VPC. La dirección IP elástica se mantieneasignada a su cuenta de AWS hasta que la libera explícitamente.

Las direcciones IP elásticas son propiedad de una interfaz de red. Puede asociar una dirección IP elásticaa una instancia actualizando la interfaz de red vinculada a la instancia. La ventaja de asociar la direcciónIP elástica con la interfaz de red en lugar de directamente con la instancia es que puede mover todos losatributos de la interfaz de red de una instancia a otra en un solo paso. Para obtener más información,consulte Interfaces de redes elásticas.

Se aplican las siguientes reglas:

• Una dirección IP elástica se puede asociar con una única instancia o interfaz de red a la vez.• Puede mover una dirección IP elástica de una instancia o interfaz de red a otra.• Si asocia una dirección IP elástica a la interfaz de red eth0 de su instancia, su dirección IPv4 pública

actual (en caso de que la tenga) se liberará al grupo de direcciones IP públicas EC2-VPC. Si anula laasociación de la dirección IP elástica, a la interfaz de red eth0 se le asignará automáticamente unanueva dirección IPv4 pública en unos minutos. Esto no es aplicable si ha vinculado una segunda interfazde red a su instancia.

• Para garantizar un uso eficiente de las direcciones IP elásticas, hemos establecido un pequeño cargopor horas cuando estas no están asociadas a una instancia en ejecución, o bien cuando están asociadasa una instancia detenida o a una interfaz de red no conectada. Mientras su instancia esté en ejecución,no se le cobrará por una dirección IP elástica asociada a la instancia, pero sí por las direcciones IPelásticas adicionales asociadas a la instancia. Para obtener más información, consulte la página Preciosde Amazon EC2.

• Se limita a cinco direcciones IP elásticas. Para ayudar a conservarlas, puede usar un dispositivo NAT.Para obtener más información, consulte NAT (p. 267).

• No se admiten direcciones IP elásticas para IPv6.• Puede etiquetar una dirección IP elástica asociada para usarse en una VPC, sin embargo, no se admiten

etiquetas de asignación de costos. Si recupera una dirección IP elástica, las etiquetas no se recuperan.• Puede obtener acceso a una dirección IP elástica a través de la gateway de Internet de una VPC. Si ha

configurado una conexión de AWS Site-to-Site VPN entre su VPC y su red, el tráfico VPN atravesará unagateway privada virtual, no una gateway de Internet; por lo tanto, no podrá obtener acceso a la direcciónIP elástica.

• Puede utilizar cualquiera de las siguientes opciones para las direcciones IP elásticas:• Que Amazon proporcione las direcciones IP elásticas. Al seleccionar esta opción, puede asociar las

direcciones IP elásticas a un grupo de bordes de red. Esta es la ubicación desde la que anunciamos elbloque CIDR. Establecer el grupo de bordes de red limita el bloque de CIDR a este grupo.

• Utilice sus propias direcciones IP Para obtener información sobre cómo traer sus propias direccionesIP, consulte Traer sus propias direcciones IP (BYOIP) en la Guía del usuario de Amazon EC2 parainstancias de Linux.

Existen diferencias entre las direcciones IP elásticas que se utilizan en una VPC y las que se utilizan enEC2-Classic. Para obtener más información, consulte Diferencias entre EC2-Classic y VPC en la Guía delusuario de Amazon EC2 para instancias de Linux. Puede mover a la plataforma de VPC una dirección IPelástica que haya asignado para utilizarla en la plataforma de EC2-Classic. Para obtener más información,consulte Migración de una dirección IP elástica de EC2-Classic.

Uso de direcciones IP elásticasEn las secciones siguientes, se describe cómo se utilizan las direcciones IP elásticas.

308


https://aws.amazon.com/ec2/pricing/on-demand/#Elastic_IP_Addresses

https://aws.amazon.com/ec2/pricing/on-demand/#Elastic_IP_Addresses


https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-classic-platform.html#differences-ec2-classic-vpc

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-classic-platform.html#migrating-eip

Amazon Virtual Private Cloud Guía del usuarioUso de direcciones IP elásticas

Temas• Asignación de una dirección IP elástica (p. 309)• Asociación de una dirección IP elástica (p. 309)• Visualización de las direcciones IP elásticas (p. 310)• Etiquetado de una dirección IP elástica (p. 310)• Anulación de la asociación de una dirección IP elástica (p. 311)• Liberación de una dirección IP elástica (p. 311)• Recuperación de una dirección IP elástica (p. 312)

Asignación de una dirección IP elásticaAntes de utilizar una IP elástica, debe asignar una para su uso en la VPC.

Console

Para asignar una dirección IP elástica para su uso en una VPC

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Elastic IPs.3. Elija Allocate Elastic IP address (Asignar dirección IP elástica).4. En Public IPv4 address pool (Grupo de direcciones IPv4 públicas) elija una de las siguientes

opciones:

• Amazon's pool of IP addresses (Grupo de direcciones IP de Amazon): si desea que unadirección IPv4 se asigne desde un grupo de direcciones IP de Amazon.

• My pool of public IPv4 addresses (Mi grupo de direcciones IPv4 públicas): si desea asignaruna dirección IPv4 desde un grupo de direcciones IP que ha traído a su cuenta de AWS. Estaopción está deshabilitada si no tiene grupos de direcciones IP.

• Customer owned pool of IPv4 addresses (Grupo de direcciones IPv4 propiedad del cliente): sidesea asignar una dirección IPv4 de un grupo creado desde la red local para su uso con unOutpost de AWS. Esta opción está desactivada si no tiene un Outpost de AWS.

5. Elija Allocate.

Note

Si su cuenta es compatible con EC2-Classic, elija primero VPC.

CLI and API

Para asignar una dirección IP elástica

• allocate-address (AWS CLI)• New-EC2Address (Herramientas de AWS para Windows PowerShell)

Asociación de una dirección IP elásticaPuede asociar una IP elástica con una instancia en ejecución o interfaz de red en su VPC.

Después de asociar la dirección IP elástica con su instancia, la instancia recibe un nombre de host DNSpúblico si los nombres de host DNS están habilitados. Para obtener más información, consulte Utilizar DNScon su VPC (p. 302).

309



https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Address.html


Console

Para asociar una dirección IP elástica con una instancia o interfaz de red en una VPC

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Elastic IPs (Direcciones IP elásticas).3. Seleccione una dirección IP elástica asignada para su uso con una VPC (la columna Scope

(Ámbito) tiene un valor de vpc) y, a continuación, elija Actions (Acciones), Associate Elastic IPaddress (Asociar dirección IP elástica).

4. Elija Instance o Network interface y, a continuación, seleccione la instancia o el ID de interfazde red. Seleccione la dirección IP privada a la que desea asociar la dirección IP elástica. ElijaAssociate.

CLI and API

Para asociar una dirección IP elástica con una instancia o interfaz de red

• associate-address (AWS CLI)• Register-EC2Address (Herramientas de AWS para Windows PowerShell)

Visualización de las direcciones IP elásticasPuede consultar las direcciones IP elásticas asignadas a su cuenta.

Console

Para ver sus direcciones IP elásticas

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Elastic IPs.3. Para filtrar la lista mostrada, comience escribiendo parte de la dirección IP elástica o uno de sus

atributos en el cuadro de búsqueda.

CLI and API

Para consultar una o varias direcciones IP elásticas

• describe-addresses (AWS CLI)• Get-EC2Address (Herramientas de AWS para Windows PowerShell)

Etiquetado de una dirección IP elásticaPuede aplicar etiquetas a las direcciones IP elásticas para poder identificarlas o clasificarlas según lasnecesidades de su organización.

Console

Para etiquetar una dirección IP elástica

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Elastic IPs.3. Seleccione las direcciones IP elásticas y elija Tags.

310


https://docs.aws.amazon.com/cli/latest/reference/ec2/associate-address.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Register-EC2Address.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-addresses.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Address.html



4. Elija Manage tags (Administrar etiquetas), escriba las claves y los valores de etiquetas necesariosy elija Save (Guardar).

CLI and API

Para etiquetar una dirección IP elástica

• create-tags (AWS CLI)• New-EC2Tag (Herramientas de AWS para Windows PowerShell)

Anulación de la asociación de una dirección IP elásticaPara cambiar el recurso con el que está asociada la dirección IP elástica, primero debe desasociarla delrecurso asociado actualmente.

Console

Para anular la asociación de una dirección IP elástica

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Elastic IPs.3. Seleccione la dirección IP elástica y, a continuación, elija Actions (Acciones), Disassociate Elastic

IP address (Desvincular dirección IP elástica).4. Cuando se le solicite, elija Disassociate (Desasociar).

CLI and API

Para anular la asociación de una dirección IP elástica

• disassociate-address (AWS CLI)• Unregister-EC2Address (Herramientas de AWS para Windows PowerShell)

Liberación de una dirección IP elásticaSi ya no necesita una dirección IP elástica, se recomienda que la libere. Se le cobrarán cargos por lasdirecciones IP elásticas asignadas para su uso con una VPC que no estén asociadas a una instancia. Ladirección IP elástica no se debe asociar con una instancia o interfaz de red.

Console

Para liberar una dirección IP elástica

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Elastic IPs.3. Seleccione la dirección IP elástica y, a continuación, elija Actions (Acciones), Release Elastic IP

addresses (Liberar direcciones IP elásticas).4. Cuando se le solicite, elija Release.

CLI and API

Para liberar una dirección IP elástica

• release-address (AWS CLI)

311


https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Tag.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/disassociate-address.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Unregister-EC2Address.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/release-address.html

Amazon Virtual Private Cloud Guía del usuarioClassicLink

• Remove-EC2Address (Herramientas de AWS para Windows PowerShell)

Recuperación de una dirección IP elásticaSi libera su dirección IP elástica, es posible que pueda recuperarla. No podrá recuperar la dirección IPelástica si se ha asignado a otra cuenta de AWS o si supera la cuota de direcciones IP elásticas.

Actualmente, solo puede recuperar una dirección IP elástica con la API de Amazon EC2 o una herramientade la línea de comandos.

Para recuperar una dirección IP elástica con la AWS CLI

• Utilice el comando allocate-address y especifique la dirección IP con el parámetro --address.

aws ec2 allocate-address --domain vpc --address 203.0.113.3

ClassicLinkCon ClassicLink, puede enlazar su instancia de EC2-Classic a una VPC de su cuenta, dentro de la mismaregión. Esto permite asociar los grupos de seguridad de VPC a la instancia EC2-Classic, lo que permitela comunicación entra la instancia de EC2-Classic y las instancias de la VPC mediante direcciones IPv4privadas. Con ClassicLink, no es preciso utilizar direcciones IP elásticas ni direcciones IPv4 públicaspara establecer la comunicación entre las instancias de estas plataformas. Para obtener más informaciónacerca de las direcciones IPv4 privadas y públicas, consulte Direcciones IP en su VPC (p. 123).

ClassicLink está disponible para todos los usuarios con cuentas que admitan la plataforma EC2-Classic, ypuede utilizarse con cualquier instancia EC2-Classic.

El uso de ClassicLink no supone ningún cargo adicional. Se aplicará la tarifa estándar por la transferenciade datos y el uso de instancias por hora.

Para obtener más información acerca de ClassicLink y cómo utilizarlo, consulte los siguientes temas en laGuía del usuario de Amazon EC2:

• Conceptos básicos de ClassicLink• Limitaciones de ClassicLink• Uso de ClassicLink• Información general de API y CLI de ClassicLink

312

https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2Address.html


https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/vpc-classiclink.html#classiclink-basics

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/vpc-classiclink.html#classiclink-limitations

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/vpc-classiclink.html#working-with-classiclink

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/vpc-classiclink.html#classiclink-api-cli

Amazon Virtual Private Cloud Guía del usuarioConceptos de puntos de enlace de la VPC

Puntos de conexión de la VPC yservicios de punto de enlace de laVPC (AWS PrivateLink)

Un Punto de conexión VPC le permite conectar de forma privada su VPC a los servicios de AWScompatibles y a servicios de punto de enlace de la VPC basados en AWS PrivateLink sin necesidad de unagateway de Internet, un dispositivo NAT, una conexión de VPN o una conexión de AWS Direct Connect.Las instancias de su VPC no necesitan direcciones IP públicas para comunicarse con los recursos delservicio. El tráfico entre su VPC y el servicio no sale de la red de Amazon.

Los puntos de conexión son dispositivos virtuales. Son componentes de VPC escalados horizontalmente,redundantes y de alta disponibilidad. Permiten la comunicación entre instancias de su VPC y servicios sinimponer riesgos de disponibilidad o restricciones de ancho de banda en el tráfico de red.

Conceptos de puntos de enlace de la VPCA continuación se enumeran los conceptos clave de los puntos de enlace VPC:

• Servicio de punto de enlace: Su propia aplicación en su VPC. Otras entidades principales de AWSpueden crear una conexión desde su VPC a su servicio de punto de enlace

• Punto de enlace de gateway: un punto de enlace de gateway (p. 330) es una gateway que ustedespecifica como destino de una ruta en la tabla de ruteo para el tráfico dirigido a un servicio de AWScompatible.

• Punto de enlace de interfaz: un punto de enlace de interfaz (p. 314) es una interfaz de red elástica conuna dirección IP privada del intervalo de direcciones IP de su subred que actúa como punto de entradapara el tráfico dirigido a un servicio compatible.

Uso de los puntos de enlace de la VPCPuede crear, acceder y administrar puntos de enlace de la VPC mediante cualquiera de los siguientesprocedimientos:

• Consola de administración de AWS: proporciona una interfaz web que se puede utilizar para obteneracceso a los puntos de enlace de la VPC.

• AWS Command Line Interface(AWS CLI): Proporciona comandos para un amplio abanico de serviciosde AWS, incluido Amazon VPC. La AWS CLI es compatible con Windows, macOS y Linux. Para obtenermás información, consulte AWS Command Line Interface.

• SDK de AWS: Proporcionan API específicas del idioma. Los SDK de AWS se ocupan de muchos delos detalles de conexión, como el cálculo de firmas, la gestión de intentos de solicitud y la gestión deerrores. Para obtener más información, consulte SDK de AWS.

• API de consulta: Proporciona acciones de API de nivel bajo a las que se llama mediante solicitudesHTTPS. Utilizar la API de consulta es la forma más directa de obtener acceso a Amazon VPC. Sin

313

https://aws.amazon.com/cli/

https://aws.amazon.com/tools/#SDKs

Amazon Virtual Private Cloud Guía del usuarioPuntos de conexión de la VPC

embargo, requiere que la aplicación gestione detalles de bajo nivel, como, por ejemplo, la generación delhash para firmar la solicitud y controlar errores. Para obtener más información, consulte la Amazon EC2API Reference.

Puntos de conexión de la VPCUn Punto de conexión VPC le permite conectar de forma privada su VPC a los servicios de AWScompatibles y a servicios de punto de enlace de la VPC basados en AWS PrivateLink sin necesidad de unagateway de Internet, un dispositivo NAT, una conexión de VPN o una conexión de AWS Direct Connect.Las instancias de su VPC no necesitan direcciones IP públicas para comunicarse con los recursos delservicio. El tráfico entre su VPC y el servicio no sale de la red de Amazon.

Los puntos de conexión son dispositivos virtuales. Son componentes de VPC escalados horizontalmente,redundantes y de alta disponibilidad. Permiten la comunicación entre instancias de su VPC y servicios sinimponer riesgos de disponibilidad o restricciones de ancho de banda en el tráfico de red.

Existen dos tipos de puntos de enlace de Puntos de conexión de la VPC: los puntos de enlace de interfaz ylos puntos de enlace de gateway. Cree el tipo de Punto de conexión VPC necesario en función del serviciocompatible.

Un punto de enlace de interfaz (p. 314) es una interfaz de red elástica con una dirección IP privada delrango de direcciones IP de su subred que actúa como punto de entrada para el tráfico dirigido a un serviciocompatible. Los puntos de enlace de interfaz utilizan la tecnología AWS PrivateLink, que le permite obteneracceso a los servicios de forma privada mediante direcciones IP privadas. AWS PrivateLink restringe todoel tráfico de red entre su VPC y los servicios a la red de Amazon. No necesita una gateway de Internet, undispositivo NAT ni una gateway privada virtual.

Para obtener información acerca de los servicios de AWS que se integran con AWS PrivateLink, consultethe section called “Servicios de AWS que se pueden utilizar con AWS PrivateLink” (p. 372).

Puntos de enlace de gateway

Los puntos de enlace de gateway (p. 330) son gateways que especifica como destino de una ruta en latabla de ruteo para el tráfico dirigido a un servicio de AWS compatible. Se admiten los siguientes serviciosde AWS:

• Amazon S3• DynamoDB

Para ver todos los nombres de servicio de AWS disponibles, consulte Visualización de nombres de serviciode AWS disponibles (p. 320).

Interfaz Puntos de conexión de la VPC (AWSPrivateLink)Un punto de enlace de VPC (punto de enlace de interfaz) le permite conectar con servicios basados enAWS PrivateLink. Entre estos servicios se cuentan algunos servicios de AWS, servicios alojados por otrosclientes y socios de AWS en sus propias VPC (denominados servicios de punto de enlace) y servicioscompatibles de socios de AWS Marketplace. El propietario del servicio es el proveedor y usted, comoentidad principal que crea el punto de conexión de la interfaz, es el consumidor del servicio.

A continuación se indican los pasos generales para establecer un punto de conexión de interfaz:

314



Amazon Virtual Private Cloud Guía del usuarioPuntos de enlace de interfaz

1. Elegir la VPC en la que se va a crear el punto de enlace de interfaz e indicar el nombre del servicio deAWS, servicio de punto de enlace o servicio de AWS Marketplace con el que se va a conectar.

2. Elegir una subred de la VPC para utilizar el punto de conexión de interfaz. Vamos a crear una interfazde red de punto de conexión en la subred. Puede especificar más de una subred en zonas dedisponibilidad distintas (si el servicio lo admite) para asegurarse de que el punto de conexión de interfazsea resistente a errores de zonas de disponibilidad. En tal caso, crearemos una interfaz de red de puntode conexión en cada subred especificada.

Note

Una interfaz de red de punto de conexión es una interfaz de red administrada por el solicitante.Puede verla en su cuenta, pero no puede administrarla. Para obtener más información,consulte Interfaces de redes elásticas.

3. Especificar los grupos de seguridad que se asociarán a la interfaz de red de punto de conexión. Lasreglas de grupo de seguridad controlan el tráfico proveniente de los recursos de su VPC hacia la interfazde red de punto de conexión. Si no se especifica un grupo de seguridad, se asociará el grupo deseguridad predeterminado para la VPC.

4. (Opcional, solo para servicios de AWS y de socios de AWS Marketplace) Habilitar un DNSprivado (p. 316) para el punto de enlace con el fin de que pueda hacer solicitudes al servicio utilizandosu nombre de host DNS predeterminado.

Important

El DNS privado está habilitado de forma predeterminada para los puntos de enlace creados porlos servicios de AWS y los servicios de socios de AWS Marketplace.El DNS privado está habilitado en las otras subredes que se encuentran en la misma VPC y lamisma zona de disponibilidad o local.

5. Cuando el proveedor de servicios y el consumidor estén en cuentas distintas, consulte the sectioncalled “Consideraciones sobre zonas de disponibilidad de puntos de enlace de interfaz” (p. 320) paraobtener información acerca de cómo usar los ID de zona de disponibilidad para identificar la zona dedisponibilidad del punto de enlace de interfaz.

6. Una vez creado el punto de enlace de interfaz, estará disponible para su uso cuando lo acepte elproveedor del servicio. El proveedor del servicio debe configurar este de modo que acepte solicitudesde forma automática o manual. En general, los servicios de AWS y de AWS Marketplace aceptanautomáticamente todas las solicitudes de punto de enlace. Para obtener más información sobre el ciclode vida de un punto de conexión, consulte Ciclo de vida de los puntos de enlace de interfaz (p. 319).

Los servicios no pueden iniciar solicitudes de recursos de su VPC a través del punto de conexión. Elpunto de enlace solo proporciona respuestas al tráfico que se inicia a partir de recursos de la VPC. Antesde integrar un servicio y un punto de enlace, revise la documentación del punto de enlace de la VPCespecífica del servicio para cualquier configuración y limitación específicas del servicio.

Contenido• DNS privado para puntos de enlace de interfaz (p. 316)• Propiedades y limitaciones de los puntos de enlace de interfaz (p. 318)• Conexión a centros de datos en las instalaciones (p. 319)• Ciclo de vida de los puntos de enlace de interfaz (p. 319)• Consideraciones sobre zonas de disponibilidad de puntos de enlace de interfaz (p. 320)• Precios de los puntos de enlace de interfaz (p. 320)• Visualización de nombres de servicio de AWS disponibles (p. 320)• Creación de un punto de enlace de interfaz (p. 322)• Visualización del punto de enlace de interfaz (p. 325)• Creación y administración de una notificación para un punto de enlace de interfaz (p. 326)

315



• Acceso a un servicio a través de un punto de enlace de interfaz (p. 327)• Modificación de un punto de enlace de interfaz (p. 328)

DNS privado para puntos de enlace de interfazCuando se crea un punto de enlace de interfaz, generamos nombres de host DNS específicos para esepunto que puede usar para comunicarse con el servicio. Para los servicios de AWS y de los socios deAWS Marketplace, la opción de DNS privado (habilitada de forma predeterminada) asocia una zonaalojada privada a su VPC. La zona hospedada contiene un registro definido para el nombre de DNSpredeterminado para el servicio (por ejemplo, ec2.us-east-1.amazonaws.com) que se convierte en lasdirecciones IP privadas de las interfaces de red de punto de enlace de la VPC. De este modo podrá hacersolicitudes al servicio utilizando su nombre de host DNS predeterminado, en lugar de los nombres de hostDNS específicos del punto de conexión. Por ejemplo, si sus aplicaciones existentes hacen solicitudes a unservicio de AWS podrán continuar haciéndolo a través del punto de conexión de interfaz sin necesidad deningún cambio en la configuración.

En el ejemplo que se muestra en el siguiente diagrama, hay un punto de enlace de interfaz para AmazonKinesis Data Streams y una interfaz de red de punto de enlace en la subred 2. El DNS privado para elpunto de enlace de interfaz no está habilitado. Las tablas de enrutamiento de las subredes tienen las rutassiguientes.

Subred 1

Destino Target

10.0.0.0/16 Local

0.0.0.0/0 internet-gateway-id

Subred 2

Destino Target

10.0.0.0/16 Local

Las instancias de cada subred pueden enviar solicitudes a Amazon Kinesis Data Streams a travésdel punto de enlace de interfaz mediante un nombre de host DNS específico del punto de enlace. Lasinstancias de la subred 1 pueden comunicarse con Amazon Kinesis Data Streams a través del espacio dedirecciones IP públicas de la región de AWS utilizando el nombre de DNS predeterminado.

316


En el diagrama siguiente, se ha habilitado el DNS privado para el punto de enlace. Las instancias de cadasubred pueden enviar solicitudes a Amazon Kinesis Data Streams a través del punto de enlace de interfazmediante el nombre de host DNS predeterminado o el nombre de host DNS específico del punto de enlace.

317


Important

Para utilizar un DNS privado, debe establecer true en los siguientes atributos de la VPC:enableDnsHostnames y enableDnsSupport. Para obtener más información, consulteConsultar y actualizar la compatibilidad de DNS para su VPC (p. 306). Los usuarios de IAMdeben tener permiso para trabajar con zonas alojadas. Para obtener más información, consulteAutenticación y control de acceso de Route 53.

Propiedades y limitaciones de los puntos de enlace de interfazPara utilizar los puntos enlace de interfaz, debe conocer sus propiedades y sus limitaciones actuales:

• Para cada punto de enlace de interfaz solo puede elegir una subred por cada zona de disponibilidad.• Algunos servicios admiten el uso de políticas de puntos de enlace para controlar el acceso al servicio.

Para obtener más información acerca de los servicios que admiten dichas políticas, consulte the sectioncalled “Control del acceso a los servicios con Puntos de conexión de la VPC” (p. 346).

• Puede que algunos servicios no estén disponibles a través de un punto de enlace de interfaz en todaslas zonas de disponibilidad. Para conocer las zonas de disponibilidad compatibles, use el comandodescribe-vpc-endpoint-services o la consola de Amazon VPC. Para obtener más información, consulteCreación de un punto de enlace de interfaz (p. 322).

• Cuando se crea un punto de enlace de interfaz, el punto de enlace se crea en la zona de disponibilidadque corresponde a su cuenta y que es independiente de las demás cuentas. Cuando el proveedor deservicios y el consumidor estén en cuentas distintas, consulte the section called “Consideraciones sobrezonas de disponibilidad de puntos de enlace de interfaz” (p. 320) para obtener información acerca decómo usar los ID de zona de disponibilidad para identificar la zona de disponibilidad del punto de enlacede interfaz.

• Cuando el proveedor de servicios y el consumidor tienen cuentas diferentes y utilizan varias zonas dedisponibilidad, y el consumidor ve la información del servicio de punto de enlace de la VPC, la respuesta

318

https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/auth-and-access-control.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpc-endpoint-services.html


solo incluye las zonas de disponibilidad comunes. Por ejemplo, cuando la cuenta de proveedor deservicios utiliza us-east-1a y us-east-1c y el consumidor utiliza us-east-1a y us-east-1b, larespuesta incluye los servicios de punto de enlace de la VPC en la zona de disponibilidad común, us-east-1a.

• De forma predeterminada, cada punto de enlace de interfaz admite un ancho de banda de hasta 10Gbps por cada zona de disponibilidad y se puede aumentar hasta 40 Gbps. Si su aplicación necesita unancho de banda mayor o un rendimiento constante, póngase en contacto con el soporte técnico de AWS.

• Si la ACL de red de la subred restringe el tráfico, es posible que no pueda enviar tráfico a través de lainterfaz de red de punto de conexión. Asegúrese de agregar las reglas adecuadas que permitan el tráficodesde y hacia el bloque de CIDR de la subred.

• Asegúrese de que el grupo de seguridad asociado a la interfaz de red de punto de enlace permita lacomunicación entre dicha interfaz y los recursos de la VPC que se comunican con el servicio. Si el grupode seguridad restringe el tráfico HTTPS entrante (puerto 443) de los recursos de la VPC, es posible queno pueda enviar tráfico a través de la interfaz de red de punto de enlace.

• Un punto de conexión de interfaz solo admite tráfico TCP.• Al crear un punto de enlace, puede asociar una política de punto de enlace que controle el acceso

al servicio al que se va a conectar. Para obtener más información, consulte prácticas recomendadasde la política y the section called “Control del acceso a los servicios con Puntos de conexión de laVPC” (p. 346).

• Revise los límites específicos del servicio para el servicio de punto de enlace.• Los puntos de enlace solo se admiten en la misma región. No se puede crear un punto de enlace entre

una VPC y un servicio de otra región.• Los puntos de enlace solo son compatibles con el tráfico IPv4.• No se puede transferir un punto de enlace de una VPC a otra, ni de un servicio a otro.• Hay una cuota en el número de puntos de enlace que puede crear por VPC. Para obtener más

información, consulte Puntos de conexión de la VPC (p. 383).

Conexión a centros de datos en las instalacionesPuede utilizar los siguientes tipos de conexiones para una conexión entre un extremo de interfaz y sucentro de datos local:

• AWS Direct Connect• AWS Site-to-Site VPN

Ciclo de vida de los puntos de enlace de interfazUn punto de conexión de interfaz atraviesa varias etapas, que comienzan cuando lo crea (con la solicitudde conexión). En cada etapa, el consumidor y el proveedor del servicio pueden ejecutar distintas acciones.


• El proveedor del servicio puede configurar este de modo que acepte solicitudes de punto de enlacede interfaz de forma automática o manual. En general, los servicios de AWS y de AWS Marketplaceaceptan automáticamente todas las solicitudes de punto de enlace.

• Un proveedor de servicio no puede eliminar un punto de conexión de interfaz que comunique con suservicio. Únicamente el consumidor del servicio que solicitó la conexión de ese punto de interfaz puedeeliminar el punto de conexión.

• Un proveedor de servicio puede rechazar el punto de enlace de interfaz después de haberlo aceptado(ya sea manual o automáticamente) y de que se encuentre en el estado available.

319

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-policy-examples.html#security_iam_service-with-iam-policy-best-practices





Consideraciones sobre zonas de disponibilidad de puntos deenlace de interfazCuando se crea un punto de enlace de interfaz, el punto de enlace se crea en la zona de disponibilidadque corresponde a su cuenta y que es independiente de las demás cuentas. Cuando el proveedor deservicios y el consumidor estén en cuentas distintas, utilice el ID de zona de disponibilidad para identificarde forma inequívoca y sistemática la zona de disponibilidad del punto de enlace de interfaz. Por ejemplo,use1-az1 es un ID de zona de disponibilidad para la región us-east-1 y está en la misma ubicación entodas las cuentas de AWS. Para obtener información sobre los ID de zona de disponibilidad, consulte ID dezona de disponibilidad para sus recursos en la Guía del usuario de AWS RAM o utilice describe-availability-zones.

Puede que algunos servicios no estén disponibles a través de un punto de enlace de interfaz en todas laszonas de disponibilidad. Puede utilizar cualquiera de las operaciones siguientes para detectar qué zonasde disponibilidad admite un servicio:

• describe-vpc-endpoint-services (AWS CLI)• DescribeVpcEndpointServices (API)• La consola de Amazon VPC cuando crea un punto de enlace de interfaz. Para obtener más información,

consulte the section called “Creación de un punto de enlace de interfaz” (p. 322).

Precios de los puntos de enlace de interfazSe le cobrará por la creación y el uso de cada punto de conexión de interfaz a un servicio. Se aplicarántarifas de procesamiento de datos y uso por horas. Para obtener más información sobre los precios de lospuntos de enlace de tipo interfaz, consulte AWS PrivateLink Pricing. Puede ver el número total de puntosde enlace de tipo interfaz utilizando Consola de Amazon VPC o AWS CLI.

Visualización de nombres de servicio de AWS disponiblesCuando utiliza la consola de Amazon VPC para crear un punto de enlace, puede obtener una lista denombres de servicio de AWS disponibles.

Cuando se utiliza AWS CLI para crear un punto de enlace, se puede utilizar el comando describe-vpc-endpoint-services para ver los nombres de servicio y, a continuación, crear el punto de enlace mediante elcomando create-vpc-endpoint.

Console

Para ver los servicios de AWS disponibles mediante la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Endpoints, Create Endpoint.3. En la sección Service Name se enumeran los servicios disponibles.

Command line

Para ver los servicios de AWS disponibles mediante la AWS CLI

• Use el comando describe-vpc-endpoint-services para obtener una lista de los serviciosdisponibles. En la respuesta obtenida, observe el nombre del servicio con el que va a conectar.El campo ServiceType indica si la conexión al servicio se hace a través de un punto de enlacede interfaz o de un punto de enlace de gateway. El campo ServiceName indica el nombre delservicio.

320



https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-availability-zones.html



https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpcEndpointServices.html

https://aws.amazon.com/privatelink/pricing/



https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpc-endpoint.html




aws ec2 describe-vpc-endpoint-services

{ "VpcEndpoints": [ { "VpcEndpointId": "vpce-08a979e28f97a9f7c", "VpcEndpointType": "Interface", "VpcId": "vpc-06e4ab6c6c3b23ae3", "ServiceName": "com.amazonaws.us-east-2.monitoring", "State": "available", "PolicyDocument": "{\n \"Statement\": [\n {\n \"Action\": \"*\", \n \"Effect\": \"Allow\", \n \"Principal\": \"*\", \n \"Resource\": \"*\"\n }\n ]\n}", "RouteTableIds": [], "SubnetIds": [ "subnet-0931fc2fa5f1cbe44" ], "Groups": [ { "GroupId": "sg-06e1d57ab87d8f182", "GroupName": "default" } ], "PrivateDnsEnabled": false, "RequesterManaged": false, "NetworkInterfaceIds": [ "eni-019b0bb3ede80ebfd" ], "DnsEntries": [ { "DnsName": "vpce-08a979e28f97a9f7c-4r5zme9n.monitoring.us-east-2.vpce.amazonaws.com", "HostedZoneId": "ZC8PG0KIFKBRI" }, { "DnsName": "vpce-08a979e28f97a9f7c-4r5zme9n-us-east-2c.monitoring.us-east-2.vpce.amazonaws.com", "HostedZoneId": "ZC8PG0KIFKBRI" } ], "CreationTimestamp": "2019-06-04T19:10:37.000Z", "Tags": [], "OwnerId": "123456789012" } ]

Para ver los servicios de AWS disponibles mediante Herramientas de AWS para WindowsPowerShell

• Get-EC2VpcEndpointService

Para ver los servicios de AWS disponibles mediante la API

• DescribeVpcEndpointServices

321

https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2VpcEndpointService.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ApiReference-query-DescribeVpcEndpointServices.html


Creación de un punto de enlace de interfazPara crear un punto de enlace de interfaz, debe especificar la VPC en la que desee crearlo, así como elservicio con el que desea establecer la conexión.

Para servicios de AWS o servicios de socios de AWS Marketplace, puede opcionalmente habilitar la DNSprivada (p. 316) para el punto de enlace para habilitar realizar solicitudes para el servicio utilizando sunombre de host de DNS.

Important

El DNS privado está habilitado de forma predeterminada para los puntos de enlace creados porlos servicios de AWS y los servicios de socios de AWS Marketplace.

Console

Para crear un punto de conexión de interfaz con un servicio de AWS utilizando la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Endpoints, Create Endpoint.3. En Service category, asegúrese de que está seleccionado AWS services.4. En Service Name, elija el nombre del servicio con el que desea conectar. En Type, asegúrese de

que el valor es Interface.5. Complete la siguiente información y, a continuación, elija Create endpoint.

• En VPC, seleccione la VPC en la que se va a crear el punto de conexión.• En Subredes, seleccione las subredes (zonas de disponibilidad) en las que crear las interfaces

de red de punto de conexión.

Es posible que algunos servicios de AWS no puedan usarse en todas las zonas dedisponibilidad.

• Para habilitar un DNS privado para el punto de enlace de interfaz, en Enable Private DNSName (Habilitar nombre de DNS privado), active la casilla de verificación .

Esta opción está habilitada de forma predeterminada. Para utilizar la opción de DNS privado,los atributos siguientes de la VPC deben tener el valor true: enableDnsHostnames yenableDnsSupport. Para obtener más información, consulte Consultar y actualizar lacompatibilidad de DNS para su VPC (p. 306).

• En Security group, seleccione los grupos de seguridad que deban asociarse a las interfaces dered de punto de conexión.



[Eliminar una etiqueta] Elija el botón de eliminación (“x”) situado a la derecha de la clave y valorde la etiqueta.

Para crear un punto de conexión de interfaz a un servicio de punto de conexión deberá conocer elnombre del servicio con el que desea conectar. El proveedor del servicio puede indicarle ese nombre.

Para crear un punto de conexión de interfaz a un servicio de punto de conexión


322




2. En el panel de navegación, elija Endpoints, Create Endpoint.3. En Service category, elija Find service by name.4. En Service Name, escriba el nombre del servicio (por ejemplo, com.amazonaws.vpce.us-

east-1.vpce-svc-0e123abc123198abc) y elija Verify.5. Complete la siguiente información y, a continuación, elija Create endpoint.



Es posible que el servicio no pueda usarse en todas las zonas de disponibilidad.• En Security group, seleccione los grupos de seguridad que deban asociarse a las interfaces de

red de punto de conexión.• (Opcional) Añada o elimine una etiqueta.



Para crear un punto de conexión de interfaz a un servicio de un socio de AWS Marketplace

1. Vaya a la página PrivateLink de AWS Marketplace y suscríbase a un servicio de un proveedorde software como servicio (SaaS). Los servicios compatibles con puntos de conexión de interfazincluyen la opción de conectar a través de un punto de interfaz.

2. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.3. En el panel de navegación, elija Endpoints, Create Endpoint.4. En Service category, elija Your AWS Marketplace services.5. Elija el servicio de AWS Marketplace al que se ha suscrito.6. Complete la siguiente información y, a continuación, elija Create endpoint.



Es posible que el servicio no pueda usarse en todas las zonas de disponibilidad.• En Security group, seleccione los grupos de seguridad que deban asociarse a las interfaces de

red de punto de conexión.• (Opcional) Añada o elimine una etiqueta.



323

https://aws.amazon.com/marketplace/saas/privatelink



Command line

Para crear un punto de conexión de interfaz con la AWS CLI

1. Use el comando describe-vpc-endpoint-services para obtener una lista de los serviciosdisponibles. En la respuesta obtenida, observe el nombre del servicio con el que va a conectar.El campo ServiceType indica si la conexión al servicio se hace a través de un punto de enlacede interfaz o de un punto de enlace de gateway. El campo ServiceName indica el nombre delservicio.

2. Para crear un punto de enlace de interfaz, utilice el comando create-vpc-endpoint y especifique elID de VPC, el tipo de Punto de conexión VPC (interfaz), el nombre del servicio, las subredes queusarán el punto de enlace y los grupos de seguridad que se asociarán a sus interfaces de red.

En el siguiente ejemplo se crea un punto de conexión de interfaz al servicio Elastic LoadBalancing.

aws ec2 create-vpc-endpoint --vpc-id vpc-ec43eb89 --vpc-endpoint-type Interface --service-name com.amazonaws.us-east-1.elasticloadbalancing --subnet-id subnet-abababab --security-group-id sg-1a2b3c4d

{ "VpcEndpoint": { "PolicyDocument": "{\n \"Statement\": [\n {\n \"Action\": \"*\", \n \"Effect\": \"Allow\", \n \"Principal\": \"*\", \n \"Resource\": \"*\"\n }\n ]\n}", "VpcId": "vpc-ec43eb89", "NetworkInterfaceIds": [ "eni-bf8aa46b" ], "SubnetIds": [ "subnet-abababab" ], "PrivateDnsEnabled": true, "State": "pending", "ServiceName": "com.amazonaws.us-east-1.elasticloadbalancing", "RouteTableIds": [], "Groups": [ { "GroupName": "default", "GroupId": "sg-1a2b3c4d" } ], "VpcEndpointId": "vpce-088d25a4bbf4a7abc", "VpcEndpointType": "Interface", "CreationTimestamp": "2017-09-05T20:14:41.240Z", "DnsEntries": [ { "HostedZoneId": "Z7HUB22UULQXV", "DnsName": "vpce-088d25a4bbf4a7abc-ks83awe7.elasticloadbalancing.us-east-1.vpce.amazonaws.com" }, { "HostedZoneId": "Z7HUB22UULQXV", "DnsName": "vpce-088d25a4bbf4a7abc-ks83awe7-us-east-1a.elasticloadbalancing.us-east-1.vpce.amazonaws.com" }, { "HostedZoneId": "Z1K56Z6FNPJRR", "DnsName": "elasticloadbalancing.us-east-1.amazonaws.com" } ] }

324




}

Como alternativa, el ejemplo siguiente crea un punto de conexión de interfaz a un servicio depunto de conexión de otra cuenta de AWS (el proveedor le indicará el nombre del servicio depunto de conexión).

aws ec2 create-vpc-endpoint --vpc-id vpc-ec43eb89 --vpc-endpoint-type Interface --service-name com.amazonaws.vpce.us-east-1.vpce-svc-0e123abc123198abc --subnet-id subnet-abababab --security-group-id sg-1a2b3c4d

En la respuesta obtenida, observe el valor de los campos DnsName. Puede usar estos nombresde DNS para el acceso al servicio de AWS.

Para describir los servicios disponibles y crear un punto de enlace de la VPC medianteHerramientas de AWS para Windows PowerShell

• Get-EC2VpcEndpointService• New-EC2VpcEndpoint

Para describir los servicios disponibles y crear un punto de enlace de la VPC mediante la API

• DescribeVpcEndpointServices• CreateVpcEndpoint

Visualización del punto de enlace de interfazUna vez creado un punto de conexión de interfaz, puede ver la información sobre él.

Console

Para ver información acerca de un punto de conexión de interfaz con la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Endpoints y seleccione el punto de conexión de interfaz.3. Para ver información acerca del punto de conexión de interfaz, elija Details. El campo DNS

Names muestra los nombres de DNS que deben usarse para el acceso al servicio,4. Para ver las subredes en las que se ha creado el punto de conexión de interfaz y el ID de la

interfaz de red del punto de conexión en cada subred, elija Subnets.5. Para ver los grupos de seguridad asociados a la interfaz de red del punto de conexión, elija

Security group.

Command line

Para describir un punto de conexión de interfaz con la AWS CLI

• Puede describir un punto de enlace con el comando describe-vpc-endpoints.

aws ec2 describe-vpc-endpoints --vpc-endpoint-ids vpce-088d25a4bbf4a7abc

325


https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2VpcEndpoint.html


https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ApiReference-query-CreateVpcEndpoint.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpc-endpoints.html


Para describir los puntos de enlace de la VPC mediante Herramientas de AWS paraPowerShell o la API

• Get-EC2VpcEndpoint (Herramientas para Windows PowerShell)• DescribeVpcEndpoints (API de consulta de Amazon EC2)

Creación y administración de una notificación para un punto deenlace de interfazPuede crear una notificación para recibir alertas cuando se produzcan eventos específicos en el punto deconexión de interfaz. Por ejemplo, puede recibir un correo electrónico cuando el proveedor del servicioacepte el punto de conexión de interfaz. Para crear una notificación, debe asociarle un tema de AmazonSNS a la notificación. Suscribiéndose al tema de SNS recibirá una notificación por correo electrónicocuando se produzca el evento en el punto de conexión.

El tema de Amazon SNS utilizado para las notificaciones debe contar con una política de tema que permitaal servicio de punto de conexión de VPC de Amazon publicar notificaciones en su nombre. Asegúrese deincluir la instrucción siguiente al comienzo de la política de tema. Para obtener más información, consulteIdentity and Access Management en Amazon SNS, en la Guía para desarrolladores de Amazon SimpleNotification Service.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "vpce.amazonaws.com" }, "Action": "SNS:Publish", "Resource": "arn:aws:sns:region:account:topic-name" } ]}

Console

Para crear una notificación para un punto de conexión de interfaz

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Endpoints y seleccione el punto de conexión de interfaz.3. Elija Actions, Create notification.4. Elija el ARN del tema de SNS al que desea asociar la notificación.5. En Events, seleccione los eventos de punto de conexión para los que se deben recibir

notificaciones.6. Elija Create Notification.

Después de crear una notificación, puede cambiar el tema de SNS asociado a la notificación. Tambiénpuede especificar diferentes eventos de punto de enlace para la notificación.

Para modificar una notificación para un servicio de punto de conexión

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Endpoints y seleccione el punto de conexión de interfaz.

326

https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2VpcEndpoint.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ApiReference-query-DescribeVpcEndpoints.html

https://docs.aws.amazon.com/sns/latest/dg/


https://docs.aws.amazon.com/sns/latest/dg/sns-authentication-and-access-control.html




3. Elija Actions, Modify Notification.4. Especifique el ARN del tema de SNS y cambie los eventos de punto de conexión como sea

necesario.5. Elija Modify Notification.

Si ya no necesita una notificación, puede eliminarla.

Para eliminar una notificación

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Endpoints y seleccione el punto de conexión de interfaz.3. Elija Actions, Delete notification.4. Elija Yes, Delete (Sí, eliminar).

Command line

Para crear y administrar una notificación con la AWS CLI

1. Para crear una notificación para un punto de enlace de interfaz, utilice el comando create-vpc-endpoint-connection-notification. Especifique el ARN del tema SNS, los eventos para los que seva a notificar y el ID del punto de enlace, como se muestra en el ejemplo siguiente.

aws ec2 create-vpc-endpoint-connection-notification --connection-notification-arn arn:aws:sns:us-east-2:123456789012:EndpointNotification --connection-events Accept Reject --vpc-endpoint-id vpce-123abc3420c1931d7

2. Para ver las notificaciones, utilice el comando describe-vpc-endpoint-connection-notifications.

aws ec2 describe-vpc-endpoint-connection-notifications

3. Para cambiar el tema de SNS o los eventos de punto de enlace objeto de notificación, utilice elcomando modify-vpc-endpoint-connection-notification.

aws ec2 modify-vpc-endpoint-connection-notification --connection-notification-id vpce-nfn-008776de7e03f5abc --connection-events Accept --connection-notification-arn arn:aws:sns:us-east-2:123456789012:mytopic

4. Para eliminar una notificación, utilice el comando delete-vpc-endpoint-connection-notifications.

aws ec2 delete-vpc-endpoint-connection-notifications --connection-notification-ids vpce-nfn-008776de7e03f5abc

Acceso a un servicio a través de un punto de enlace de interfazUna vez creado un punto de conexión de interfaz, puede enviar solicitudes al servicio correspondiente através de una URL de punto de conexión. Puede utilizar las siguientes:

• Si ha habilitado un DNS privado para el punto de enlace (una zona alojada privada; aplicable solo aservicios de AWS y de socios de AWS Marketplace), el nombre de host DNS predeterminado para elservicio de AWS en la región. Por ejemplo, ec2.us-east-1.amazonaws.com.

• El nombre de host DNS regional específico del punto de enlace que generamos para el puntode enlace de interfaz. El nombre de host incluye en su nombre un identificador único de puntode enlace, un identificador de servicio, la región y vpce.amazonaws.com. Por ejemplo,vpce-0fe5b17a0707d6abc-29p5708s.ec2.us-east-1.vpce.amazonaws.com.

327


https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpc-endpoint-connection-notification.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpc-endpoint-connection-notifications.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint-connection-notification.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpc-endpoint-connection-notifications.html


• El nombre de host DNS de zona específico del punto de enlace para cada zona de disponibilidad en laque el punto de enlace está disponible. El nombre de host incluye la zona de disponibilidad. Por ejemplo,vpce-0fe5b17a0707d6abc-29p5708s-us-east-1a.ec2.us-east-1.vpce.amazonaws.com.Podría utilizar esta opción si su arquitectura aísla zonas de disponibilidad (por ejemplo, para contenciónde errores o para reducir los costos de transferencia de datos regionales).

Una solicitud al nombre de host de DNS de zona está destinada a la ubicación de zona de disponibilidadcorrespondiente en la cuenta del proveedor de servicios, que podría no tener el mismo nombre de zonade disponibilidad que su cuenta. Para obtener más información, consulte Conceptos de región y zona dedisponibilidad.

• La dirección IP privada de la interfaz de red del punto de enlace de la VPC.

Para obtener los nombres DNS de la región y la zona, consulte Visualización del punto de enlace deinterfaz (p. 325).

Por ejemplo, en una subred en la que exista un punto de enlace de interfaz a Elastic Load Balancing ypara la que no se haya habilitado la opción de DNS privado, utilice el siguiente comando de la AWS CLIdesde una instancia para describir los balanceadores de carga. El comando utiliza el nombre de host DNSregional específico del punto de enlace para enviar la solicitud a través del punto de enlace de interfaz.

aws elbv2 describe-load-balancers --endpoint-url https://vpce-0f89a33420c193abc-bluzidnv.elasticloadbalancing.us-east-1.vpce.amazonaws.com/

Si ha habilitado la opción de DNS privado, no es necesario que especifique la URL del punto de enlaceen la solicitud. La AWS CLI usa el punto de enlace predeterminado para el servicio AWS en la región(elasticloadbalancing.us-east-1.amazonaws.com).

Modificación de un punto de enlace de interfazPuede modificar los siguientes atributos de un punto de enlace de interfaz:

• La subred en la que se encuentra el punto de enlace de interfaz• Los grupos de seguridad asociados a la interfaz de red de punto de enlace• Las etiquetas• La opción de DNS privado• La política de punto de enlace (si es compatible con el servicio)

Si quita una subred del punto de enlace de interfaz, la interfaz de red correspondiente de la subred seeliminará.

Console

Para cambiar las subredes de un punto de conexión de interfaz

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Endpoints y seleccione el punto de conexión de interfaz.3. Elija Actions, Manage Subnets.4. Seleccione o quite la selección de las subredes como sea necesario y elija Modify Subnets.

Para agregar o quitar los grupos de seguridad asociados a un punto de conexión de interfaz


328

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-regions-availability-zones.html#concepts-regions-availability-zones





2. En el panel de navegación, elija Endpoints y seleccione el punto de conexión de interfaz.3. Elija Actions, Manage security groups.4. Seleccione o quite la selección de los grupos de seguridad según sea necesario y elija Save

(Guardar).

Para añadir o eliminar una etiqueta del punto de enlace de interfaz

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Endpoints (Puntos de enlace).3. Seleccione el punto de enlace de interfaz y elija Actions (Acciones), Add/Edit Tags (Añadir o editar

etiquetas).4. Puede añadir o eliminar una etiqueta.

[Añadir una etiqueta] Elija Create tag (Crear etiqueta) y haga lo siguiente:• En Key (Clave), escriba el nombre de la clave.• En Value (Valor), escriba el valor de la clave.


Para modificar la opción de DNS privado

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Endpoints y seleccione el punto de conexión de interfaz.3. Elija Actions (Acciones), Modify Private DNS names (Modificar nombres de DNS privados).4. Habilite o deshabilite la opción según sea necesario y elija Modify Private DNS names (Modificar

nombres de DNS privados).

Para actualizar la política de punto de enlace

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Endpoints y seleccione el punto de conexión de interfaz.3. Elija Actions, Edit policy.4. Elija Full Access (Acceso completo) para permitir el acceso completo al servicio, o bien elija

Custom (Personalizada) y especifique una política personalizada. Seleccione Save (Guardar).

Command line

Para modificar un Punto de conexión VPC con la AWS CLI

1. Utilice el comando describe-vpc-endpoints para obtener el ID del punto de conexión de interfaz.

aws ec2 describe-vpc-endpoints

2. En el ejemplo siguiente se usa el comando modify-vpc-endpoint para agregar la subred subnet-aabb1122 al punto de enlace de interfaz.

aws ec2 modify-vpc-endpoint --vpc-endpoint-id vpce-0fe5b17a0707d6abc --add-subnet-id subnet-aabb1122

329





https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint.html

Amazon Virtual Private Cloud Guía del usuarioPuntos de enlace de gateway

Para modificar un Punto de conexión VPC con las Herramientas de AWS para WindowsPowerShell o una API

• Edit-EC2VpcEndpoint (Herramientas de AWS para Windows PowerShell)• ModifyVpcEndpoint (API de consulta de Amazon EC2)

Para añadir o eliminar una etiqueta de Punto de conexión VPC mediante Herramientas deAWS para Windows PowerShell o una API

• tag-resource (AWS CLI)• TagResource (Herramientas de AWS para Windows PowerShell)• untag-resource (AWS CLI)• TagResource (Herramientas de AWS para Windows PowerShell)

Puntos de conexión de la VPC de gatewayPara crear y configurar un punto de enlace de gateway siga estos pasos generales:

1. Especifique la VPC en la que desea crear el punto de enlace, así como el servicio al que se va aconectar. Los servicios se identifican con una lista de prefijos administrada por AWS: el nombre y el IDde un servicio en una región. Los ID de la lista de prefijos de AWS utilizan el formato pl-xxxxxxx y elnombre de una lista de prefijos de AWS utiliza el formato “com.amazonaws.región.servicio”. Utiliceel nombre de la lista de prefijos de AWS (nombre de servicio) para crear un punto de enlace.

2. Adjunte una política de punto de conexión a su punto de conexión que permita obtener acceso a todoso a algunos de los servicios a los que se va a conectar. Para obtener más información, consulte Uso depolíticas de Punto de conexión VPC (p. 346).

3. Especifique una o varias tablas de ruteo en las que crear rutas para el servicio. Las tablas de ruteocontrolan el direccionamiento del tráfico entre su VPC y el otro servicio. Las subredes asociadas a unade estas tablas de ruteo tienen acceso al punto de enlace y el tráfico desde las instancias de estassubredes al servicio se direcciona a través del punto de enlace.

En el siguiente diagrama, las instancias de la subred 2 tienen acceso a Amazon S3 a través del punto deenlace de gateway.

330

https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2VpcEndpoint.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ApiReference-query-ModifyVpcEndpoint.html

https://docs.aws.amazon.com/cli/latest/reference/directconnect/tag-resource.html

https://docs.aws.amazon.com/directconnect/latest/APIReference/API_TagResource.html

https://docs.aws.amazon.com/cli/latest/reference/directconnect/untag-resource.html

https://docs.aws.amazon.com/directconnect/latest/APIReference/API_UntagResource.html


Puede crear varios puntos de conexión en una sola VPC, por ejemplo, a varios servicios. También puedecrear varios puntos de conexión para un único servicio, y puede utilizar distintas tablas de ruteo paraaplicar diferentes políticas de acceso desde distintas subredes al mismo servicio.

Una vez que ha creado un punto de conexión, puede modificar la política de punto de conexión adjunta asu punto de conexión, así como añadir o quitar las tablas de ruteo utilizadas por el punto de conexión.

Contenido• Precios de puntos de enlace de gateway (p. 331)• Enrutamiento para puntos de enlace de gateway (p. 331)• Limitaciones de los puntos de enlace de gateway (p. 334)• Puntos de enlace para Amazon S3 (p. 334)• PUntos de conexión para Amazon DynamoDB (p. 340)• Creación de un punto de enlace de gateway (p. 342)• Modificación de su grupo de seguridad (p. 343)• Modificación de un punto de enlace de gateway (p. 344)• Agregar o eliminar etiquetas del punto de enlace de gateway (p. 345)

Precios de puntos de enlace de gatewayEl uso de puntos de enlace de gateway no supone ningún cargo adicional. Se aplicará la tarifa estándarpor la transferencia de datos y el uso de recursos. Para obtener más información acerca de los precios,consulte Precios de Amazon EC2.

Enrutamiento para puntos de enlace de gatewayCuando se crea o modifica un punto de conexión, debe especificar las tablas de ruteo de la VPC utilizadaspara obtener acceso al servicio a través del punto de conexión. Se añadirá automáticamente una ruta a

331

http://aws.amazon.com/ec2/pricing/


cada una de las tablas de ruteo con el ID de la lista de prefijos del servicio de AWS (pl-xxxxxxxx) comodestino y el ID del punto de enlace (vpce-xxxxxxxx) como objetivo, por ejemplo:

Destino Objetivo

10.0.0.0/16 Local

pl-1a2b3c4d vpce-11bb22cc

El ID de la lista de prefijos de AWS representa, de forma lógica, el rango de direcciones IP públicasutilizadas por el servicio. Todas las instancias de subredes asociadas a las tablas de ruteo especificadasutilizan automáticamente ese punto de enlace para acceder al servicio. Las subredes que no estánasociadas a las tablas de ruta especificadas no utilizan el punto de enlace. Esto le permite mantener losrecursos de otras subredes separados de su punto de conexión.

Para ver el rango actual de direcciones IP públicas de un servicio, puede utilizar el comando describe-prefix-lists.

Note

El rango de direcciones IP públicas de un servicio puede cambiar de vez en cuando. Tengaen cuenta las implicaciones antes de tomar decisiones de direccionamiento u otras decisionesbasadas en el rango actual de direcciones IP de un servicio.


• Puede tener varias rutas de punto de enlace a diferentes servicios en una tabla de ruteo, y puede tenervarias rutas de punto de enlace al mismo servicio en diferentes tablas de ruteo. Pero no puede tenervarias rutas de punto de enlace al mismo servicio en una sola tabla de ruteo. Por ejemplo, si crea dospuntos de enlace a Amazon S3 en su VPC, no puede crear rutas de punto de enlace para ambos puntosde enlace en la misma tabla de ruteo.

• No puede añadir, modificar ni eliminar de forma explícita una ruta de punto de conexión en su tablade ruteo utilizando las API de tabla de ruteo, ni utilizando la página de tablas de ruteo de la consolade Amazon VPC. Solo puede añadir una ruta de punto de conexión asociando una tabla de ruteo a unpunto de conexión. Para cambiar las tablas de ruteo asociadas a su punto de conexión, puede modificarel punto de conexión (p. 344).

• Las rutas de punto de conexión se eliminan automáticamente al quitar la asociación en la tabla de ruteodel punto de conexión (al modificar el punto de conexión), o al eliminar el punto de conexión.

Para determinar cómo dirigir tráfico, se usa la ruta más específica que coincida con el tráfico en cuestión(coincidencia del prefijo más largo). Si tiene una ruta existente en la tabla de ruteo para todo el tráfico deInternet (0.0.0.0/0) que apunte a una gateway de Internet, la ruta del punto de enlace prevalece paratodo el tráfico destinado al servicio, ya que el rango de direcciones IP del servicio es más específico que0.0.0.0/0. El resto del tráfico de Internet se dirige a la gateway de Internet, incluido el tráfico destinadoal servicio en otras regiones.

Sin embargo, si tiene rutas más específicas existentes a rangos de direcciones IP que apunten a unagateway de Internet o a un dispositivo NAT, estas rutas prevalecen. Si tiene rutas existentes destinadas aun rango de direcciones IP que es idéntico al rango de direcciones IP utilizado por el servicio, entonces susrutas tienen preferencia.

Ejemplo: Ruta de punto de enlace en una tabla de ruteo

En este escenario, tiene una ruta existente en la tabla de ruteo para todo el tráfico de Internet(0.0.0.0/0) que apunta a una gateway de Internet. Todo el tráfico de la subred que esté destinado a otroservicio de AWS utilizará el gateway de Internet.

332

https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-prefix-lists.html



Destino Objetivo

10.0.0.0/16 Local

0.0.0.0/0 igw-1a2b3c4d

Crea un punto de conexión a un servicio compatible de AWS, y asocia su tabla de ruteo al punto deconexión. Automáticamente, se añade una ruta de punto de enlace a la tabla de ruteo, con destino apl-1a2b3c4d (suponga que esto representa el servicio para el cual ha creado el punto de enlace). Ahora,todo el tráfico de la subred que esté destinado a ese servicio de AWS en la misma región se dirigirá alpunto de enlace y no a la gateway de Internet. El resto del tráfico de Internet se dirige a la gateway deInternet, incluido el tráfico destinado a otros servicios, y el destinado al servicio de AWS en otras regiones.

Destino Objetivo

10.0.0.0/16 Local

0.0.0.0/0 igw-1a2b3c4d


Ejemplo: Ajustar las tablas de ruteo para puntos de enlace

En esta situación, 54.123.165.0/24 se encuentra en el rango de direcciones IP de Amazon S3 yconfiguró su tabla de ruteo para permitir que las instancias de su subred se comuniquen con bucketsde Amazon S3 a través una gateway de Internet. Ha agregado una ruta con 54.123.165.0/24 comodestino y la gateway de Internet como destino. A continuación, crea un punto de conexión y le asociaesta tabla de ruteo. Se añadirá una ruta del punto de conexión automáticamente a la tabla de ruteo. Acontinuación, utilice el comando describe-prefix-lists para ver el rango de direcciones IP de Amazon S3.El rango es 54.123.160.0/19, que es menos específico que el rango que está apuntando a su gatewayde Internet. Esto significa que el tráfico destinado al rango 54.123.165.0/24 de direcciones IP seguiráutilizando la gateway de Internet, y no utilizará el punto de enlace (siempre que siga siendo el rango dedirecciones IP públicas para Amazon S3).

Destino Objetivo

10.0.0.0/16 Local

54.123.165.0/24 igw-1a2b3c4d


Para asegurarse de que todo el tráfico destinado a Amazon S3 en la misma región se direcciona a travésdel punto de enlace, debe ajustar las rutas en la tabla de ruteo. Para ello, puede eliminar la ruta a lagateway de Internet. Ahora, todo el tráfico destinad a Amazon S3 en la misma región utilizará el punto deenlace, y la subred asociada a la tabla de ruteo será una subred privada.

Destino Objetivo

10.0.0.0/16 Local


333



Limitaciones de los puntos de enlace de gatewayPara utilizar los puntos de enlace de gateway, debe conocer sus limitaciones actuales:

• No es posible utilizar un ID de la lista de prefijos de AWS en una regla saliente de una ACL de red parapermitir ni denegar el tráfico saliente al servicio especificado en un punto de enlace. Si sus reglas deACL de red restringen el tráfico, debe especificar el bloque de CIDR (rango de direcciones IP) para elservicio en su lugar. No obstante, sí puede utilizar un ID de la lista de prefijos de AWS en una regla degrupos de seguridad saliente. Para obtener más información, consulte Grupos de seguridad (p. 347).

• Los puntos de enlace solo se admiten en la misma región. No se puede crear un punto de enlace entreuna VPC y un servicio de otra región.

• Los puntos de enlace solo son compatibles con el tráfico IPv4.• No se puede transferir un punto de enlace de una VPC a otra, ni de un servicio a otro.• Hay una cuota en el número de puntos de enlace que puede crear por VPC. Para obtener más

información, consulte Puntos de conexión de la VPC (p. 383).• Las conexiones de punto de conexión no se pueden ampliar más allá de la VPC. Los recursos del

otro lado de una conexión de VPN, una interconexión de VPC, transit gateway, una conexión de AWSDirect Connect o una conexión de ClassicLink en su VPC no pueden utilizar el punto de enlace paracomunicarse con los recursos del servicio del punto de enlace.

• Debe habilitar la resolución de DNS en su VPC, o si está utilizando su propio servidor DNS, asegúresede que las solicitudes de DNS al servicio requerido (como Amazon S3) se resuelven correctamenteen las direcciones IP mantenidas por AWS. Para obtener más información, consulte Utilizar DNS consu VPC (p. 302) y Rangos de direcciones IP de AWS AWS en la Referencia general de Amazon WebServices.

• Revise los límites específicos del servicio para el servicio de punto de enlace.

Para obtener más información sobre las reglas y limitaciones específicas de Amazon S3, consulte Puntosde enlace para Amazon S3 (p. 334).

Para obtener más información sobre las reglas y limitaciones específicas de DynamoDB, consulte PUntosde conexión para Amazon DynamoDB (p. 340).

Puntos de enlace para Amazon S3Si ya ha configurado el acceso a sus recursos de Amazon S3 desde su VPC, puede seguir utilizando losnombres DNS de Amazon S3 para obtener acceso a dichos recursos después de haber configurado unpunto de enlace. Sin embargo, tenga en cuenta lo siguiente:

• Su punto de conexión tiene una política que controla la utilización del punto de conexión para teneracceso a los recursos de Amazon S3. La política predeterminada permite obtener acceso a cualquierusuario o servicio de la VPC utilizando las credenciales de cualquier cuenta de AWS a cualquier recursode Amazon S3, incluidos los recursos de Amazon S3 para una cuenta de AWS distinta de la cuenta ala que está asociada la VPC. Para obtener más información, consulte Control del acceso a los servicioscon Puntos de conexión de la VPC (p. 346).

• Las direcciones IPv4 de origen de las instancias de las subredes afectadas según lo recibido porAmazon S3 cambiarán de direcciones IPv4 públicas a direcciones IPv4 privadas de la VPC. Un punto deconexión cambia las rutas de red y desconecta las conexiones TCP abiertas. Las conexiones anterioresque utilizaban direcciones IPv4 públicas no se reanudan. Recomendamos no tener ninguna tareaimportante en ejecución al crear o modificar un punto de conexión, o bien asegurarse de que su softwarese puede conectar automáticamente a Amazon S3 después de la interrupción de la conexión.

• No es posible utilizar una política de IAM o una política de bucket para permitir el acceso desde un rangode CIDR IPv4 de VPC (el rango de direcciones IPv4 privadas). Los bloques de CIDR de VPC puedenestar solapados o ser idénticos, lo que puede producir resultados inesperados. Por lo tanto, no puedeutilizar la condición aws:SourceIp en sus políticas de IAM para solicitudes a Amazon S3 a través de

334

https://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html


un punto de enlace de la VPC. Esto se aplica a las políticas de IAM para usuarios y funciones, así comoa todas las políticas de bucket. Si una instrucción incluye la condición aws:SourceIp, el valor fallarápara coincidir con el rango o la dirección IP proporcionados. En su lugar, puede hacer lo siguiente:• Utilice sus tablas de ruteo para controlar qué instancias pueden obtener acceso a los recursos en

Amazon S3 a través del punto de conexión.• Para las políticas de bucket, puede restringir el acceso a un punto de conexión específico o a una

VPC específica. Para obtener más información, consulte Uso de políticas de bucket de AmazonS3 (p. 338).

• Actualmente, los puntos de conexión no admiten las solicitudes entre regiones. Asegúrese de crearsu punto de conexión en la misma región que su bucket. Puede encontrar la ubicación de su bucketutilizando la consola de Amazon S3, o bien utilizando el comando get-bucket-location. Utilice unpunto de enlace de Amazon S3 específico de la región para obtener acceso a su bucket. Por ejemplo:mybucket.s3-us-west-2.amazonaws.com. Para obtener más información acerca de los puntosde enlace de Amazon S3 específicos de regiones, consulte Amazon Simple Storage Service (S3) enReferencia general de Amazon Web Services. Si utiliza la AWS CLI para hacer solicitudes a Amazon S3,establezca la región predeterminada en la misma región que el bucket o utilice el parámetro --regionen las solicitudes.

Note

Trate la región EE. UU. Estándar de Amazon S3 como asignada a la región us-east-1.• Actualmente, los puntos de conexión solo son compatibles con el tráfico IPv4.

Antes de utilizar puntos de enlace con Amazon S3, asegúrese también de haber leído las siguienteslimitaciones generales: Limitaciones de los puntos de enlace de gateway (p. 334). Para obtenerinformación sobre la creación y visualización de los buckets de S3, consulte Cómo crear un bucket de S3y Cómo ver las propiedades de un bucket de S3 en la Guía del usuario de la consola de Amazon SimpleStorage Service,

Si utiliza otros servicios de AWS en su VPC, puede que estos utilicen los buckets de S3 para determinadastareas. Asegúrese de que su política de puntos de conexión permite el acceso completo a Amazon S3(la política predeterminada) o de que permite el acceso a los buckets específicos utilizados por estosservicios. De forma alternativa, puede crear únicamente un punto de conexión en una subred que no estéutilizada por ninguno de estos servicios, para permitir que los servicios sigan obteniendo acceso a losbuckets de S3 utilizando direcciones IP públicas.

La siguiente tabla enumera los servicios de AWS que pueden verse afectados por un punto de conexión,así como información específica de cada servicio.

Servicio de AWS Nota

Amazon AppStream 2.0 Su política de puntos de conexión debe permitirel acceso a los buckets específicos utilizadospor AppStream 2.0 para almacenar el contenidode los usuarios. Para obtener más información,consulte Uso de puntos de enlace de la VPC deAmazon S3 para carpetas de inicio y persistenciade configuración de la aplicación en la Guía deadministración de Amazon AppStream 2.0.

AWS CloudFormation Si tiene recursos en su VPC que deben respondera una condición de espera o una solicitud derecurso personalizado, su política de puntosde conexión debe permitir al menos el accesoa los buckets específicos utilizados por estosrecursos. Para obtener más información, consulte

335

https://docs.aws.amazon.com/cli/latest/reference/s3api/get-bucket-location.html

https://docs.aws.amazon.com/general/latest/gr/rande.html#s3_region

https://docs.aws.amazon.com/AmazonS3/latest/user-guide/create-bucket.html

https://docs.aws.amazon.com/AmazonS3/latest/user-guide/view-bucket-properties.html

https://docs.aws.amazon.com/appstream2/latest/developerguide/managing-network-vpce-iam-policy.html




Servicio de AWS NotaConfiguración de puntos de enlace de la VPC paraAWS CloudFormation.

CodeDeploy Su política de puntos de enlace debe permitir elacceso completo a Amazon S3, o bien permitir elacceso a los buckets de S3 que ha creado parasus implementaciones de CodeDeploy.

Elastic Beanstalk Su política de puntos de conexión debe permitiral menos el acceso a los buckets de S3 utilizadospara las aplicaciones de Elastic Beanstalk. Paraobtener más información, consulte Uso de ElasticBeanstalk con Amazon S3 en la Guía paradesarrolladores de AWS Elastic Beanstalk.

Amazon EMR La política de puntos de enlace debe permitir elacceso a los repositorios de Amazon Linux y aotros buckets utilizados en Amazon EMR. Paraobtener más información, consulte Política deAmazon S3 mínima para subred privada en la Guíade administración de Amazon EMR.

AWS OpsWorks Su política de puntos de conexión debe permitiral menos el acceso a los buckets específicosutilizados por AWS OpsWorks. Para obtener másinformación, consulte Ejecución de stack en unaVPC, en la AWS OpsWorks User Guide.

AWS Administrador de sistemas Su política de punto de enlace debe permitir elacceso a los buckets de Amazon S3 utilizadospor Patch Manager para las operaciones de basede referencia de parches de la región de AWS.Estos buckets contienen el código que el serviciode bases de referencia de parches recuperay ejecuta en las instancias. Para obtener másinformación, consulte Crear un punto de enlace denube privada virtual en la Guía del usuario de AWSAdministrador de sistemas.

Para ver una lista de los permisos de buckets deS3 necesarios para las operaciones del Agente deSSM, consulte Permisos mínimos del bucket deS3 para Agente de SSM en la Guía del usuario deAWS Administrador de sistemas.

Amazon EC2 Container Registry La política de puntos de enlace debe permitirque Amazon ECR pueda acceder a los bucketsde Amazon S3 para almacenar las capasde imágenes de Docker. Para obtener másinformación, consulte Acerca de los permisosmínimos del bucket de Amazon S3 para AmazonECR en la Guía del usuario de Amazon EC2Container Registry.

336

https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-vpce-bucketnames.html


https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/AWSHowTo.S3.html

https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/AWSHowTo.S3.html

https://docs.aws.amazon.com/emr/latest/ManagementGuide/private-subnet-iampolicy.html

https://docs.aws.amazon.com/emr/latest/ManagementGuide/private-subnet-iampolicy.html

https://docs.aws.amazon.com/opsworks/latest/userguide/workingstacks-vpc.html

https://docs.aws.amazon.com/opsworks/latest/userguide/workingstacks-vpc.html

https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-setting-up-vpc.html


https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-agent-minimum-s3-permissions.html

https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-agent-minimum-s3-permissions.html

https://docs.aws.amazon.com/AmazonECR/latest/userguide/ecr-minimum-s3-perms.html




Servicio de AWS Nota

Amazon WorkDocs Si utiliza un cliente de Amazon WorkDocs enAmazon WorkSpaces o una instancia EC2, supolítica de puntos de enlace debe permitir elacceso completo a Amazon S3.

Amazon WorkSpaces Amazon WorkSpaces no depende directamente deAmazon S3. Sin embargo, si proporciona accesoa Internet a los usuarios de Amazon WorkSpaces,tenga en cuenta que los sitios web, los correos enHTML y los servicios de otras compañías puedendepender de Amazon S3. Asegúrese de que supolítica de puntos de conexión permite el accesocompleto a Amazon S3 para que estos serviciospuedan seguir funcionando correctamente.

El tráfico entre su VPC y los buckets de S3 no sale de la red de Amazon.

Uso de políticas de punto de enlace para Amazon S3A continuación se muestran ejemplos de políticas de punto de conexión para obtener acceso a AmazonS3. Para obtener más información, consulte Uso de políticas de Punto de conexión VPC (p. 346). Elusuario debe determinar las restricciones de política que satisfacen las necesidades empresariales. Porejemplo, puede especificar la región ("packages.us-west-1.amazonaws.com") para evitar un nombre debucket de S3 ambiguo.

Important

Todos los tipos de políticas (políticas de usuario de IAM, políticas de punto de enlace, políticasde bucket de S3 y políticas de ACL de Amazon S3, en caso de haberlas) deben conceder lospermisos necesarios para que el acceso a Amazon S3 se realice correctamente.

Example Ejemplo: Restringir el acceso a un bucket específico

Puede crear una política que restrinja el acceso únicamente a unos buckets específicos de S3. Esto es útilsi tiene otros servicios de AWS en su VPC que utilizan los buckets de S3. El siguiente es el ejemplo de unapolítica que restringe el acceso solo a my_secure_bucket.

{ "Statement": [ { "Sid": "Access-to-specific-bucket-only", "Principal": "*", "Action": [ "s3:GetObject", "s3:PutObject" ], "Effect": "Allow", "Resource": ["arn:aws:s3:::my_secure_bucket", "arn:aws:s3:::my_secure_bucket/*"] } ]}

Example Ejemplo: Permitir el acceso a repositorios de la AMI de Amazon Linux

Los repositorios de AMI de Amazon Linux son buckets de Amazon S3 en cada región. Si desea que lasinstancias de su VPC obtengan acceso a los repositorios a través de un punto de enlace, puede crear unapolítica de puntos de enlace que permita el acceso a estos buckets.

337


La siguiente política permite obtener acceso a los repositorios de Amazon Linux.

Debe reemplazar region por su región de AWS, por ejemplo, us-east-1.

{ "Statement": [ { "Sid": "AmazonLinuxAMIRepositoryAccess", "Principal": "*", "Action": [ "s3:GetObject" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::packages.region.amazonaws.com/*", "arn:aws:s3:::repo.region.amazonaws.com/*" ] } ]}

La siguiente política permite obtener acceso a los repositorios de Amazon Linux 2.

Debe reemplazar region por su región de AWS, por ejemplo, us-east-1.

{ "Statement": [ { "Sid": "AmazonLinux2AMIRepositoryAccess", "Principal": "*", "Action": [ "s3:GetObject" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::amazonlinux.region.amazonaws.com/*" ] } ]}

Uso de políticas de bucket de Amazon S3

Puede utilizar las políticas de bucket para controlar el acceso a los buckets desde puntos de conexiónespecíficos o VPC específicas.

No es posible utilizar la condición aws:SourceIp en sus políticas de bucket para solicitudes a AmazonS3 a través de un punto de enlace de la VPC. La condición falla al hacer coincidir cualquier rango dedirecciones IP o cualquier dirección IP especificados, y esto puede tener un efecto no deseado al hacersolicitudes a un bucket de Amazon S3. Por ejemplo:

• Tiene una política de bucket con un efecto Deny y una condición NotIpAddress para conceder accesodesde un rango único o limitado solo de direcciones IP. Para las solicitudes al bucket a través de unpunto de conexión, la condición NotIpAddress siempre coincide, y se aplica el efecto de la instrucción,a la vez que se asumen otras restricciones de coincidencia de la política. El acceso al bucket se deniega.

• Tiene una política de bucket con un efecto Deny y una condición IpAddress para denegar acceso aun rango único o limitado solo de direcciones IP. Para las solicitudes al bucket a través de un puntode conexión, la condición no coincide, y la instrucción no se aplica. El acceso al bucket se permite,asumiendo que hay otras instrucciones que permiten el acceso sin una condición IpAddress.

338


Ajuste su política de bucket para limitar el acceso a una VPC específica o a un punto de enlace de la VPCespecífico en su lugar.

Para obtener más información acerca de las políticas de bucket para Amazon S3, consulte el documentoUso de políticas de bucket y usuario en la Guía para desarrolladores de Amazon Simple Storage Service.

A continuación, se muestran políticas de bucket de ejemplo que limitan el acceso a un punto de enlacede la VPC específico o a una VPC concreta. Para permitir que los usuarios de IAM trabajen conpolíticas de bucket, debe concederles permiso para utilizar las acciones s3:PutBucketPolicy ys3:GetBucketPolicy.

Example Ejemplo: Restringir el acceso a un punto de enlace específico

El siguiente es un ejemplo de una política de bucket de S3 que permite el acceso a un bucket específico,my_secure_bucket, solo desde el punto de conexión vpce-1a2b3c4d. La política deniegatodo el acceso al bucket si el punto de conexión especificado no se está utilizando. La condiciónaws:sourceVpce se utiliza para especificar el punto de conexión. La condición aws:sourceVpce norequiere un nombre de recurso de Amazon (ARN, Amazon resource name) para el recurso de punto deconexión de la VPC, solo el ID de punto de conexión.

{ "Version": "2012-10-17", "Id": "Policy1415115909152", "Statement": [ { "Sid": "Access-to-specific-VPCE-only", "Principal": "*", "Action": "s3:*", "Effect": "Deny", "Resource": ["arn:aws:s3:::my_secure_bucket", "arn:aws:s3:::my_secure_bucket/*"], "Condition": { "StringNotEquals": { "aws:sourceVpce": "vpce-1a2b3c4d" } } } ]}

Example Ejemplo: Restringir el acceso a una VPC específica

Puede crear una política de bucket para restringir el acceso a una VPC específica con la condiciónaws:sourceVpc. Esto es útil si tiene múltiples puntos de conexión configurados en la misma VPC y deseaadministrar el acceso a sus buckets de S3 para todos sus puntos de conexión. El siguiente es el ejemplode una política que le brinda a la VPC vpc-111bbb22 acceso a my_secure_bucket y sus objetos.La política deniega todo el acceso al bucket si la VPC especificada no se está utilizando. La condiciónaws:sourceVpc no requiere un ARN para el recurso de VPC, solo el ID de VPC.

{ "Version": "2012-10-17", "Id": "Policy1415115909152", "Statement": [ { "Sid": "Access-to-specific-VPC-only", "Principal": "*", "Action": "s3:*", "Effect": "Deny", "Resource": ["arn:aws:s3:::my_secure_bucket", "arn:aws:s3:::my_secure_bucket/*"], "Condition": {

339

https://docs.aws.amazon.com/AmazonS3/latest/dev/using-iam-policies.html


"StringNotEquals": { "aws:sourceVpc": "vpc-111bbb22" } } } ]}

PUntos de conexión para Amazon DynamoDBSi ya ha configurado el acceso a las tablas de DynamoDB desde su VPC, podrá seguir teniendo acceso alas tablas como lo haría tras configurar un punto de enlace de gateway. Sin embargo, tenga en cuenta losiguiente:

• Su punto de conexión tiene una política que controla la utilización del punto de conexión para teneracceso a los recursos de DynamoDB. La política predeterminada permite a cualquier usuario o serviciode la VPC el acceso a cualquier recurso de DynamoDB con las credenciales de cualquier cuenta deAWS. Para obtener más información, consulte Control del acceso a los servicios con Puntos de conexiónde la VPC (p. 346).

• DynamoDB no admite políticas basadas en recursos (por ejemplo, en tablas). El acceso a DynamoDBse controla a través de la política del punto de enlace y las políticas de IAM para los roles y usuariosindividuales de IAM.

• No podrá obtener acceso a Amazon DynamoDB Streams a través de un punto de conexión de la VPC.• Actualmente, los puntos de enlace no admiten las solicitudes entre regiones. Asegúrese de crear su

punto de enlace en la misma región que sus tablas de DynamoDB.• Si utiliza AWS CloudTrail para registrar operaciones de DynamoDB, los archivos de registro contendrán

la dirección IP privada de la instancia EC2 en la VPC y el ID del punto de enlace para las accionesrealizadas a través del punto de enlace.

• Las direcciones IPv4 de origen de las instancias de las subredes afectadas cambiarán de direccionesIPv4 públicas a direcciones IPv4 privadas de la VPC. Un punto de enlace cambia las rutas de redy desconecta las conexiones TCP abiertas. Las conexiones anteriores que utilizaban direccionesIPv4 públicas no se reanudan. Recomendamos no tener ninguna tarea importante en ejecución alcrear o modificar un punto de conexión, o bien asegurarse de que su software se puede conectarautomáticamente a DynamoDB después de la interrupción de la conexión.

Antes de utilizar puntos de enlace con DynamoDB, asegúrese también de haber leído las siguienteslimitaciones generales: Limitaciones de los puntos de enlace de gateway (p. 334).

Para obtener más información sobre cómo crear un punto de enlace de la VPC de la gateway, consultePuntos de conexión de la VPC de gateway (p. 330).

Uso de políticas de punto de enlace para DynamoDB

Una política de punto de enlace es una política de IAM que asocia a un punto de enlace que permitaobtener acceso a todos o a algunos de los servicios a los que se va a conectar. A continuación semuestran ejemplos de políticas de punto de conexión para obtener acceso a DynamoDB.

Important

Todos los tipos de políticas (políticas de usuario de IAM y políticas de punto de enlace) debenconceder los permisos necesarios para que el acceso a DynamoDB se realice correctamente.

Example Ejemplo: Acceso de solo lectura

Puede crear una política que restrinja las acciones a solo mostrar y describir tablas de DynamoDBmediante el punto de conexión de la VPC.

340


{ "Statement": [ { "Sid": "ReadOnly", "Principal": "*", "Action": [ "dynamodb:DescribeTable", "dynamodb:ListTables" ], "Effect": "Allow", "Resource": "*" } ]}

Example Ejemplo: Restringir el acceso a una tabla específica

Puede crear una política que restrinja el acceso a una tabla específica de DynamoDB. En este ejemplo, lapolítica de punto de conexión permite obtener acceso solo a StockTable.

{ "Statement": [ { "Sid": "AccessToSpecificTable", "Principal": "*", "Action": [ "dynamodb:Batch*", "dynamodb:Delete*", "dynamodb:DescribeTable", "dynamodb:GetItem", "dynamodb:PutItem", "dynamodb:Update*" ], "Effect": "Allow", "Resource": "arn:aws:dynamodb:us-east-1:123456789012:table/StockTable" } ]}

Uso de políticas de IAM para controlar el acceso a DynamoDB

Puede utilizar una política de IAM para sus usuarios, grupos o funciones de IAM y restringir el acceso a lastablas de DynamoDB solo desde un determinado punto de enlace de la VPC. Para ello, puede utilizar laclave de condición aws:sourceVpce para el recurso de tabla de su política de IAM.

Para obtener más información acerca de la administración del acceso a DynamoDB, consulteAutenticación y control de acceso de Amazon DynamoDB, en la Guía para desarrolladores de AmazonDynamoDB.

Example Ejemplo: Restringir el acceso de un punto de enlace específico

En este ejemplo, a los usuarios se les deniega el permiso para trabajar con tablas de DynamoDB, exceptosi se obtiene acceso a estas desde el punto de enlace vpce-11aa22bb.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AccessFromSpecificEndpoint", "Action": "dynamodb:*",

341

https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/authentication-and-access-control.html


"Effect": "Deny", "Resource": "arn:aws:dynamodb:region:account-id:table/*", "Condition": { "StringNotEquals" : { "aws:sourceVpce": "vpce-11aa22bb" } } } ]}

Creación de un punto de enlace de gatewayPara crear un punto de conexión, debe especificar la VPC en la que desee crear el punto de conexión, asícomo el servicio en el que desee establecer la conexión.

Para crear un punto de enlace de gateway con la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Endpoints, Create Endpoint.3. En Service Name, elija el nombre del servicio con el que desea conectar. Para crear un punto

de enlace de gateway a DynamoDB o Amazon S3, asegúrese de que en la columna Type (Tipo)aparezca Gateway.

4. Complete la siguiente información y elija Create endpoint.

• En VPC, seleccione la VPC en la que se va a crear el punto de conexión.• En Configure route tables, seleccione las tablas de ruteo que debe usar el punto de conexión.

Agregaremos automáticamente a las tablas de ruteo seleccionadas una ruta para dirigir por el puntode conexión el tráfico destinado al servicio.

• En Policy, elija el tipo de política. Puede dejar la opción predeterminada, Full Access, para permitirel acceso completo al servicio. De forma alternativa, puede seleccionar Custom (Personalizado) y, acontinuación, utilizar AWS Policy Generator (Generador de políticas de AWS) para crear una políticapersonalizada, o escribir su propia política en la ventana de políticas.



[Eliminar una etiqueta] Elija el botón de eliminación (“x”) situado a la derecha de la clave y valor dela etiqueta.

Una vez creado un punto de conexión, puede ver información sobre él.

Para ver información sobre un punto de enlace de gateway con la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Endpoints y seleccione el punto de conexión.3. Para ver información acerca del punto de conexión, elija Summary. Puede obtener el nombre de la

lista de prefijos de AWS del servicio en el cuadro Service (Servicio).4. Para ver información sobre las tablas de ruteo que utiliza el punto de conexión, elija Route Tables.5. Para ver la política de IAM asociada al punto de enlace, elija Policy (Política).

Note

La pestaña Policy muestra la política del punto de conexión. No muestra información acercade las políticas de IAM para usuarios de IAM que tengan permiso para trabajar con puntos deenlace. Tampoco muestra políticas específicas de servicios, como las políticas de buckets deS3.

342




Para crear y ver un punto de conexión con la AWS CLI

1. Use el comando describe-vpc-endpoint-services para obtener una lista de los servicios disponibles.En la respuesta obtenida, observe el nombre del servicio con el que desea conectar. El camposerviceType indica si la conexión al servicio se hace a través de un punto de enlace de interfaz o deun punto de enlace de gateway.

aws ec2 describe-vpc-endpoint-services

{ "serviceDetailSet": [ { "serviceType": [ { "serviceType": "Gateway" } ...

2. Para crear un punto de enlace de gateway (por ejemplo, a Amazon S3), utilice el comando create-vpc-endpoint y especifique el ID de VPC, el nombre del servicio y las tablas de ruteo que usará el puntode enlace. De forma opcional, puede usar el parámetro --policy-document para especificar unapolítica personalizada que controle el acceso al servicio. Si no se usa este parámetro, adjuntaremosuna política predeterminada que permite el acceso completo al servicio.

aws ec2 create-vpc-endpoint --vpc-id vpc-1a2b3c4d --service-name com.amazonaws.us-east-1.s3 --route-table-ids rtb-11aa22bb

3. Describa el punto de enlace usando el comando describe-vpc-endpoints.


Para describir los servicios disponibles con las Herramientas de AWS para Windows PowerShell ola API

• Get-EC2VpcEndpointService (Herramientas de AWS para Windows PowerShell)• DescribeVpcEndpointServices (API de consulta de Amazon EC2)

Para crear un Punto de conexión VPC con las Herramientas de AWS para Windows PowerShell ola API

• New-EC2VpcEndpoint (Herramientas de AWS para Windows PowerShell)• CreateVpcEndpoint (API de consulta de Amazon EC2)

Para describir los Puntos de conexión de la VPC con las Herramientas de AWS para WindowsPowerShell o la API

• Get-EC2VpcEndpoint (Herramientas de AWS para Windows PowerShell)• DescribeVpcEndpoints (API de consulta de Amazon EC2)

Modificación de su grupo de seguridadSi el grupo de seguridad de la VPC asociado a su instancia restringe el tráfico saliente, debe añadir unaregla para permitir que el tráfico destinado al servicio de AWS salga de la instancia.

343







https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2VpcEndpoint.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ApiReference-query-CreateVpcEndpoint.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2VpcEndpoint.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ApiReference-query-DescribeVpcEndpoints.html


Para añadir una regla saliente para un punto de enlace de gateway

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Security Groups.3. Seleccione el grupo de seguridad de su VPC, elija la pestaña Outbound Rules y, a continuación, elija

Edit.4. Seleccione el tipo de tráfico de la lista Type y, si es necesario, escriba el rango del puerto. Por

ejemplo, si utiliza su instancia para recuperar objetos de Amazon S3, elija HTTPS en la lista Type(Tipo).

5. En Destination (Destino), comience a escribir pl- para que aparezcan los ID y los nombres de la listade prefijos de los servicios de AWS disponibles. Elija el ID de la lista de prefijos para el servicio deAWS, o introdúzcalo.

6. Seleccione Save.

Para obtener más información acerca de los grupos de seguridad, consulte Grupos de seguridad de suVPC (p. 165).

Para obtener del nombre de la lista de prefijos de AWS, el ID y el rango de direcciones IP de unservicio de AWS con la línea de comandos o la API

• describe-prefix-lists (AWS CLI)• Get-EC2PrefixList (Herramientas de AWS para Windows PowerShell)• DescribePrefixLists (API de consulta de Amazon EC2)

Modificación de un punto de enlace de gatewayPuede modificar un punto de enlace de gateway cambiando o quitando su política y agregando o quitandolas tablas de ruteo utilizadas por el punto de enlace.

Para cambiar la política asociada a un punto de enlace de gateway

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Endpoints y seleccione el punto de conexión.3. Elija Actions, Edit policy.4. Puede elegir Full Access para permitir el acceso completo. De forma alternativa, elija Custom

(Personalizado) y, a continuación, utilice AWS Policy Generator para crear una política personalizada,o introduzca su propia política en la ventana de políticas. Cuando haya terminado, elija Save(Guardar).

Note

Puede que los cambios de la política tarden unos minutos en aplicarse.

Para añadir o quitar tablas de ruteo utilizadas por un punto de enlace de gateway

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Endpoints y seleccione el punto de conexión.3. Elija Actions, Manage route tables.4. Seleccione o quite la selección de las tablas de ruteo necesarias y elija Modify Route Tables (Modificar

tablas de ruteo).

344



https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2PrefixList.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ApiReference-query-DescribePrefixLists.html




Para modificar un punto de enlace de gateway con la AWS CLI.

1. Utilice el comando describe-vpc-endpoints para obtener el ID del punto de enlace de gateway.


2. En el ejemplo siguiente se usa el comando modify-vpc-endpoint para asociar la tabla de ruteo rtb-aaa222bb al punto de enlace de gateway y restablecer el documento de política.

aws ec2 modify-vpc-endpoint --vpc-endpoint-id vpce-1a2b3c4d --add-route-table-ids rtb-aaa222bb --reset-policy

Para modificar un Punto de conexión VPC con las Herramientas de AWS para WindowsPowerShell o una API

• Edit-EC2VpcEndpoint (Herramientas de AWS para Windows PowerShell)• ModifyVpcEndpoint (API de consulta de Amazon EC2)

Agregar o eliminar etiquetas del punto de enlace de gatewayLas etiquetas proporcionan una forma de identificar el punto de enlace de gateway. Puede añadir oeliminar una etiqueta.

Para aádir o eliminar una etiqueta del punto de enlace de gateway

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Endpoints (Puntos de enlace).3. Seleccione el punto de enlace de gateway y elija Actions (Acciones), Add/Edit Tags (Añadir o editar

etiquetas).4. Añada o elimine una etiqueta.


[Eliminar una etiqueta] Elija el botón de eliminación (“x”) situado a la derecha de la clave y valor de laetiqueta.

Para añadir o eliminar una etiqueta mediante Herramientas de AWS para Windows PowerShell ouna API

• create-tags (AWS CLI)• CreateTags (Herramientas de AWS para Windows PowerShell)• delete-tags (AWS CLI)• DeleteTags (Herramientas de AWS para Windows PowerShell)

345


https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2VpcEndpoint.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ApiReference-query-ModifyVpcEndpoint.html





https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DeleteTags.html

Amazon Virtual Private Cloud Guía del usuarioControl del acceso a los servicios

con Puntos de conexión de la VPC

Control del acceso a los servicios con Puntos deconexión de la VPCAl crear un punto de enlace, puede asociar una política de punto de enlace que controle el acceso alservicio al que se va a conectar. Las políticas de punto de conexión deben escribirse en formato JSON. Notodos los servicios son compatibles con las políticas de puntos de enlace.

Si va a utilizar un punto de enlace para Amazon S3, también puede utilizar las políticas de bucket deAmazon S3 para controlar el acceso a los buckets desde puntos de enlace específicos, o VPC específicas.Para obtener más información, consulte Uso de políticas de bucket de Amazon S3 (p. 338).

Contenido• Uso de políticas de Punto de conexión VPC (p. 346)• Grupos de seguridad (p. 347)

Uso de políticas de Punto de conexión VPCUna política de Punto de conexión VPC es una política de recursos de IAM que puede adjuntar a unpunto de enlace cuando lo crea o modifica. Si no adjunta una política al crear un punto de conexión,adjuntaremos por usted una política predeterminada que le permita obtener acceso completo al servicio.Si un servicio no es compatible con las políticas de puntos de enlace, el punto de enlace permite el accesocompleto al servicio. Una política de punto de conexión no anula ni reemplaza las políticas de usuario deIAM ni las políticas específicas de servicios (como las políticas de bucket de S3). Se trata de una políticaindependiente para controlar el acceso desde el punto de conexión al servicio especificado.

No puede asociar más de una política a un punto de enlace. Sin embargo, puede modificar la política encualquier momento. Si modifica una política, puede que los cambios tarden unos minutos en aplicarse.Para obtener más información sobre la elaboración de políticas, consulte la sección sobre Informacióngeneral de políticas de IAM en la Guía del usuario de IAM.

Su política de punto de conexión puede ser como cualquier política de IAM. No obstante, tenga en cuentalo siguiente:

• Solo valdrán las partes de la política relacionadas con el servicio especificado. No se puede utilizaruna política de punto de conexión que permita que los recursos de su VPC realicen otras acciones; porejemplo, si agrega acciones de EC2 a una política de punto de conexión para un punto de conexión aAmazon S3, no tendrán ningún efecto.

• Su política debe contener un elemento principal. Para obtener información adicional acerca delos puntos de enlace de gateway, consulte Políticas de punto de enlace para puntos de enlace degateway (p. 346).

• El tamaño de una política de punto de enlace no puede tener más de 20 480 caracteres (incluidosespacios en blanco).

Para obtener información acerca de los servicios de AWS que admiten políticas de punto de enlace,consulte the section called “Servicios de AWS que se pueden utilizar con AWS PrivateLink” (p. 372).

Políticas de punto de enlace para puntos de enlace de gateway

En el caso de las políticas de punto de enlace que se aplican a los puntos de enlace de la gateway,no se puede limitar el elemento Principal a un rol o usuario específicos de IAM. Puede especificar"*" para conceder acceso a todos los roles y usuarios de IAM. Si especifica Principal en el formato"AWS":"AWS-account-ID" o "AWS":"arn:aws:iam::AWS-account-ID:root", el acceso seconcede solo al usuario raíz de la cuenta de AWS y no a todos los usuarios y roles de IAM de la cuenta.

346

https://docs.aws.amazon.com/IAM/latest/UserGuide/PoliciesOverview.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/PoliciesOverview.html


Amazon Virtual Private Cloud Guía del usuarioEliminación de un Punto de conexión VPC

Para limitar el uso del punto de enlace de la gateway a una entidad principal concreta, puede usarel elemento Condition de la política de su punto de enlace y especificar la clave de condiciónaws:PrincipalArn, por ejemplo:

"Condition": { "StringEquals": { "aws:PrincipalArn": "arn:aws:iam::123456789012:user/endpointuser" }}

Para ver los ejemplos de políticas de punto de conexión de Amazon S3 y DynamoDB, consulte lossiguientes temas:

• Uso de políticas de punto de enlace para Amazon S3 (p. 337)• Uso de políticas de punto de enlace para DynamoDB (p. 340)

Grupos de seguridadDe forma predeterminada, los grupos de seguridad de Amazon VPC permiten todo el tráfico saliente, amenos que haya restringido específicamente el acceso saliente.

Cuando se crea un punto de conexión de interfaz, generamos nombres de host VPC específicos paraese punto que puede usar para comunicar con el servicio. Si no especifica ningún grupo de seguridad seasociará a la interfaz de red de punto de conexión el grupo de seguridad predeterminado para la VPC.Debe asegurarse de que las reglas del grupo de seguridad permitan la comunicación entre la interfaz dered de punto de conexión y los recursos de la VPC que se comunican con el servicio.

En el caso de un punto de enlace de gateway, si las reglas salientes de su grupo de seguridad estánrestringidas, deberá añadir una regla que permita el tráfico saliente desde su VPC al servicio que hayaespecificado en el punto de enlace. Para ello, puede utilizar el ID de la lista de prefijos del servicio de AWScomo destino en la regla saliente. Para obtener más información, consulte Modificación de su grupo deseguridad (p. 343).

Eliminación de un Punto de conexión VPCSi ya no necesita un punto de conexión, puede eliminarlo. Al eliminar un punto de enlace de gateway,también se eliminan las rutas del punto de enlace en las tablas de ruteo utilizadas por el punto de enlace,pero esto no afecta a los grupos de seguridad asociados a la VPC en la que reside el punto de enlace.Cuando se elimina un punto de conexión de interfaz también se eliminan sus interfaces de red.

Para eliminar un punto de conexión

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Endpoints y seleccione el punto de conexión.3. Elija Actions, Delete Endpoint.4. En la pantalla de confirmación, elija Yes, Delete.

Para eliminar un Punto de conexión VPC

• delete-vpc-endpoints (AWS CLI)• Remove-EC2VpcEndpoint (Herramientas de AWS para Windows PowerShell)• DeleteVpcEndpoints (API de consulta de Amazon EC2)

347

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalarn


https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpc-endpoints.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2VpcEndpoint.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ApiReference-query-DeleteVpcEndpoints.html

Amazon Virtual Private Cloud Guía del usuarioServicios de punto de enlace de la VPC (AWS PrivateLink)

Servicios de punto de enlace de la VPC (AWSPrivateLink)

Puede crear su propia aplicación en la VPC y configurarla como un servicio basado en AWS PrivateLink (loque se conoce como servicio de punto de enlace). Otras entidades principales de AWS pueden crear unaconexión desde su propia VPC al servicio de punto de conexión utilizando un punto de enlace de la VPCde tipo interfaz (p. 314). Usted es el proveedor del servicio y las entidades principales de AWS que creanconexiones con el servicio son los consumidores del servicio.

Contenido• Información general (p. 348)• Consideraciones sobre zonas de disponibilidad de servicio de punto de enlace (p. 350)• Nombres de DNS del servicio de punto de enlace (p. 350)• Conexión a centros de datos en las instalaciones (p. 319)• Acceder a servicios a través de una interconexión de VPC (p. 351)• Usar Proxy Protocol para la información de conexión (p. 351)• Limitaciones de los servicios de punto de enlace (p. 351)• Crear una configuración de servicio de punto de enlace de la VPC (p. 352)• Agregar y eliminar permisos para el servicio de punto de enlace (p. 354)• Cambiar Balanceador de carga de red y la configuración de aceptación (p. 355)• Aceptar y rechazar solicitudes de conexión de un punto de enlace de interfaz (p. 356)• Crear y administrar una notificación para un servicio de punto de enlace (p. 357)• Agregar o eliminar etiquetas del servicio de punto de enlace de la VPC (p. 359)• Eliminar una configuración de servicio de punto de enlace (p. 360)

Información generalA continuación se indican los pasos generales para crear un servicio de punto de conexión:

1. Crear un Balanceador de carga de red para la aplicación en la VPC y configurarlo para cada subred(zona de disponibilidad) en la que el servicio deba estar disponible. El balanceador de carga recibesolicitudes de los consumidores y las dirige al servicio. Para obtener más información, consulteIntroducción a Network Load Balancers en la Guía del usuario de Network Load Balancers. Lerecomendamos que configure su servicio en todas las zonas de disponibilidad de la región.

2. Crear una configuración de servicio de punto de enlace de VPC y especificar el Balanceador de cargade red.

A continuación se indican los pasos generales para permitir que los consumidores del servicio se conectenal servicio.

1. Conceder permisos a consumidores del servicio específicos (cuentas de AWS, usuarios de IAM y rolesde IAM) para crear una conexión con el servicio de punto de enlace.

2. Un consumidor del servicio al que se le hayan concedido permisos crea un punto de enlace de interfazal servicio, y de forma opcional, en cada zona de disponibilidad en la que se haya configurado elservicio.

3. Para activar la conexión, acepte la solicitud de conexión del punto de enlace de interfaz. De formapredeterminada, las solicitudes de conexión se deben aceptan manualmente. Sin embargo, puedeconfigurar las opciones de aceptación del servicio de punto de enlace para que todas las solicitudes deconexión se acepten automáticamente.

348


Amazon Virtual Private Cloud Guía del usuarioInformación general

La combinación de permisos y opciones de aceptación puede ayudarle a controlar qué consumidores delservicio (entidades principales de AWS) pueden obtener acceso al servicio. Por ejemplo, puede otorgarpermisos a determinadas entidades principales en las que confíe y aceptar automáticamente todas lassolicitudes de conexión, o puede conceder permisos a un grupo más amplio de entidades principales yaceptar manualmente únicamente las solicitudes de conexión específicas en las que confíe.

En el diagrama siguiente, el propietario de la cuenta de la VPC B es un proveedor que tiene un servicioejecutándose en instancias de la subred B. El propietario de la VPC B tiene un punto de conexión deservicio (vpce-svc-1234) con un Balanceador de carga de red asociado que apunta a las instancias de lasubred B como objetivos. Las instancias de la subred A de la VPC A usan un punto de conexión de interfazpara el acceso a los servicios de la subred B.

Para tolerancia a errores y baja latencia, recomendamos utilizar un Balanceador de carga de redcon objetivos en cada zona de disponibilidad de la región de AWS. Para contribuir a lograr una altadisponibilidad para consumidores de servicio que utilizan nombres de host de DNS de zona (p. 327) paraacceder al servicio, puede habilitar el equilibrio de carga entre zonas. El equilibrio de carga entre zonaspermite al balanceador de carga distribuir el tráfico entre los objetivos registrados en todas las zonas dedisponibilidad habilitadas. Para obtener más información, consulte el artículo relacionado con el balanceode cargas entre zonas en la Guía del usuario de Network Load Balancers. Se podrían aplicar cargos portransferencia de datos regionales a su cuenta si habilita el balanceo de carga entre zonas.

En el siguiente diagrama, el propietario de VPC B es el proveedor de servicios y ha configurado unBalanceador de carga de red con destinos en dos zonas de disponibilidad distintas. El consumidor deservicio (VPC A) ha creado puntos de enlace de interfaz en las mismas dos zonas de disponibilidad en suVPC. Las solicitudes de servicio a partir de instancias en una VPC A pueden utilizar cualquier punto deenlace de interfaz.

349

https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html#cross-zone-load-balancing

https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html#cross-zone-load-balancing

Amazon Virtual Private Cloud Guía del usuarioConsideraciones sobre zonas de

disponibilidad de servicio de punto de enlace

Para obtener ejemplos de cómo configurar un servicio y permitir que los consumidores de serviciosaccedan a él a través de una conexión de pares de la VPC, consulte Ejemplos: servicios que utilizan AWSPrivateLink y emparejamiento de VPC (p. 72).

Consideraciones sobre zonas de disponibilidad deservicio de punto de enlaceCuando se crea un servicio de punto de enlace, el servicio se crea en la zona de disponibilidadcorrespondiente a su cuenta y es independiente de las demás cuentas. Cuando el proveedor de serviciosy el consumidor estén en cuentas distintas, utilice el ID de zona de disponibilidad para identificar de formainequívoca y sistemática la zona de disponibilidad del servicio de punto de enlace. Por ejemplo, use1-az1 es un ID de zona de disponibilidad para la región us-east-1 y tiene la misma ubicación en cadacuenta de AWS. Para obtener información sobre los ID de zona de disponibilidad, consulte ID de zona dedisponibilidad para sus recursos en la Guía del usuario de AWS RAM o utilice describe-availability-zones.

Cuando el proveedor de servicios y el consumidor tienen cuentas diferentes y utilizan varias zonas dedisponibilidad, y el consumidor ve la información del servicio de punto de enlace de la VPC, la respuestasolo incluye las zonas de disponibilidad comunes. Por ejemplo, cuando la cuenta de proveedor de serviciosutiliza us-east-1a y us-east-1c y el consumidor utiliza us-east-1a y us-east-1b, la respuestaincluye los servicios de punto de enlace de la VPC en la zona de disponibilidad común, us-east-1a.

Nombres de DNS del servicio de punto de enlaceCuando se crea un punto de enlace de la VPC, AWS genera nombres de host de DNS específicospara ese punto que puede usar para comunicarse con el servicio. Estos nombres incluyen el ID depunto de enlace de la VPC, el nombre de la zona de disponibilidad y Nombre de la región, por ejemplo,vpce-1234-abcdev-us-east-1.vpce-svc-123345.us-east-1.vpce.amazonaws.com. De forma predeterminada,los consumidores acceden al servicio con ese nombre de DNS y normalmente necesitan modificar laconfiguración de la aplicación.

Si el servicio de punto de enlace es para un servicio de AWS o un servicio disponible en AWS Marketplace,hay un nombre de DNS predeterminado. Para otros servicios, el proveedor de servicios puede configurar

350




Amazon Virtual Private Cloud Guía del usuarioConexión a centros de datos en las instalaciones

un nombre DNS privado para que los consumidores puedan acceder al servicio utilizando un nombre DNSexistente sin realizar cambios en sus aplicaciones. Para obtener más información, consulte the sectioncalled “Nombres de DNS privados para servicios de punto de enlace” (p. 363).

Los proveedores de servicios pueden utilizar la clave de contexto de condiciónec2:VpceServicePrivateDnsName en una declaración de políticas de IAM para controlar qué nombres DNSprivados se pueden crear. Para obtener más información, consulte Acciones definidas por Amazon EC2 enla Guía del usuario de IAM.

Requisitos de nombres de DNS privadosLos proveedores de servicios pueden especificar un nombre DNS privado para un nuevo servicio de puntode enlace o un servicio de punto de enlace existente. Para utilizar un nombre de DNS privado, habilite lacaracterística y, a continuación, especifique un nombre de DNS privado. Antes de que los consumidorespuedan utilizar el nombre de DNS privado, debe comprobar que tiene el control del dominio/subdominio.Puede iniciar la verificación de la propiedad del dominio mediante Consola de Amazon VPC o la API.Una vez completada la verificación de la propiedad del dominio, los clientes acceden al punto de enlacemediante el nombre de DNS privado.

Conexión a centros de datos en las instalacionesPuede utilizar los siguientes tipos de conexiones para una conexión entre un extremo de interfaz y sucentro de datos local:

• AWS Direct Connect• AWS Site-to-Site VPN

Acceder a servicios a través de una interconexión deVPCPuede utilizar una interconexión de VPC con un punto de enlace de la VPC para permitir el accesoprivado a los consumidores a través de la interconexión de VPC. Para obtener más información, consulteEjemplos: servicios que utilizan AWS PrivateLink y emparejamiento de VPC (p. 72).

Usar Proxy Protocol para la información de conexiónLos Balanceador de carga de red comunican las direcciones IP de origen a la aplicación (el servicio).Cuando los consumidores envían tráfico al servicio a través de un punto de conexión de interfaz, lasdirecciones IP de origen comunicadas a la aplicación son las direcciones IP privadas de los nodos deBalanceador de carga de red, y no las direcciones IP de los consumidores.

Si necesita las direcciones IP de los consumidores del servicio y los ID de los puntos de conexión deinterfaz correspondientes, habilite Proxy Protocol en el balanceador de carga y obtenga las direcciones IPdel encabezado de Proxy Protocol. Para obtener más información, consulte Proxy Protocol en la Guía delusuario de Network Load Balancers.

Limitaciones de los servicios de punto de enlacePara utilizar los servicios de punto de enlace, debe conocer sus reglas y limitaciones actuales:

• Los servicios de punto de conexión solo admiten tráfico IPv4 sobre TCP.• Los consumidores de servicios pueden utilizar los nombres de host de DNS específicos del punto de

enlace para acceder al servicio de punto de enlace o al nombre de DNS privado.

351


https://docs.aws.amazon.com/elasticloadbalancing/latest/network/load-balancer-target-groups.html#proxy-protocol

Amazon Virtual Private Cloud Guía del usuarioCrear una configuración de servicio

de punto de enlace de la VPC

• Si un servicio de punto de enlace está asociado a varias instancias de Balanceador de carga de red,para una zona de disponibilidad específica, un punto de enlace de interfaz establece una conexión solocon un balanceador de carga.

• Para el servicio de punto de enlace, el balanceador de carga de red asociado puede admitir 55 000conexiones simultáneas o alrededor de 55 000 conexiones por minuto con cada uno de los distintosdestinos (dirección IP y puerto). Si se superan estas conexiones, el riesgo de que se produzcan erroresde asignación de puertos será mayor. Para solucionar los errores de asignación de puertos, añadamás destinos al grupo de destino. Para obtener más información acerca de los grupos de destino delBalanceador de carga de red, consulte Grupos de destino de los balanceadores de carga de red yRegistro de destinos en el grupo de destino en la Guía del usuario de Network Load Balancers.

• Es posible que las zonas de disponibilidad de su cuenta no se correspondan con las mismasubicaciones que las zonas de disponibilidad de otra cuenta. Por ejemplo, es posible que la zona dedisponibilidad us-east-1a no se encuentre en la misma ubicación que us-east-1a de otra cuenta.Para obtener más información, consulte Conceptos de región y zona de disponibilidad. Cuando seconfigura un servicio de punto de enlace, se configura en las zonas de disponibilidad asignadas a sucuenta.

• Revise los límites específicos del servicio para el servicio de punto de enlace.• Revise las prácticas recomendadas de seguridad y los ejemplos para los servicios de punto de enlace.

Para obtener más información, consulte prácticas recomendadas de la política y the section called“Control del acceso a los servicios con Puntos de conexión de la VPC” (p. 346).

Crear una configuración de servicio de punto deenlace de la VPCPuede crear una configuración de servicio de punto de conexión con la consola de Amazon VPC o la líneade comandos. Antes de comenzar, asegúrese de haber creado uno o más Balanceador de carga de red enla VPC para el servicio. Para obtener más información, consulte Introducción a Network Load Balancers enla Guía del usuario de Network Load Balancers.

Si lo desea, puede especificar en la configuración que desea aceptar manualmente todas las solicitudesde conexión al servicio que se realicen a través de un punto de enlace de interfaz. Puede crear unanotificación (p. 357) para recibir alertas cuando se reciban solicitudes de conexión. Si no acepta unaconexión, los consumidores del servicio no pueden tener acceso al servicio.

Note

Independientemente de las opciones de aceptación, los consumidores del servicio también debentener permisos (p. 354) para establecer una conexión con el servicio.

Después de crear una configuración del servicio de punto de enlace, debe añadir permisos para permitir alos consumidores del servicio crear puntos de enlace de interfaz a su servicio.

Console

Para crear un servicio de punto de conexión con la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Endpoints Services, Create Endpoint Service.3. En Associate Network Load Balancers (Asociar balanceadores de carga de red), seleccione los

Balanceador de carga de red que deban asociarse al servicio de punto de enlace.4. En Require acceptance for endpoint, marque la casilla de verificación para aceptar manualmente

las solicitudes del servicio. Si no selecciona esta opción, las solicitudes a través de un punto deconexión se aceptarán automáticamente.

352

https://docs.aws.amazon.com/elasticloadbalancing/latest/network/load-balancer-target-groups.html

https://docs.aws.amazon.com/elasticloadbalancing/latest/network/target-group-register-targets.html





Amazon Virtual Private Cloud Guía del usuarioCrear una configuración de servicio

de punto de enlace de la VPC

5. Para asociar un nombre de DNS privado al servicio, seleccione Enable private DNS (Habilitarnombre de DNS privado) y, a continuación, para Private DNS name (Nombre del DNS privado),escriba el nombre del DNS privado.

6. (Opcional) Añada o elimine una etiqueta.




7. Elija Create service.

AWS CLI

Para crear un servicio de punto de conexión con la AWS CLI

Use el comando create-vpc-endpoint-service-configuration y especifique uno o más ARN para susBalanceador de carga de red. Opcionalmente, puede especificar si se requiere aceptación paraconectarse al servicio y si el servicio tiene un nombre de DNS privado.

aws ec2 create-vpc-endpoint-service-configuration --network-load-balancer-arns arn:aws:elasticloadbalancing:us-east-1:123456789012:loadbalancer/net/nlb-vpce/e94221227f1ba532 --acceptance-required --privateDnsName exampleservice.com

{ "ServiceConfiguration": { "ServiceType": [ { "ServiceType": "Interface" } ], "NetworkLoadBalancerArns": [ "arn:aws:elasticloadbalancing:us-east-1:123456789012:loadbalancer/net/nlb-vpce/e94221227f1ba532" ], "ServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-03d5ebb7d9579a2b3", "ServiceState": "Available", "ServiceId": "vpce-svc-03d5ebb7d9579a2b3", "PrivateDnsName: "exampleService.com", "AcceptanceRequired": true, "AvailabilityZones": [ "us-east-1d" ], "BaseEndpointDnsNames": [ "vpce-svc-03d5ebb7d9579a2b3.us-east-1.vpce.amazonaws.com" ] }}

Herramientas de AWS para Windows PowerShell

Use New-EC2VpcEndpointServiceConfiguration.API

Use CreateVpcEndpointServiceConfiguration.

353

https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpc-endpoint-service-configuration.html

https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2VpcEndpointServiceConfiguration.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ApiReference-query-CreateVpcEndpointServiceConfiguration.html

Amazon Virtual Private Cloud Guía del usuarioAgregar y eliminar permisos para

el servicio de punto de enlace

Agregar y eliminar permisos para el servicio de puntode enlaceDespués de crear una configuración del servicio de punto de enlace, puede controlar los consumidores delservicio que pueden crear un punto de enlace de interfaz para conectarse a su servicio. Los consumidoresde servicios son las entidades principales de IAM: usuarios de IAM, roles de IAM y cuentas de AWS. Paraañadir o eliminar permisos para una entidad principal, necesita su Nombre de recurso de Amazon (ARN).

• Para una cuenta de AWS (y, por tanto, para todas las entidades principales de la cuenta), el ARN tieneel formato arn:aws:iam::aws-account-id:root.

• Para un usuario de IAM específico, el ARN tiene el formato arn:aws:iam::aws-account-id:user/user-name.

• Para un rol de IAM específico, el ARN tiene el formato arn:aws:iam::aws-account-id:role/role-name.

Note

Si establece el permiso en “cualquier persona puede acceder” y establece el modelo deaceptación en “aceptar todas las solicitudes”, entonces acaba de hacer público su NLB. Dadoque es fácil obtener una cuenta de AWS, no hay ninguna limitación práctica sobre quién puedeacceder a su NLB aunque no tenga una dirección IP pública.

Console

Para agregar o quitar permisos con la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Endpoint Services y seleccione el servicio de punto de conexión.3. Elija Actions, Add principals to whitelist.4. Especifique el ARN de la entidad principal para la que desea agregar permisos. Para añadir más

entidades principales, elija Add principal. Para quitar una entidad principal, elija el icono con unacruz junto a la entrada correspondiente.

Note

Especifique * para añadir permisos para todas las entidades principales. Esto permiteque todas las entidades principales de todas las cuentas de AWS creen un punto deenlace de interfaz al servicio de punto de enlace.

5. Elija Add to Whitelisted principals.6. Para quitar una entidad principal, selecciónela en la lista y elija Delete.

AWS CLI

Para agregar permisos al servicio de punto de enlace, use el comando modify-vpc-endpoint-service-permissions con el parámetro --add-allowed-principals para agregar uno o varios ARN paralas entidades principales.

aws ec2 modify-vpc-endpoint-service-permissions --service-id vpce-svc-03d5ebb7d9579a2b3 --add-allowed-principals '["arn:aws:iam::123456789012:root"]'

Para ver los permisos que ha agregado al servicio de punto de enlace, use el comando describe-vpc-endpoint-service-permissions.

354



https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint-service-permissions.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpc-endpoint-service-permissions.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpc-endpoint-service-permissions.html

Amazon Virtual Private Cloud Guía del usuarioCambiar Balanceador de carga de

red y la configuración de aceptación

aws ec2 describe-vpc-endpoint-service-permissions --service-id vpce-svc-03d5ebb7d9579a2b3

{ "AllowedPrincipals": [ { "PrincipalType": "Account", "Principal": "arn:aws:iam::123456789012:root" } ]}

Para quitar permisos del servicio de punto de enlace, use el comando modify-vpc-endpoint-service-permissions con el parámetro --remove-allowed-principals para quitar uno o varios ARN deentidades principales.

aws ec2 modify-vpc-endpoint-service-permissions --service-id vpce-svc-03d5ebb7d9579a2b3 --remove-allowed-principals '["arn:aws:iam::123456789012:root"]'


Use Edit-EC2EndpointServicePermission.API

Use ModifyVpcEndpointServicePermissions.

Cambiar Balanceador de carga de red y laconfiguración de aceptaciónPuede modificar la configuración del servicio de punto de conexión cambiando los Balanceador de cargade red asociados al servicio y la obligatoriedad de una aceptación para conectar con él.

No es posible retirar la asociación de un balanceador de carga cuando existen puntos de conexión deinterfaz asociados al servicio de punto de conexión.

Console

Para cambiar los balanceadores de carga de red de un servicio de punto de conexión con laconsola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Endpoint Services y seleccione el servicio de punto de conexión.3. Elija Actions, Associate/Disassociate Network Load Balancers.4. Seleccione o quite la selección de los balanceadores de carga como sea necesario y elija Save.

Para modificar la opción de aceptación con la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Endpoint Services y seleccione el servicio de punto de conexión.3. Elija Actions, Modify endpoint acceptance setting.4. Seleccione o quite la selección de Require acceptance for endpoint y elija Modify.

355



https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2EndpointServicePermission.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ApiReference-query-ModifyVpcEndpointServicePermissions.html



Amazon Virtual Private Cloud Guía del usuarioAceptar y rechazar solicitudes de conexión

de un punto de enlace de interfaz

AWS CLI

Para cambiar los balanceadores de carga del servicio de punto de enlace, use el comando modify-vpc-endpoint-service-configuration con el parámetro --add-network-load-balancer-arn o --remove-network-load-balancer-arn.

aws ec2 modify-vpc-endpoint-service-configuration --service-id vpce-svc-09222513e6e77dc86 --remove-network-load-balancer-arn arn:aws:elasticloadbalancing:us-east-1:123456789012:loadbalancer/net/nlb-vpce/e94221227f1ba532

Para cambiar el requisito de aceptación, use el comando modify-vpc-endpoint-service-configuration yespecifique --acceptance-required o --no-acceptance-required.

aws ec2 modify-vpc-endpoint-service-configuration --service-id vpce-svc-09222513e6e77dc86 --no-acceptance-required


Use Edit-EC2VpcEndpointServiceConfiguration.API

Use ModifyVpcEndpointServiceConfiguration.

Aceptar y rechazar solicitudes de conexión de unpunto de enlace de interfazDespués de crear una configuración del servicio de punto de enlace para la que haya añadido permisos,puede controlar los consumidores del servicio que pueden crear un punto de enlace de interfaz paraconectarse a su servicio. Para obtener más información sobre cómo crear un punto de enlace de interfaz,consulte Interfaz Puntos de conexión de la VPC (AWS PrivateLink) (p. 314).

Si ha especificado que es obligatoria la aceptación de las solicitudes de conexión, deberá aceptar orechazar manualmente las solicitudes para conectar con el servicio a través de un punto de conexión deinterfaz. Una vez aceptado un punto de conexión de interfaz, pasa al estado available (disponible).

También puede rechazar una conexión a través de un punto de conexión de interfaz después de que seencuentre en el estado available.

Console

Para aceptar o rechazar una solicitud de conexión con la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Endpoint Services y seleccione el servicio de punto de conexión.3. En la pestaña Endpoint Connections aparecen las conexiones por punto de conexión que están

esperando a su aprobación. Seleccione el punto de conexión, elija Actions y elija Accept endpointconnection request para aceptar la solicitud o Reject endpoint connection request para rechazarla.

AWS CLI

Para ver las solicitudes de puntos de enlace que esperan aceptación, use el comando describe-vpc-endpoint-connections y filtre el resultado por el estado pendingAcceptance.

356

https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint-service-configuration.html



https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2VpcEndpointServiceConfiguration.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ApiReference-query-ModifyVpcEndpointServiceConfiguration.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpc-endpoint-connections.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpc-endpoint-connections.html

Amazon Virtual Private Cloud Guía del usuarioCrear y administrar una notificaciónpara un servicio de punto de enlace

aws ec2 describe-vpc-endpoint-connections --filters Name=vpc-endpoint-state,Values=pendingAcceptance

{ "VpcEndpointConnections": [ { "VpcEndpointId": "vpce-0c1308d7312217abc", "ServiceId": "vpce-svc-03d5ebb7d9579a2b3", "CreationTimestamp": "2017-11-30T10:00:24.350Z", "VpcEndpointState": "pendingAcceptance", "VpcEndpointOwner": "123456789012" } ]}

Para aceptar una solicitud de conectar por punto de enlace, use el comando accept-vpc-endpoint-connections y especifique el ID del punto de enlace y el ID del servicio de punto de enlace.

aws ec2 accept-vpc-endpoint-connections --service-id vpce-svc-03d5ebb7d9579a2b3 --vpc-endpoint-ids vpce-0c1308d7312217abc

Para rechazar una solicitud de conectar por punto de enlace, use el comando reject-vpc-endpoint-connections.

aws ec2 reject-vpc-endpoint-connections --service-id vpce-svc-03d5ebb7d9579a2b3 --vpc-endpoint-ids vpce-0c1308d7312217abc


Use Confirm-EC2EndpointConnection y Deny-EC2EndpointConnection.API

Use AcceptVpcEndpointConnections y RejectVpcEndpointConnections.

Crear y administrar una notificación para un serviciode punto de enlacePuede crear una notificación para recibir alertas cuando se produzcan eventos específicos en el puntode conexión de interfaz conectado al servicio de punto de conexión. Por ejemplo, puede recibir un correoelectrónico cuando se acepte o se rechace una solicitud de punto de conexión para su servicio. Para crearuna notificación, debe asociarle un tema de Amazon SNS. Suscribiéndose al tema de SNS recibirá unanotificación por correo electrónico cuando se produzca el evento en el punto de conexión. Para obtenermás información, consulte Guía para desarrolladores de Amazon Simple Notification Service.

El tema de Amazon SNS utilizado para las notificaciones debe contar con una política de tema que permitaal servicio de punto de conexión de VPC de Amazon publicar notificaciones en su nombre. Asegúrese deincluir la instrucción siguiente al comienzo de la política de tema. Para obtener más información, consultela sección sobre administración del acceso a los temas de Amazon SNS en la Guía para desarrolladoresde Amazon Simple Notification Service.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow",

357

https://docs.aws.amazon.com/cli/latest/reference/ec2/accept-vpc-endpoint-connections.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/reject-vpc-endpoint-connections.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/reject-vpc-endpoint-connections.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Confirm-EC2EndpointConnection.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Deny-EC2EndpointConnection.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ApiReference-query-AcceptVpcEndpointConnections.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ApiReference-query-RejectVpcEndpointConnections.html


https://docs.aws.amazon.com/sns/latest/dg/AccessPolicyLanguage.html

Amazon Virtual Private Cloud Guía del usuarioCrear y administrar una notificaciónpara un servicio de punto de enlace

"Principal": { "Service": "vpce.amazonaws.com" }, "Action": "SNS:Publish", "Resource": "arn:aws:sns:region:account:topic-name" } ]}

Console

Para crear una notificación para un servicio de punto de conexión

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Endpoint Services y seleccione el servicio de punto de conexión.3. Elija Notifications, Create Notification.4. Elija el ARN del tema de SNS al que desea asociar la notificación.5. En Events, seleccione los eventos de punto de conexión para los que se deben recibir

notificaciones.6. Elija Create Notification.

Después de crear una notificación, puede cambiar el tema de SNS asociado a la notificación. Tambiénpuede especificar diferentes eventos de punto de enlace para la notificación.

Para modificar una notificación para un servicio de punto de conexión

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Endpoint Services y seleccione el servicio de punto de conexión.3. Elija Notifications, Actions, Modify Notification.4. Especifique el ARN del tema de SNS y seleccione o retire la selección de los eventos de punto de

conexión como sea necesario.5. Elija Modify Notification.

Si ya no necesita una notificación, puede eliminarla.

Para eliminar una notificación

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Endpoint Services y seleccione el servicio de punto de conexión.3. Elija Notifications, Actions, Delete Notification.4. Elija Yes, Delete (Sí, eliminar).

AWS CLI

Para crear y administrar una notificación con la AWS CLI

1. Para crear una notificación para un servicio de punto de enlace, utilice el comando create-vpc-endpoint-connection-notification y especifique el ARN del tema de SNS, los eventos objeto denotificación y el ID del servicio de punto de conexión.

aws ec2 create-vpc-endpoint-connection-notification --connection-notification-arn arn:aws:sns:us-east-2:123456789012:VpceNotification --connection-events Connect Accept Delete Reject --service-id vpce-svc-1237881c0d25a3abc

358






Amazon Virtual Private Cloud Guía del usuarioAgregar o eliminar etiquetas del

servicio de punto de enlace de la VPC

{ "ConnectionNotification": { "ConnectionNotificationState": "Enabled", "ConnectionNotificationType": "Topic", "ServiceId": "vpce-svc-1237881c0d25a3abc", "ConnectionEvents": [ "Reject", "Accept", "Delete", "Connect" ], "ConnectionNotificationId": "vpce-nfn-008776de7e03f5abc", "ConnectionNotificationArn": "arn:aws:sns:us-east-2:123456789012:VpceNotification" }}

2. Para ver las notificaciones, utilice el comando describe-vpc-endpoint-connection-notifications.

aws ec2 describe-vpc-endpoint-connection-notifications

3. Para cambiar el tema de SNS o los eventos de punto de enlace objeto de notificación, utilice elcomando modify-vpc-endpoint-connection-notification.

aws ec2 modify-vpc-endpoint-connection-notification --connection-notification-id vpce-nfn-008776de7e03f5abc --connection-events Accept Reject --connection-notification-arn arn:aws:sns:us-east-2:123456789012:mytopic

4. Para eliminar una notificación, utilice el comando delete-vpc-endpoint-connection-notifications.

aws ec2 delete-vpc-endpoint-connection-notifications --connection-notification-ids vpce-nfn-008776de7e03f5abc


Use New-EC2VpcEndpointConnectionNotification, Get-EC2EndpointConnectionNotification, Edit-EC2VpcEndpointConnectionNotification, y Remove-EC2EndpointConnectionNotification.

API

Use CreateVpcEndpointConnectionNotification, DescribeVpcEndpointConnectionNotifications,ModifyVpcEndpointConnectionNotification, y DeleteVpcEndpointConnectionNotifications.

Agregar o eliminar etiquetas del servicio de punto deenlace de la VPCLas etiquetas proporcionan una forma de identificar el servicio de punto de enlace de la VPC. Puede añadiro eliminar una etiqueta.

Console

Para añadir una etiqueta del servicio de punto de enlace de la VPC

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Endpoint Services (Servicios de punto de enlace).

359

https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpc-endpoint-connection-notifications.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint-connection-notification.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpc-endpoint-connection-notifications.html

https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2VpcEndpointConnectionNotification.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2EndpointConnectionNotification.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2VpcEndpointConnectionNotification.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2VpcEndpointConnectionNotification.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2EndpointConnectionNotification.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ApiReference-query-CreateVpcEndpointConnectionNotification.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ApiReference-query-DescribeVpcEndpointConnectionNotifications.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ApiReference-query-ModifyVpcEndpointConnectionNotification.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ApiReference-query-DeleteVpcEndpointConnectionNotifications.html


Amazon Virtual Private Cloud Guía del usuarioEliminar una configuración de servicio de punto de enlace

3. Seleccione el servicio de punto de enlace de la VPC y elija Actions (Acciones), Add/Edit Tags(Añadir o editar etiquetas).

4. Añada o elimine una etiqueta.




Use CreateTags y DeleteTags.

Para aceptar una solicitud de conectar por punto de enlace, use el comando accept-vpc-endpoint-connections y especifique el ID del punto de enlace y el ID del servicio de punto de enlace.

API

Use create-tags y delete-tags.

Eliminar una configuración de servicio de punto deenlaceEs posible eliminar una configuración de servicio de punto de enlace. La eliminación de la configuración noelimina la aplicación hospedada en la VPC ni los balanceadores de carga asociados.

Antes de eliminar la configuración del servicio de punto de conexión, debe rechazar todos los puntosde conexión de VPC con el estado available o pending-acceptance asociados al servicio. Paraobtener más información, consulte Aceptar y rechazar solicitudes de conexión de un punto de enlace deinterfaz (p. 356).

Console

Para eliminar una configuración de servicio de punto de conexión con la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Endpoint Services y seleccione el servicio.3. Elija Actions, Delete.4. Elija Yes, Delete (Sí, eliminar).

AWS CLI

Para eliminar una configuración de servicio de punto de conexión con la AWS CLI

• Use el comando delete-vpc-endpoint-service-configurations y especifique el ID del servicio.

aws ec2 delete-vpc-endpoint-service-configurations --service-ids vpce-svc-03d5ebb7d9579a2b3


Use Remove-EC2EndpointServiceConfiguration.

360


https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DeleteTags.html






https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpc-endpoint-service-configurations.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2EndpointServiceConfiguration.html


API

Use DeleteVpcEndpointServiceConfigurations.

Administración de identidades y accesos para losservicios de Puntos de conexión de la VPC y Puntode conexión VPC

Utilice IAM para administrar el acceso a los Puntos de conexión de la VPC y servicios de Puntos deconexión de la VPC.

Controlar el uso de Puntos de conexión de la VPC

De forma predeterminada, los usuarios de IAM no tienen permiso para trabajar con puntos de conexión.Puede crear una política de usuarios de IAM que conceda permisos a los usuarios para crear, modificar yeliminar puntos de enlace. A continuación se muestra un ejemplo.

{ "Version": "2012-10-17", "Statement":[{ "Effect":"Allow", "Action":"ec2:*VpcEndpoint*", "Resource":"*" } ]}

Para obtener información acerca del control de acceso a servicios utilizando puntos de enlace de laVPC, consulte the section called “Control del acceso a los servicios con Puntos de conexión de laVPC” (p. 346).

Controlar la creación de Puntos de conexión de la VPC en función del propietario del servicio

Puede usar la clave de condición ec2:VpceServiceOwner para controlar qué punto de enlace de laVPC se puede crear en función de quién sea el propietario del servicio (amazon, aws-marketplace oaws-account-id). En el ejemplo siguiente, solo puede crear Puntos de conexión de la VPC cuando elpropietario del servicio es amazon. Para utilizar este ejemplo, cambie el ID de cuenta, el propietario delservicio y la región (a menos que esté en la región us-east-1).

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:CreateVpcEndpoint", "Resource": [ "arn:aws:ec2:us-east-1:accountId:vpc-endpoint/*" ], "Condition": { "StringEquals": { "ec2:VpceServiceOwner": [ "amazon" ] } } }

361

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ApiReference-query-DeleteVpcEndpointServiceConfigurations.html


]}

Controlar los nombres de DNS privados que pueden especificarse para los servicios de punto de enlace dela VPC

Puede utilizar la clave de condición ec2:VpceServicePrivateDnsName para controlar qué servicio depunto de enlace de la VPC se puede modificar o crear en función del nombre de DNS privado asociado adicho servicio. En el ejemplo siguiente,solo puede crear el servicio de Punto de conexión VPC cuando elnombre de DNS privado sea example.com. Para utilizar este ejemplo, cambie el ID de cuenta, el nombrede DNS privado y la región (a menos que esté en la región us-east-1).

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:ModifyVpcEndpointServiceConfiguration", "ec2:CreateVpcEndpointServiceConfiguration" ], "Resource": [ "arn:aws:ec2:us-east-1:accountId:vpc-endpoint-service/*" ], "Condition": { "StringEquals": { "ec2:VpceServicePrivateDnsName": [ "example.com" ] } } } ]}

Controlar los nombres de servicio que pueden especificarse para los servicios de punto de enlace de laVPC

Puede utilizar la clave de condición ec2:VpceServiceName para controlar qué Punto de conexión VPCse puede crear en función del nombre del servicio de punto de enlace de la VPC. En el ejemplo siguiente,solo puede crear el Punto de conexión VPC cuando el nombre del servicio es com.amazonaws.us-east-1.s3. Para utilizar este ejemplo, cambie el ID de cuenta, el nombre del servicio y la región (a menosque esté en la región us-east-1).

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:CreateVpcEndpoint", "Resource": [ "arn:aws:ec2:us-east-1:accountId:vpc-endpoint/*" ], "Condition": { "StringEquals": { "ec2:VpceServiceName": [ "com.amazonaws.us-east-1.s3" ] } } } ]

362

Amazon Virtual Private Cloud Guía del usuarioNombres de DNS privados para

servicios de punto de enlace

}

Nombres de DNS privados para servicios de puntode enlace

Cuando se crea un servicio de punto de enlace de la VPC, AWS genera nombres de host de DNSespecíficos para ese punto de enlace que puede usar para comunicarse con el servicio. Estos nombresincluyen el ID del punto de enlace de la VPC, el nombre de la zona de disponibilidad y el nombre de laregión, por ejemplo, vpce-1234-abcdev-us-east-1.vpce-svc-123345.us-east-1.vpce.amazonaws.com. Deforma predeterminada, los consumidores acceden al servicio con ese nombre de DNS y normalmentenecesitan modificar la configuración de la aplicación.

Si el servicio de punto de enlace es para un servicio de AWS o un servicio disponible en AWS Marketplace,hay un nombre de DNS predeterminado. Para otros servicios, el proveedor de servicios puede configurarun nombre DNS privado para que los consumidores puedan acceder al servicio utilizando un nombre DNSexistente sin realizar cambios en sus aplicaciones. Para obtener más información, consulte the sectioncalled “Servicios de punto de enlace de la VPC (AWS PrivateLink)” (p. 348).

Los proveedores de servicios pueden especificar un nombre DNS privado para un nuevo servicio de puntode enlace o un servicio de punto de enlace existente. Para utilizar un nombre de DNS privado, habilite lacaracterística y, a continuación, especifique un nombre de DNS privado. Antes de que los consumidorespuedan utilizar el nombre de DNS privado, debe comprobar que tiene el control del dominio/subdominio.Puede iniciar la verificación de la propiedad del dominio mediante Consola de Amazon VPC o la API.Una vez completada la verificación de la propiedad del dominio, los clientes acceden al punto de enlacemediante el nombre de DNS privado.

Note

Para verificar el dominio, debe tener un nombre hospedado público o un proveedor de DNSpúblico.

El procedimiento de alto nivel es el siguiente:

1. Agregue un nombre de DNS privado. Para obtener más información, consulte the section called “Crearuna configuración de servicio de punto de enlace de la VPC” (p. 352) o the section called “Modificarun nombre de DNS privado de servicio de punto de enlace existente” (p. 366).

2. Tenga en cuenta el Domain verification value (Valor de verificación del dominio) de Domain verificationname (Nombre de verificación del dominio) que necesita para los registros del servidor DNS. Paraobtener más información, consulte the section called “Consultar la configuración de nombres de DNSprivados de servicio de punto de enlace” (p. 366).

3. Agregue un registro al servidor DNS. Para obtener más información, consulte the section called“Verificación de nombres de DNS privados de servicio de punto de enlace de la VPC” (p. 364).

4. Verifique el nombre de DNS privado. Para obtener más información, consulte the section called“Iniciar manualmente la verificación de dominio de nombres de DNS privados de servicio de punto deenlace” (p. 367).

Puede administrar el proceso de verificación mediante la consola de Amazon VPC o la API de AmazonVPC.

• the section called “Verificación de nombres de DNS privados de servicio de punto de enlace de laVPC” (p. 364)

• the section called “Modificar un nombre de DNS privado de servicio de punto de enlaceexistente” (p. 366)

363

Amazon Virtual Private Cloud Guía del usuarioConsideraciones sobre la

verificación de nombres de dominio

• the section called “Eliminar un nombre de DNS privado de servicio de punto de enlace” (p. 368)• the section called “Consultar la configuración de nombres de DNS privados de servicio de punto de

enlace” (p. 366)• Registros TXT de verificación de dominio de nombres de DNS privados de Amazon VPC (p. 368)

Consideraciones sobre la verificación de nombres dedominioTome nota de los siguientes puntos importantes sobre la verificación de la propiedad del dominio:

• Un consumidor solo puede usar el nombre de DNS privado para acceder al servicio de punto de enlacecuando el estado de verificación está verificado.

• Si el estado de verificación cambia de verificado a pendingVerification, o es fallido, las conexiones deconsumidor existentes permanecen, pero se deniegan las nuevas solicitudes de conexión.

Important

Para los proveedores de servicios preocupados por las conexiones a servicios de punto finalque ya no están en el estado verificado recomendamos que utilice DescribeVpcEndPointspara comprobar periódicamente el estado de verificación. Le recomendamos que realice estacomprobación al menos una vez al día.

• Un servicio de punto de enlace sólo puede tener un nombre de DNS privado.• Puede especificar un nombre de DNS privado para un nuevo servicio de punto de enlace o un servicio

de punto de enlace existente.• Sólo puede utilizar servidores de nombres de dominio público.• Puede utilizar comodines en los nombres de dominio, por ejemplo, «*.myexampleservice.com».• Debe realizar una comprobación independiente de la propiedad del dominio para cada servicio de punto

de enlace.• Puede verificar el dominio de un subdominio. Por ejemplo, puede verificar example.com, en lugar

de a.example.com. Tal como se especifica en RFC 1034, cada etiqueta DNS puede tener hasta 63caracteres y el nombre de dominio completo no debe superar una longitud total de 255 caracteres.

Si agrega un subdominio adicional, debe verificar el subdominio o el dominio. Por ejemplo, supongamosque tenía a.example.com, y verifica example.com. Ahora agrega b.example.com como nombre de DNSprivado. Debe verificar example.com o b.example.com antes de que sus consumidores puedan usar elnombre.

• Los nombres de dominio deben estar en minúsculas.

Verificación de nombres de DNS privados de serviciode punto de enlace de la VPCSu dominio está asociado a un conjunto de registros de sistema de nombres de dominio (DNS) queadministra a través de su proveedor de DNS. Un registro TXT es un tipo de registro de DNS queproporciona información adicional acerca de su dominio. Cada registro TXT consta de un nombre y unvalor.

Cuando se inicia la verificación de la propiedad del dominio mediante la API o Consola de Amazon VPC, leproporcionamos el nombre y el valor que debe utilizar para el registro TXT. Por ejemplo, si su dominio esmyexampleservice.com, la configuración del registro TXT que se genere tendrá un aspecto similar al delsiguiente ejemplo:

364

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpcEndpoints.html

https://tools.ietf.org/html/rfc1034#section-3.6

Amazon Virtual Private Cloud Guía del usuarioVerificación de nombres de DNS privadosde servicio de punto de enlace de la VPC

Registro TXT de nombre de DNS privado del punto de enlace

Nombre de verificación dedominio

Tipo Valor de verificación de dominio

_vpce:aksldja21i1 TXT vpce:asjdakjshd78126eu21

Agregue un registro TXT al servidor DNS de su dominio utilizando el Domain verification name (Nombre deverificación de dominio) especificado y el Domain verification value (Valor de verificación de dominio). Laverificación de propiedad de dominio se completa cuando se detecta la existencia del registro TXT en laconfiguración de DNS de su dominio.

Si el proveedor de DNS no permite que los nombres de registros de DNS contengan guiones bajos,puede omitir _aksldja21i1 del Domain verification name (Nombre de verificación de dominio). En esecaso, para el ejemplo anterior, el nombre del registro TXT sería myexampleservice.com en lugar de_vpce:aksldja21i1.myexampleservice.com.

Agregar un registro TXT al servidor DNS de su dominioEl procedimiento para añadir registros TXT al servidor DNS de su dominio depende de quien proporcionesu servicio DNS. El proveedor de DNS podría ser Amazon Route 53 u otro registrador de nombres dedominio. En esta sección se proporcionan procedimientos para agregar un registro TXT a Route 53 yprocedimientos genéricos que se aplican a otros proveedores de DNS.

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. Seleccione Endpoint services (Servicios de punto de enlace).3. Seleccione el servicio de punto de enlace.4. En la ficha Details (Detalles) observe los valores que aparecen junto a Domain verification value (Valor

de verificación del dominio) y Domain verification name (Nombre de verificación del dominio).5. Si Route 53 proporciona el servicio DNS para el dominio que está verificando e inicia sesión en la

Consola de administración de AWS en la misma cuenta que utiliza para Route 53, se le ofrece laopción de actualizar su servidor DNS de inmediato desde la consola de Amazon VPC.

Si utiliza otro proveedor de DNS, los procedimientos para actualizar los registros DNS varían enfunción del proveedor de DNS o del alojamiento web que utilice. La tabla siguiente muestra enlacesa la documentación de diversos proveedores habituales. La lista no es exhaustiva y la inclusión enesta lista no supone ningún tipo de respaldo o recomendación de los productos o servicios de ningunaempresa. Si el proveedor no se muestra en la tabla, probablemente puede utilizar el dominio conpuntos de enlace.

Proveedor de DNS/alojamiento Enlace a la documentación

GoDaddy Añadir un registro TXT (enlace externo)

Dreamhost How do I add custom DNS records? (enlaceexterno)

Cloudflare Managing DNS records in CloudFlare (enlaceexterno)

HostGator Manage DNS Records with HostGator/eNom(enlace externo)

Namecheap How do I add TXT/SPF/DKIM/DMARC recordsfor my domain? (enlace externo)

365


https://www.godaddy.com/help/add-a-txt-record-19232

https://help.dreamhost.com/hc/en-us/articles/215414867-How-do-I-add-custom-DNS-records-

https://support.cloudflare.com/hc/en-us/articles/360019093151

https://support.hostgator.com/articles/hosting-guide/lets-get-started/dns-name-servers/manage-dns-records-with-hostgatorenom

https://www.namecheap.com/support/knowledgebase/article.aspx/317/2237/how-do-i-add-txtspfdkimdmarc-records-for-my-domain

https://www.namecheap.com/support/knowledgebase/article.aspx/317/2237/how-do-i-add-txtspfdkimdmarc-records-for-my-domain

Amazon Virtual Private Cloud Guía del usuarioModificar un nombre de DNS privado de

servicio de punto de enlace existente

Proveedor de DNS/alojamiento Enlace a la documentación

Names.co.uk Changing your domains DNS Settings (enlaceexterno)

Wix Adding or Updating TXT Records in Your WixAccount (enlace externo)

Una vez finalizada la verificación, el estado del dominio en la Amazon VPC consola cambia dePending (Pendiente) a Verified (Verificado).

6. Ahora puede usar el nombre de dominio privado para el servicio de punto de enlace de la VPC.

Si la configuración de DNS no se actualiza correctamente, el estado del dominio muestra un estado defailed en la pestaña Details (Detalles). Si esto ocurre, realice los pasos de la página de resolución deproblemas de the section called “Solucionar problemas comunes de verificación de dominio” (p. 370).Después de comprobar que el registro TXT se creó correctamente, vuelva a intentar la operación.

Modificar un nombre de DNS privado de servicio depunto de enlace existentePuede modificar el nombre de DNS privado del servicio de punto de enlace para un servicio de punto deenlace nuevo o existente.

Para modificar un nombre de DNS privado de un servicio de punto de enlace mediante la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Endpoint Services (Servicios de punto de enlace).3. Seleccione el servicio de punto de enlace y a continuación elija Actions (Acciones), Modify private

DNS name (Modificar nombre de DNS privado).4. Seleccione Enable private DNS name (Habilitar nombre DNS privado) y, a continuación, en Private

DNS name (Nombre DNS privado), escriba el nombre de DNS privado.5. Elija Modify.

Después de actualizar el nombre, actualice la entrada del dominio en el servidor DNS. Comprobamosautomáticamente el servidor DNS para verificar que el registro existe en el servidor. Las actualizacionesde registro de DNS pueden tardar hasta 48 horas en surtir efecto, pero suelen hacerlo a menudo muchoantes. Para obtener más información, consulte the section called “Registros TXT de verificación de dominiode nombres de DNS privados” (p. 368) y the section called “Verificación de nombres de DNS privados deservicio de punto de enlace de la VPC” (p. 364).

Para modificar el nombre de DNS privado del servicio de punto de enlace mediante la API o AWSCLI

• modify-vpc-endpoint-service-configuration• ModifyVpcEndpointServiceConfiguration

Consultar la configuración de nombres de DNSprivados de servicio de punto de enlacePuede ver el nombre DNS privado del servicio punto de enlace de un servicio de punto de enlace.

366

https://www.names.co.uk/support/1156-changing_your_domains_dns_settings.html

https://support.wix.com/en/article/adding-or-updating-txt-records-in-your-wix-account

https://support.wix.com/en/article/adding-or-updating-txt-records-in-your-wix-account



https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpcEndpointServiceConfiguration.html

Amazon Virtual Private Cloud Guía del usuarioIniciar manualmente la verificación de dominio de

nombres de DNS privados de servicio de punto de enlace

Console

Para ver una configuración de nombres de DNS privados de servicio de punto de enlacemediante la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Endpoint Services y seleccione el servicio de punto de enlace.3. La ficha Details (Detalles) muestra la siguiente información para la comprobación de propiedad

del dominio de DNS privado:

• Estado de verificación de dominio: estado de verificación.• Tipo de verificación de dominio: tipo de verificación.• Valor de verificación de dominio: valor de DNS.• Nombre de verificación de dominio: nombre del subdominio de registro.

AWS CLI

Utilice describe-vpc-endpoint-service-configurations.API

Utilice DescribeVpcEndpointServiceConfigurations.

Iniciar manualmente la verificación de dominio denombres de DNS privados de servicio de punto deenlaceEl proveedor de servicios debe demostrar que es propietario del dominio de nombres de DNS privadoantes de que los consumidores puedan usar el nombre de DNS privado.

Console

Para iniciar el proceso de verificación del dominio de nombres de DNS privado mediante laconsola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Endpoint Services (Servicios de punto de enlace).3. Seleccione el servicio de punto de enlace y, a continuación, elija Actions (Acciones), Verify

domain ownership for Private DNS Name (Verificar propiedad de dominio para el nombre de DNSprivado).

4. Elija Verify (Verificar).

Si la configuración de DNS no se actualiza correctamente, el dominio mostrará un estadode error en la ficha Details (Detalles) . Si esto ocurre, realice los pasos de la página deresolución de problemas de the section called “Solucionar problemas comunes de verificación dedominio” (p. 370).

AWS CLI

Use start-vpc-endpoint-service-private-dns-verification.API

Use StartVpcEndpointServicePrivateDnsVerification.

367


https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpc-endpoint-service-configurations.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpcEndpointServiceConfigurations.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/startVpcEndpointServicePrivateDnsVerification.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_StartVpcEndpointServicePrivateDnsVerification.html

Amazon Virtual Private Cloud Guía del usuarioEliminar un nombre de DNS privado

de servicio de punto de enlace

Eliminar un nombre de DNS privado de servicio depunto de enlacePuede quitar el nombre de DNS privado del servicio de punto de enlace solo después de que no hayaconexiones con el servicio.

Console

Para quitar un nombre de DNS privado de servicio de punto de enlace mediante la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Endpoint Services (Servicios de punto de enlace).3. Seleccione el servicio de punto de enlace y a continuación elija Actions (Acciones), Modify private

DNS name (Modificar nombre de DNS privado).4. Desactive Enable private DNS name (Habilitar nombre de DNS privado) y a continuación

desactive el Private DNS name (Nombre de DNS privado).5. Elija Modify.

AWS CLI

Use modify-vpc-endpoint-service-configuration.API

Use ModifyVpcEndpointServiceConfiguration.

Registros TXT de verificación de dominio de nombresde DNS privados de Amazon VPCSu dominio está asociado a un conjunto de registros de sistema de nombres de dominio (DNS) queadministra a través de su proveedor de DNS. Un registro TXT es un tipo de registro de DNS queproporciona información adicional acerca de su dominio. Cada registro TXT consta de un nombre y unvalor.

Cuando se inicia la verificación de la propiedad del dominio mediante la API o Consola de Amazon VPC,le proporcionamos el nombre y el valor que debe utilizar para el registro TXT. Por ejemplo, si su dominioes myexampleservice.com, la configuración del registro TXT que genera Amazon VPC tendrá un aspectosimilar al del siguiente ejemplo:

Registro TXT de nombre de DNS privado del punto de enlace

Nombre de verificación dedominio

Tipo Valor de verificación de dominio

_vpce:aksldja21i1.myexampleservice.comTXT vpce:asjdakjshd78126eu21

Añada un registro TXT al servidor DNS de su dominio utilizando los valores de Domain verificationname (Nombre de verificación del dominio y Domain verification value (Valor de verificación del dominio)especificados. La verificación de la propiedad del dominio de Amazon VPC se completa cuando AmazonVPC detecta la existencia del registro TXT en la configuración de DNS del dominio.

Si el proveedor de DNS no permite que los nombres de registro de DNS contengan guiones bajos, puedeusar el nombre del dominio para Domain verification name (Nombre de verificación de dominio). En esecaso, para el ejemplo anterior, el nombre del registro TXT sería myexampleservice.com.

368



https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpcEndpointServiceConfiguration.html

Amazon Virtual Private Cloud Guía del usuarioRegistros TXT de verificación de

dominio de nombres de DNS privados

Puede encontrar información de resolución de problemas e instrucciones sobre cómo comprobar suconfiguración de verificación de propiedad de dominio en Solucionar problemas comunes de verificaciónde dominios de DNS privados (p. 370).

Amazon Route 53

El procedimiento para añadir registros TXT al servidor DNS de su dominio depende de quienproporcione su servicio DNS. El proveedor de DNS podría ser Amazon Route 53 u otro registrador denombres de dominio. En esta sección se proporcionan procedimientos para agregar un registro TXT aRoute 53 y procedimientos genéricos que se aplican a otros proveedores de DNS.

Para añadir un registro TXT al registro de DNS de dominio administrado por Route 53

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. Seleccione Endpoint services (Servicios de punto de enlace).3. Seleccione el servicio de punto de enlace.4. En la ficha Details (Detalles) observe los valores que aparecen junto a Domain verification

value (Valor de verificación del dominio) y Domain verification name (Nombre de verificación deldominio).

5. Abra la consola de Route 53 en https://console.aws.amazon.com/route53/.6. En el panel de navegación, elija Hosted Zones.7. Seleccione el dominio al que desea agregar un registro TXT y, a continuación, elija Go to Record

Sets (Ir a conjuntos de registros).8. Luego, Create Record Set.9. En el panel Create Record Set (Crear conjunto de registros), seleccione las siguientes opciones:

a. En Name (Nombre), introduzca el Domain verification name (Nombre de verificación dedominio) del servicio de punto de enlace desde la consola Amazon VPC.

b. En Type (Tipo), elija TXT – Text (TXT – texto).c. En TTL (Seconds), escriba 1800.d. En Value (Valor), introduzca el Domain verification value (Valor de verificación de dominio) en

la consola Amazon VPC.e. Seleccione Create.

10. En la ficha Details (Detalles) de la página Servicios de punto de enlace (Endpoint services)en la consola Amazon VPC, compruebe el valor de la columna Domain verification status(Estado de verificación del dominio) que aparece junto al punto de enlace. Si el estado es"pending verification" (verificación pendiente), espere unos minutos más y, a continuación,elija refresh (actualizar). Repita este proceso hasta que el valor de la columna de estado sea"verified" (verificado). Puede iniciar manualmente el proceso de verificación. Para obtener másinformación, consulte the section called “Iniciar manualmente la verificación de dominio denombres de DNS privados de servicio de punto de enlace” (p. 367).

Generic procedures for other DNS providers

Los procedimientos para agregar registros TXT a las configuraciones DNS varían de proveedor aotro. Para conocer los pasos específicos, consulte la documentación de su proveedor de DNS. Elprocedimiento de esta sección ofrece información general básica de los pasos que debe seguir paraagregar un registro TXT a la configuración de DNS de su dominio.

Para añadir un registro TXT al servidor DNS de su dominio (procedimiento general)

1. Vaya a la página web de su proveedor de DNS. Si no está seguro de qué proveedor de DNS sirvea su dominio, puede buscarlo mediante un servicio Whois gratuito.

2. En el sitio web del proveedor, inicie sesión en su cuenta.

369


https://console.aws.amazon.com/route53/

http://www.google.com/search?aq=f&hl=en&q=whois+free&btnG=Search

Amazon Virtual Private Cloud Guía del usuarioSolucionar problemas comunes de verificación de dominio

3. Busque la página para actualizar los registros DNS de su dominio. Esta página a menudo tiene unnombre como, por ejemplo, DNS Records, DNS Zone File o Advanced DNS. Si no está seguro,consulte la documentación del proveedor.

4. Añada un registro TXT con el nombre y valor proporcionados por AWS.

Important

Algunos proveedores de DNS añaden automáticamente el nombre de dominio al final delos registros de DNS. Añadir un registro que ya contiene el nombre de dominio (como,por ejemplo _pmBGN/7Mjnf.example.com) podría dar lugar a la duplicación del nombrede dominio (como, por ejemplo _pmBGN/7Mjnfexample.com.example.com). Para evitarla duplicación del nombre de dominio, añada un punto al final del nombre de dominio enel registro de DNS. Esto indicará a su proveedor de DNS que el nombre de registro estácompleto (es decir, ya no está relacionado con el nombre de dominio) y evitará que elproveedor de DNS anexe un nombre de dominio adicional.

5. Guarde los cambios. Las actualizaciones de registro de DNS pueden tardar hasta 48 horas ensurtir efecto, pero suelen hacerlo a menudo mucho antes.

Solucionar problemas comunes de verificación dedominios de DNS privadosPara comprobar un nombre de dominio de DNS privado de servicio de punto de enlace con Amazon VPC,inicie el proceso mediante la consola Amazon VPC o la API. Esta sección contiene información que puedeayudarle a resolver problemas con el proceso de verificación.

Problemas comunes de verificación de dominioSi intenta verificar un dominio y encuentra problemas, revise las posibles causas y las soluciones queaparecen a continuación.

• Está intentando verificar un dominio que no tiene. No puede verificar un dominio a menos que sea de supropiedad.

• El proveedor de DNS no permite guiones bajos en los nombres de registros TXT. Algunos proveedoresde DNS no le permiten incluir el carácter de guión bajo en los nombres de registro de DNS de sudominio. Si esto sucede con su proveedor, puede omitir _amazonvpc en el nombre del registro TXT.

• Su proveedor de DNS anexó el nombre de dominio al final del registro TXT. Algunos proveedores deDNS anexan automáticamente el nombre de su dominio al nombre de atributo del registro TXT. Porejemplo, si crea un registro cuyo nombre de atributo es _amazonvpc.example.com, el proveedor podríaañadir el nombre de dominio, lo que se traduce en _amazonvpc.example.com.example.com. Para evitarla duplicación del nombre de dominio, añada un punto al final del nombre de dominio al crear el registroTXT. Este paso indica al proveedor de DNS que no es necesario añadir el nombre de dominio al registroTXT.

• El proveedor de DNS modificó el valor del registro de DNS. Algunos proveedores modificanautomáticamente los valores del registro de DNS para utilizar sólo letras minúsculas. Solo verificamos sudominio cuando detecta un registro de verificación para el que el valor del atributo coincida exactamentecon el valor que proporcionamos cuando iniciaste el proceso de verificación de la propiedad del dominio.Si el proveedor de DNS de su dominio cambia los valores del registro TXT para utilizar letras minúsculasúnicamente, póngase en contacto con el proveedor de DNS para obtener ayuda.

• Quiere verificar el mismo dominio varias veces. Es posible que deba verificar su dominio más de unavez porque está enviando desde distintas regiones de AWS o porque está utilizando el mismo dominiopara enviar desde varias cuentas de AWS. Si su proveedor de DNS no permite tener más de un registroTXT con el mismo nombre de atributo, puede que aun así le sea posible verificar dos dominios. Si elproveedor de DNS lo permite, puede asignar varios valores de atributo al mismo registro TXT. Por

370

Amazon Virtual Private Cloud Guía del usuarioSolucionar problemas comunes de verificación de dominio

ejemplo, si Amazon Route 53 administra su DNS, puede configurar varios valores para el mismo registroTXT mediante los pasos siguientes:1. En la consola de Route 53, elija el registro TXT que creó cuando verificó el dominio en la primera

región.2. En el cuadro Value (Valor), vaya hasta el final del valor de atributo existente y, a continuación, pulse

Intro.3. Añada el valor de atributo para la región adicional y, a continuación, guarde el conjunto de registros.

Si su proveedor de DNS no le permite asignar varios valores al mismo registro TXT, puede verificarel dominio una vez con el valor en el nombre de atributo del registro TXT y otra vez sin el valor en elnombre de atributo. Por ejemplo, verifique con “_asnbcdasd” y luego con “asnbcdasd”. La desventaja deesta solución es que solo puede verificar el mismo dominio dos veces.

Cómo comprobar la configuración de la verificación de dominiosPuede comprobar que el registro TXT de verificación de la propiedad de dominio de nombres de DNSprivados se publica correctamente en el servidor DNS mediante el procedimiento siguiente. Esteprocedimiento utiliza la herramienta nslookup, que está disponible para Windows y Linux. En Linux,también puede utilizar dig.

Los comandos de estas instrucciones se ejecutaron en Windows 7 y el dominio de ejemplo que utilizamoses example.com.

En este procedimiento, primero encuentre los servidores de DNS que sirven a su dominio y, acontinuación, consulte los servidores para ver los registros TXT. Usted consulta los servidores DNS quesirven a su dominio porque dichos servidores contienen la información más actualizada para su dominio,que puede tardar tiempo en propagarse a otros servidores de DNS.

Para verificar que su registro TXT de verificación de propiedad de dominio se publica en suservidor DNS

1. Encuentre los servidores de nombres de su dominio siguiendo estos pasos.

a. Vaya a la línea de comando. Para acceder a la línea de comando en Windows 7, elija Start y, acontinuación, introduzca cmd. En los sistemas operativos basados en Linux, abra una ventana determinal.

b. En el símbolo del sistema, escriba lo siguiente, donde <domain> es su dominio.

nslookup -type=NS <domain>

Por ejemplo, si su dominio era example.com, el comando tendría el siguiente aspecto.

nslookup -type=NS example.com

La salida del comando enumerará los servidores de nombre que sirven a su dominio. Consultaráa uno de estos servidores en el siguiente paso.

2. Verifique que el registro TXT se ha publicado correctamente siguiendo estos pasos.

a. En el símbolo del sistema, escriba lo siguiente, donde <domain> es su dominio y <name server>es uno de los servidores de nombres que encontró en el paso 1.

nslookup -type=TXT _aksldja21i1.<domain> <name server>

371

http://en.wikipedia.org/wiki/Nslookup

http://en.wikipedia.org/wiki/Dig_(command)

Amazon Virtual Private Cloud Guía del usuarioServicios de AWS que se pueden

utilizar con AWS PrivateLink

En nuestro ejemplo _aksldja21i1.example.com, si un servidor de nombres que encontramos en elpaso 1 se llamara ns1.name-server.net, escribiríamos lo siguiente.

nslookup -type=TXT _aksldja21i1.example.com ns1.name-server.net

b. En la salida del comando, verifique que la cadena que sigue a text = coincide con el valor TXTque ve a la hora de elegir el dominio en la lista de identidades de la consola de Amazon VPC.

En nuestro ejemplo, estamos buscando un registro TXT en _aksldja21i1.example.com con unvalor de asjdakjshd78126eu21. Si el registro está publicado correctamente, esperaríamos queel comando tuviera la siguiente salida.

_aksldja21i1.example.com text = "asjdakjshd78126eu21"

Servicios de AWS que se pueden utilizar con AWSPrivateLink

Los siguientes servicios se integran con AWS PrivateLink.

La columna Admite políticas de punto de enlace de la VPC muestra "No" cuando el servicio se integra conAWS PrivateLink, pero no admite políticas de punto de enlace de la VPC.

Servicio de AWS Admite políticas de punto de enlace de la VPC

Generador de perfiles de Amazon CodeGuru No

Amazon API Gateway Yes

Más información

Amazon AppStream 2.0 No

AWS App Mesh No

Auto Scaling de aplicaciones Yes

Más información

Amazon Athena Yes

Más información

Amazon Aurora Yes

Más información

AWS Auto Scaling Yes

Más información

AWS Certificate Manager Private CertificateAuthority

Yes

Más información

372

https://docs.aws.amazon.com/codeguru/latest/profiler-ug/private-link.html

https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-private-apis.html

https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-vpc-endpoint-policies.html

https://docs.aws.amazon.com/appstream2/latest/developerguide/creating-streaming-from-interface-vpc-endpoints.html

https://docs.aws.amazon.com/app-mesh/latest/userguide/vpc-endpoints.html

https://docs.aws.amazon.com/autoscaling/application/userguide/application-auto-scaling-vpc-endpoints.html

https://docs.aws.amazon.com/autoscaling/application/userguide/application-auto-scaling-vpc-endpoints.html

https://docs.aws.amazon.com/athena/latest/ug/interface-vpc-endpoint.html

https://docs.aws.amazon.com/athena/latest/ug/interface-vpc-endpoint.html#api-private-link-policy

https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/vpc-interface-endpoints.html

https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/vpc-interface-endpoints.html

https://docs.aws.amazon.com/autoscaling/plans/userguide/aws-auto-scaling-vpc-endpoints.html

https://docs.aws.amazon.com/autoscaling/plans/userguide/aws-auto-scaling-vpc-endpoints.html

https://docs.aws.amazon.com/acm-pca/latest/userguide/vpc-endpoints.html

https://docs.aws.amazon.com/acm-pca/latest/userguide/vpc-endpoints.html

https://docs.aws.amazon.com/acm-pca/latest/userguide/vpc-endpoints.html#api-private-link-policy




Amazon Cloud Directory Yes

Más información

AWS CloudFormation No

AWS CloudTrail No

Amazon CloudWatch Yes

Más información

Amazon CloudWatch Events Yes

Más información

Amazon CloudWatch Logs Yes

Más información

AWS CodeBuild Yes

Más información

AWS CodeCommit Yes

Más información

AWS CodePipeline No

Amazon Comprehend Yes

Más información

AWS Config No

AWS Data Exchange Yes

Más información

AWS DataSync No

AWS Device Farm No

Amazon EC2 Yes

Más información

EC2 Image Builder Yes

Más información

Amazon EC2 Auto Scaling Yes

Más información

373

https://docs.aws.amazon.com/clouddirectory/latest/developerguide/getting_started_using_vpc_endpoints.html

https://docs.aws.amazon.com/clouddirectory/latest/developerguide/getting_started_using_vpc_endpoints.html#vpc_endpoints_create


https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-and-interface-VPC.html

https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch-and-interface-VPC.html

https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch-and-interface-VPC.html

https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/cloudwatch-events-and-interface-VPC.html

https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/cloudwatch-events-and-interface-VPC.html#CloudWatchEvents-VPC-endpoint-policy

https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch-logs-and-interface-VPC.html

https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch-logs-and-interface-VPC.html#CloudWatchLogs-VPC-endpoint-policy

https://docs.aws.amazon.com/codebuild/latest/userguide/use-vpc-endpoints-with-codebuild.html

https://docs.aws.amazon.com/codebuild/latest/userguide/use-vpc-endpoints-with-codebuild.html#creating-vpc-endpoint-policy

https://docs.aws.amazon.com/codecommit/latest/userguide/codecommit-and-interface-VPC.html

https://docs.aws.amazon.com/codecommit/latest/userguide/codecommit-and-interface-VPC.html#create-vpc-endpoint-policy-for-codecommit

https://docs.aws.amazon.com/codepipeline/latest/userguide/vpc-support.html#use-vpc-endpoints-with-codepipeline

https://docs.aws.amazon.com/comprehend/latest/dg/vpc-interface-endpoints.html

https://docs.aws.amazon.com/comprehend/latest/dg/vpc-interface-endpoints.html

https://docs.aws.amazon.com/config/latest/developerguide/config-VPC-endpoints.html

https://docs.aws.amazon.com/data-exchange/latest/userguide/vpc-interface-endpoints.html

https://docs.aws.amazon.com/data-exchange/latest/userguide/vpc-interface-endpoints.html#vpc-endpoint-policy

https://docs.aws.amazon.com/datasync/latest/userguide/datasync-in-vpc.html

https://docs.aws.amazon.com/devicefarm/latest/developerguide/amazon-vpc-endpoints.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/interface-vpc-endpoints.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/interface-vpc-endpoints.html#endpoint-policy

https://docs.aws.amazon.com/imagebuilder/latest/userguide/vpc-interface-endpoints.html

https://docs.aws.amazon.com/imagebuilder/latest/userguide/vpc-interface-endpoints.html#vpc-endpoint-policy

https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-vpc-endpoints.html





AWS Elastic Beanstalk Yes

Más información

Amazon Elastic File System Yes

Más información

Elastic Load Balancing Yes

Más información

Amazon EC2 Container Registry Yes

Más información

Amazon Elastic Container Service No

Amazon EMR Yes

Más información

Amazon Fraud Detector Yes

Más información

AWS Glue No

AWS Key Management Service Yes

Más información

Amazon Keyspaces (para Apache Cassandra) Yes

Más información

Amazon Kinesis Data Firehose Yes

Más información

Amazon Kinesis Data Streams Yes

Más información

AWS License Manager Yes

Más información

Amazon Managed Blockchain No

Amazon Quantum Ledger Database (AmazonQLDB)

Yes

Más información

374

https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/vpc-vpce.html

https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/vpc-vpce.html#vpc-vpce.policy

https://docs.aws.amazon.com/efs/latest/ug/efs-vpc-endpoints.html


https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/load-balancer-vpc-endpoints.html

https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/load-balancer-vpc-endpoints.html#create-vpce-policy-elb

https://docs.aws.amazon.com/AmazonECR/latest/userguide/vpc-endpoints.html

https://docs.aws.amazon.com/AmazonECR/latest/userguide/vpc-endpoints.html#ecr-vpc-endpoint-policy

https://docs.aws.amazon.com/AmazonECS/latest/developerguide/vpc-endpoints.html

https://docs.aws.amazon.com/emr/latest/ManagementGuide/interface-vpc-endpoint.html

https://docs.aws.amazon.com/emr/latest/ManagementGuide/interface-vpc-endpoint.html#api-private-link-policy

https://docs.aws.amazon.com/frauddetector/latest/ug/vpc-interface-endpoints.html

https://docs.aws.amazon.com/frauddetector/latest/ug/vpc-interface-endpoints.html#vpc-endpoint-policy-create

https://docs.aws.amazon.com/glue/latest/dg/infrastructure-security.html

https://docs.aws.amazon.com/kms/latest/developerguide/kms-vpc-endpoint.html

https://docs.aws.amazon.com/kms/latest/developerguide/kms-vpc-endpoint.html#vpce-policy

https://docs.aws.amazon.com/keyspaces/latest/devguide/vpc-endpoints.html

https://docs.aws.amazon.com/keyspaces/latest/devguide/vpc-endpoints.html#interface-vpc-endpoints-policies

https://docs.aws.amazon.com/firehose/latest/dev/vpc.html

https://docs.aws.amazon.com/firehose/latest/dev/vpc.html

https://docs.aws.amazon.com/streams/latest/dev/vpc.html

https://docs.aws.amazon.com/streams/latest/dev/vpc.html#interface-vpc-endpoints-policies

https://docs.aws.amazon.com/license-manager/latest/userguide/interface-vpc-endpoints.html

https://docs.aws.amazon.com/license-manager/latest/userguide/interface-vpc-endpoints.html#create-vpce-policy

https://docs.aws.amazon.com/managed-blockchain/latest/managementguide/managed-blockchain-endpoints.html

https://docs.aws.amazon.com/qldb/latest/developerguide/vpc-endpoints.html#using-interface-vpc-endpoints






Amazon RDS Yes

Más información

API de datos de Amazon RDS Yes

Más información

Amazon Redshift Yes

Más información

Amazon Rekognition Yes

Más información

Amazon SageMaker y tiempo de ejecución deAmazon SageMaker

Yes

Más información

Bloc de notas de Amazon SageMaker Yes

Más información

AWS Secrets Manager Yes

Más información

AWS Security Token Service Yes

Más información

AWS Server Migration Service No

AWS Service Catalog No

Amazon Simple Email Service (Amazon SES) No

Amazon SNS Yes

Más información

Amazon SQS Yes

Más información

AWS Step Functions Yes

Más información

AWS Administrador de sistemas No

AWS Storage Gateway No

Amazon Transcribe No

375

https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/vpc-interface-endpoints.html

https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/vpc-interface-endpoints.html

https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/data-api.html#data-api.vpc-endpoint

https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/data-api.html#data-api.vpc-endpoint

https://docs.aws.amazon.com/redshift/latest/mgmt/security-private-link.html

https://docs.aws.amazon.com/redshift/latest/mgmt/security-private-link.html

https://docs.aws.amazon.com/rekognition/latest/dg/vpc.html

https://docs.aws.amazon.com/rekognition/latest/dg/vpc.html#api-private-link-policy

https://docs.aws.amazon.com/sagemaker/latest/dg/interface-vpc-endpoint.html

https://docs.aws.amazon.com/sagemaker/latest/dg/interface-vpc-endpoint.html

https://docs.aws.amazon.com/sagemaker/latest/dg/interface-vpc-endpoint.html#api-private-link-policy

https://docs.aws.amazon.com/sagemaker/latest/dg/notebook-interface-endpoint.html

https://docs.aws.amazon.com/sagemaker/latest/dg/notebook-interface-endpoint.html#nbi-private-link-policy

https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotation-network-rqmts.html

https://docs.aws.amazon.com/secretsmanager/latest/userguide/vpc-endpoint-overview.html#vpc-endpoint-policy

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_sts_vpce.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_sts_vpce.html

https://aws.amazon.com/server-migration-service

https://docs.aws.amazon.com/ses/latest/DeveloperGuide/send-email-set-up-vpc-endpoints.html

https://docs.aws.amazon.com/sns/latest/dg/sns-vpc.html

https://docs.aws.amazon.com/sns/latest/dg/sns-internetwork-traffic-privacy.html#sns-vpc-endpoint-policy

https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-internetwork-traffic-privacy.html#sqs-vpc-endpoints

https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-internetwork-traffic-privacy.html#sqs-vpc-endpoint-policy

https://docs.aws.amazon.com/step-functions/latest/dg/vpc-endpoints.html

https://docs.aws.amazon.com/step-functions/latest/dg/vpc-iam.html


https://docs.aws.amazon.com/storagegateway/latest/userguide/gateway-private-link.html

https://docs.aws.amazon.com/transcribe/latest/dg/vpc-interface-endpoints.html




Amazon Transcribe Medical No

AWS Transfer for SFTP No

Amazon WorkSpaces No

Servicios de punto de enlace (p. 348) alojadospor otras cuentas de AWS

No

Servicios compatibles de socios de AWSMarketplace

No

376

https://docs.aws.amazon.com/transcribe/latest/dg/med-vpc-interface-endpoints.html

https://docs.aws.amazon.com/transfer/latest/userguide/create-server-vpc.html

https://docs.aws.amazon.com/workspaces/latest/adminguide/infrastructure-security.html#interface-vpc-endpoint


Conexiones de VPNPuede conectar su Amazon VPC a redes y usuarios remotos usando las siguientes opciones deconectividad de VPN.

Opción de conectividadde VPN

Descripción

AWS Site-to-Site VPN Puede crear una conexión de VPN IPsec entre su VPC y su red remota. Enel extremo de AWS de la conexión de Site-to-Site VPN, la gateway privadavirtual o gateway de tránsito proporciona dos puntos de enlace de VPN(túneles) para la conmutación por error automática. Configure su dispositivode la gateway de cliente en el lado remoto de la conexión de Site-to-SiteVPN. Para obtener más información, consulte la Guía del usuario de AWSSite-to-Site VPN.

AWS Client VPN AWS Client VPN es un servicio de VPN basado en cliente administradoque le permite obtener acceso de forma segura a sus recursos de AWS enla red local. Con AWS Client VPN se configura un punto de enlace al quese pueden conectar los usuarios para establecer una sesión de VPN TLSsegura. De este modo, los clientes pueden obtener acceso a los recursos enAWS o en las instalaciones desde cualquier ubicación mediante un clienteVPN basado en OpenVPN. Para obtener más información, consulte la Guíadel administrador de AWS Client VPN.

AWS VPN CloudHub Si tiene más de una red remota (por ejemplo, varias sucursales), podrá crearvarias conexiones de AWS Site-to-Site VPN a través de su gateway privadavirtual para habilitar la comunicación entre estas redes. Para obtener másinformación, consulte Proporcionar comunicaciones seguras entre sitiosmediante VPN CloudHub en la Guía del usuario de AWS Site-to-Site VPN.

Dispositivo de VPN porsoftware de terceros

Puede crear una conexión de VPN a su red remota mediante una instanciaAmazon EC2 de su VPC que ejecute un dispositivo de VPN por software deterceros. AWS no proporciona ni mantiene dispositivos de VPN por softwarede terceros; sin embargo, podrá elegir entre un rango de productos de sociosy comunidades de código fuente abierto. Puede buscar dispositivos de VPNpor software de terceros en AWS Marketplace.

También puede utilizar AWS Direct Connect para crear una conexión privada dedicada desde la redremota a su VPC. Esta conexión se puede combinar con una AWS Site-to-Site VPN para crear unaconexión con cifrado IPsec. Para obtener más información, consulte ¿Qué es AWS Direct Connect? en laGuía del usuario de AWS Direct Connect.

377





https://docs.aws.amazon.com/vpn/latest/s2svpn/VPN_CloudHub.html

https://docs.aws.amazon.com/vpn/latest/s2svpn/VPN_CloudHub.html

https://aws.amazon.com/marketplace/search/results/ref=brs_navgno_search_box?searchTerms=vpn

https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html

Amazon Virtual Private Cloud Guía del usuarioVPC y subredes

Cuotas de Amazon VPCLas tablas siguientes muestran las cuotas, antes llamadas límites, para recursos de Amazon VPC porregión para su cuenta de AWS. A menos que se indique lo contrario, puede solicitar un aumento para estascuotas. Para algunas de estas cuotas, puede consultar la cuota actual mediante la página Limits (Límites)de la consola de Amazon EC2.

Si solicita un aumento de cuota que se aplica a cada uno de los recursos, aumente la cuota para todos losrecursos de la región.

VPC y subredes

Recurso Valorpredeterminado

Comentarios

VPC por región 5 La cuota de gateways de Internet por regiónestá directamente relacionada con este. Alaumentar esta cuota, aumenta la cuota degateways de Internet por región en la mismacantidad.

Puede tener centenares de VPC por regiónpara sus necesidades incluso aunque lacuota predeterminada sean 5 VPC porregión.

Subredes por VPC 200 -

Bloques de CIDR IPv4 por VPC 5 Este bloque de CIDR principal y todos losbloques de CIDR secundarios se tienen encuenta para esta cuota. Esta cuota se puedeaumentar hasta un máximo de 50.

Bloques de CIDR IPv6 por VPC 1 Esta cuota no puede incrementarse.

DNSCada instancia EC2 limita el número de paquetes que se pueden enviar al solucionador de AmazonRoute 53 (en concreto, la dirección .2, como 10.0.0.2) hasta un máximo de 1024 paquetes por segundopor interfaz de red. Esta cuota no puede incrementarse. El número de consultas de DNS por segundoadmitidas por el solucionador de Amazon Route 53 varía según el tipo de consulta, el tamaño de respuestay el protocolo en uso. Para obtener más información y recomendaciones para una arquitectura de DNSescalable, consulte el documento técnico Hybrid Cloud DNS Solutions for Amazon VPC.

378


https://d1.awsstatic.com/whitepapers/hybrid-cloud-dns-options-for-vpc.pdf

Amazon Virtual Private Cloud Guía del usuarioDirecciones IP elásticas (IPv4)

Direcciones IP elásticas (IPv4)


Comentarios

Direcciones IP elásticas por región 5 Este es la cuota del número de direccionesIP elásticas que se pueden usar en EC2-VPC. Para las direcciones IP elásticas parasu uso en EC2-Classic, consulte Puntos deenlace y cuotas en Amazon Elastic ComputeCloud en Referencia general de AmazonWeb Services.

Esta cuota se aplica a las VPC decuentas de AWS individuales y a las VPCcompartidas.

Gateways


Comentarios

Gateways de cliente por región - Para obtener más información, consulteCuotas de Site-to-Site VPN en la Guía delusuario de AWS Site-to-Site VPN.

Gateways de Internet de solo salida porregión

5 Esta cuota se correlaciona directamentecon la cuota en las VPC por región. Paraaumentar esta cuota, aumente la cuota delas VPC por región. Solo puede adjuntar unagateway de Internet de solo salida a unaVPC a la vez.

Gateways de Internet por región 5 Esta cuota se correlaciona directamentecon la cuota en las VPC por región. Paraaumentar esta cuota, aumente la cuota delas VPC por región. Solo se puede adjuntarun puerto de enlace a Internet a una VPC ala vez.

Gateways NAT por zona de disponibilidad 5 Una gateway NAT con el estado pending,active o deleting cuenta al calcular lacuota.

Gateways privadas virtuales por región - Para obtener más información, consulteCuotas de Site-to-Site VPN en la Guía delusuario de AWS Site-to-Site VPN.

Gateways de operador por VPC 1

379

https://docs.aws.amazon.com/general/latest/gr/ec2-service.html



https://docs.aws.amazon.com/vpn/latest/s2svpn/vpn-limits.html


Amazon Virtual Private Cloud Guía del usuarioListas de prefijos administradas por el cliente

Listas de prefijos administradas por el cliente


Comentarios

Listas de prefijos por región 100 -

Versiones por lista de prefijos 1 000 -

Referencias a una lista de prefijos por tipo derecurso

5 000 Esta cuota se aplica por el tipo de recursoque puede hacer referencia a una listade prefijos. Por ejemplo, puede tener5000 referencias a una lista de prefijos entodos los grupos de seguridad más 5000referencias a una lista de prefijos en todaslas tablas de enrutamiento de la subred.Si comparte una lista de prefijos con otrascuentas de AWS, las referencias de lasotras cuentas a su lista de prefijos cuentanpara esta cuota.

ACL de red


Comentarios

ACL de red por VPC 200 Puede asociar una ACL de red de una ovarias subredes de una VPC. Esta cuota noes lo mismo que el número de reglas porACL de red.

Reglas por ACL de red 20 Esta es la cuota unidireccional para unaACL de red única. Esta cuota se aplicade manera individual para las reglasIPv4 e IPv6. Por ejemplo, puede tener 20reglas entrantes para el tráfico IPv4 y 20reglas entrantes para el tráfico IPv6. Estacuota incluye las reglas de denegaciónpredeterminadas (número de regla 32767para IPv4 y 32768 para IPv6 o un asterisco *en la consola de Amazon VPC).

Esta cuota puede aumentarse hasta unmáximo de 40; sin embargo, el desempeñode la red puede verse afectado debidoal aumento de la carga de trabajo paraprocesar las reglas adicionales.

380

Amazon Virtual Private Cloud Guía del usuarioInterfaces de red

Interfaces de redRecurso Valor

predeterminadoComentarios

Interfaces de red por instancia - Esta cuota varía según el tipo de instancia.Para obtener más información, consulteDirecciones IP por interfaz de red por tipo deinstancia.

Interfaces de red por región 5000 Esta cuota se aplica a las VPC decuentas de AWS individuales y a las VPCcompartidas.

Tablas de ruteoRecurso Valor


Tablas de rutas por VPC 200 La tabla de ruteo principal cuenta para estacuota.

Rutas por tabla de rutas (rutas nopropagadas)

50 Puede aumentar esta cuota a un máximo de1000; no obstante, el rendimiento de la redpodría verse afectado. Esta cuota se aplicade forma independiente para las rutas IPv4e IPv6.

Si tiene más de 125 rutas, para conseguirun mejor rendimiento, le recomendamos quepagine las llamadas para describir las tablasde ruteo.

Si hace referencia a una lista de prefijosadministrada por el cliente en una ruta, elnúmero máximo de entradas para las listasde prefijos equivale al mismo número derutas.

Rutas anunciadas de BGP por tabla de rutas(rutas propagadas)

100 Esta cuota no puede incrementarse. Sinecesita más de 100 prefijos, anuncie unaruta predeterminada.

Grupos de seguridadRecurso Valor


Grupos de seguridad de VPC por región 2 500 Esta cuota se aplica a las VPC decuentas de AWS individuales y a las VPCcompartidas.

381



Amazon Virtual Private Cloud Guía del usuarioInterconexiones de VPC


Comentarios

Si aumenta esta cuota a más de5000 grupos de seguridad en una región,para conseguir un mejor rendimiento, lerecomendamos que pagine las llamadaspara describir los grupos de seguridad.

Reglas entrantes o salientes por grupo deseguridad

60 Puede tener 60 reglas entrantes y 60salientes por grupo de seguridad (lo quesuma un total de 120 reglas). Esta cuotase aplica de manera individual para lasreglas IPv4 e IPv6. Por ejemplo, un grupo deseguridad puede tener 60 reglas entrantespara el tráfico IPv4 y 60 reglas entrantespara el tráfico IPv6. Una regla que hacereferencia a un grupo de seguridad o IDde lista de prefijos administrada por AWScuenta como una regla para IPv4 y unaregla para IPv6.

Se aplica un cambio de cuota tanto a lasreglas de entrada como a las de salida.Esta cuota multiplicada por la cuota paragrupos de seguridad por interfaz de red nopuede ser superior a 1000. Por ejemplo, siaumenta esta cuota a 100, reduciremos lacuota correspondiente al número de gruposde seguridad por interfaz de red a 10.

Si hace referencia a una lista de prefijosadministrada por el cliente en una regla degrupo de seguridad, el número máximo deentradas para las listas de prefijos equivaleal mismo número de reglas de grupo deseguridad.

Grupos de seguridad por interfaz de red 5 El máximo es 16. Esta cuota se aplica deforma independiente para las reglas IPv4 eIPv6. La cuota para los grupos de seguridadpor interfaz de red multiplicado por la cuotapara las reglas por grupo de seguridadno puede superar 1000. Por ejemplo, siaumenta esta cuota a 10, reduciremos lacuota correspondiente al número de reglaspor grupo de seguridad a 100.

Interconexiones de VPCRecurso Valor


Interconexiones de VPC activas por VPC 50 La cuota máxima es de 125 interconexionespor VPC. El número de entradas por tabla

382

Amazon Virtual Private Cloud Guía del usuarioPuntos de conexión de la VPC


Comentarios

de rutas debe aumentarse en consecuencia;sin embargo, el desempeño de la red podríaverse afectado.

Solicitudes de interconexión de VPCpendientes

25 Esta es la cuota para el número desolicitudes de interconexión de VPCpendientes que ha solicitado desde sucuenta.

Tiempo de caducidad de una solicitud deinterconexión de VPC no aceptada

1 semana(168horas)

Esta cuota no puede incrementarse.

Puntos de conexión de la VPCRecurso Valor


Puntos de enlace de la VPC de tipo gatewaypor región

20 No puede tener más de 255 puntos deenlace de gateway por VPC.

Puntos de conexión de VPC por VPC 50 Esta es la cuota para el número máximode puntos de enlace en una VPC. Paraaumentar esta cuota, póngase en contactocon AWS Support.

Tamaño de la política de puntos de enlace dela VPC

20 480caracteres(incluidosespaciosenblanco)

Esta cuota no puede incrementarse.

Conexiones de AWS Site-to-Site VPNPara obtener más información, consulte Cuotas de Site-to-Site VPN en la Guía del usuario de AWS Site-to-Site VPN.

Uso compartido de VPCTodas las cuotas de VPC estándar se aplican a una VPC compartida.


Comentarios

Cuentas de participante por VPC 100 Este es la cuota de cuentas de participantesdistintas con las que se pueden compartir

383


Amazon Virtual Private Cloud Guía del usuarioUso compartido de VPC


Comentarios

las subredes en una VPC. Esto es segúnla cuota de VPC y se aplica en todas lassubredes compartidas en una VPC. Paraaumentar esta cuota, póngase en contactocon AWS Support.

Los propietarios de la VPC pueden verlas interfaces de red y los grupos deseguridad asociados a los recursos delos participantes. Por lo tanto, AWS lerecomienda paginar las llamadas a laAPI DescribeSecurityGroups yDescribeNetworkInterfaces antes desolicitar un aumento de esta cuota.

Subredes que se pueden compartir con unacuenta

100 Esta es la cuota para el número máximo desubredes que se pueden compartir con unacuenta de AWS. Para aumentar esta cuota,póngase en contacto con AWS Support.AWS le recomienda paginar las llamadasa la API DescribeSecurityGroups yDescribeSubnets antes de solicitar unaampliación de esta cuota.

384


Historial de revisiónEn la tabla siguiente se describen los cambios importantes de cada versión de Guía del usuario deAmazon VPC y Amazon VPC Peering Guide.

update-history-change update-history-description update-history-date

Gateways de operador Cree gateways de operador parapermitir el tráfico entrante desdeuna red de transportistas en unaubicación específica y permitirel tráfico saliente a la red detransportistas y a Internet.

August 6, 2020

Etiqueta al crear (p. 385) Puede añadir etiquetasal crear una conexión deemparejamiento de VPC y unatabla de enrutamiento.

July 20, 2020

Etiqueta al crear (p. 385) Puede agregar etiquetas alcrear una VPC, opciones DHCP,gateway de Internet, gateway desolo salida, ACL de red y grupode seguridad.

June 30, 2020

Listas de prefijos administradas Puede crear y administrar unconjunto de bloques CIDR en lalista de prefijos.

June 29, 2020

Mejoras de logs de flujo Hay nuevos campos deregistro de flujo disponibles ypuede especificar un formatopersonalizado para los registrosde flujo que se publican enCloudWatch Logs.

May 4, 2020

Compatibilidad del etiquetadopara los registros de flujo

Puede agregar etiquetas a losregistros de flujo.

March 16, 2020

Etiqueta al crear una gatewayNAT

Puede agregar una etiqueta alcrear una gateway NAT.

March 9, 2020

Claves de condición para puntosde enlace de la VPC y serviciosde los puntos de enlace

Puede utilizar claves decondición EC2 para controlar elacceso al punto de enlace de laVPC y a los servicios del puntode enlace.

March 6, 2020

Etiqueta de un punto de enlacede la VPC y creación de serviciode un punto de enlace de la VPC

Puede agregar una etiqueta alcrear un punto de enlace de laVPC o un servicio de punto deenlace de la VPC.

February 5, 2020

Intervalo máximo de agregaciónpara registros de flujo

Puede especificar el períodomáximo de tiempo durante el cualse captura un flujo y se agrega aun registro de flujo.

February 4, 2020

385

https://docs.aws.amazon.com/vpc/latest/userguide/Carrier_Gateway.html

https://docs.aws.amazon.com/vpc/latest/userguide/managed-prefix-lists.html

https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html

https://docs.aws.amazon.com/vpc/latest/userguide/working-with-flow-logs.html#modify-tags-flow-logs

https://docs.aws.amazon.com/vpc/latest/userguide/working-with-flow-logs.html#modify-tags-flow-logs

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-creating

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-creating




https://docs.aws.amazon.com/vpc/latest/userguide/endpoint-services-overview.html



https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html#flow-logs-aggregration-interval

https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html#flow-logs-aggregration-interval


Configuración del grupo debordes de red

Puede configurar grupos debordes de red para las VPCdesde la consola de AmazonVPC.

January 22, 2020

Nombre de DNS privado Ahora puede obtener acceso alos servicios basados en AWSPrivateLink de forma privadadesde su VPC mediante nombresDNS privados.

January 6, 2020

Tablas de ruteo de gateway Puede asociar una tabla de ruteoa una gateway y dirigir el tráficoentrante de la VPC a una interfazde red específica en su VPC.

December 3, 2019

Mejoras de logs de flujo Puede especificar un formatopersonalizado para su log de flujoy elegir qué campos devolver enlos registros de logs de flujo.

September 11, 2019

Interconexión entre regiones La resolución de nombres dehost DNS se admite para lasinterconexiones de VPC entreregiones en la región AsiaPacífico (Hong Kong).

August 26, 2019

AWS Site-to-Site VPN La VPN administrada por AWSahora se conoce como AWS Site-to-Site VPN.

December 18, 2018

Uso compartido de VPC Puede compartir las subredesque se encuentran en la mismaVPC con varias cuentas en lamisma organización de AWS.

November 27, 2018

Interconexión entre regiones Puede crear una interconexiónde VPC entre diversas VPC dedistintas regiones de AWS.

November 29, 2017

Servicios de punto de conexiónde la VPC

Puede crear su propio servicioAWS PrivateLink en una VPCy permitir a otras cuentas yusuarios de AWS conectar conese servicio a través de un puntode enlace de la VPC de interfaz.

November 28, 2017

Crear subred predeterminada Si una zona de disponibilidadno tienen una subredpredeterminada, puede crearla.

November 9, 2017

386

https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#vpc-associate-ipv6-cidr

https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#vpc-associate-ipv6-cidr

https://docs.aws.amazon.com/vpc/latest/userguide/verify-domains.html

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html#gateway-route-table




https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html


https://docs.aws.amazon.com/vpc/latest/userguide/endpoint-service.html

https://docs.aws.amazon.com/vpc/latest/userguide/endpoint-service.html

https://docs.aws.amazon.com/vpc/latest/userguide/default-vpc.html#create-default-subnet


Puntos de enlace de la VPC detipo interfaz para servicios deAWS

Puede crear un punto de enlacede tipo interfaz para conectarsede forma privada a algunosservicios de AWS. Un puntode conexión de interfaz es unainterfaz de red con una direcciónIP privada que sirve como puntode entrada al tráfico dirigido alservicio.

November 8, 2017

Métricas de Amazon CloudWatchpara gateways NAT

Puede ver las métricas deCloudWatch de su gateway NAT.

September 7, 2017

Compatibilidad de etiquetadopara las gateways NAT

Puede etiquetar su gateway NAT. September 7, 2017

Descripciones de regla de grupode seguridad

Puede agregar descripcionesa sus reglas de grupo deseguridad.

August 31, 2017

Bloques de CIDR IPv4secundarios para su VPC

Puede agregar varios bloques deCIDR IPv4 a su VPC.

August 29, 2017

Puntos de conexión de la VPCpara DynamoDB

Puede obtener acceso a AmazonDynamoDB desde su VPCmediante puntos de conexión deVPC.

August 16, 2017

Recuperar las direcciones IPelásticas

Si libera una dirección IPelástica, es posible que puedarecuperarla.

August 11, 2017

Crear una VPC predeterminada Puede crear una VPCpredeterminada si elimina la VPCpredeterminada existente.

July 27, 2017

Compatibilidad con IPv6 Puede asociar un bloque deCIDR IPv6 a su VPC y asignardirecciones IPv6 a los recursosde su VPC.

December 1, 2016

Soporte para la resoluciónde DNS para rangos dedirecciones IP distintos de RFC1918 (p. 385)

Ahora, el servidor DNS deAmazon puede resolvernombres de host DNS privadosen direcciones IP privadaspara todos los espacios dedirecciones.

October 24, 2016

Soporte para la resolución deDNS para la interconexión deVPC

Puede habilitar una VPC localpara resolver nombres de hostDNS públicos en direccionesIP privadas al consultar desdeinstancias en la VPC del mismonivel.

July 28, 2016

387

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html



https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway-cloudwatch.html

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway-cloudwatch.html

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-tagging

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-tagging

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#SecurityGroupRules

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#SecurityGroupRules

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#vpc-resize

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#vpc-resize

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-ddb.html

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-ddb.html

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-eips.html#WorkWithEIPs

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-eips.html#WorkWithEIPs

https://docs.aws.amazon.com/vpc/latest/userguide/default-vpc.html#create-default-vpc

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html

https://docs.aws.amazon.com/vpc/latest/peering/working-with-vpc-peering.html#modify-peering-connections




Reglas antiguas de los grupos deseguridad

Puede identificar si se estáhaciendo referencia a su grupode seguridad en las reglas deun grupo de seguridad de unaVPC del mismo nivel, y puedeidentificar las reglas antiguas delgrupo de seguridad.

May 12, 2016

Uso de ClassicLink a través deuna interconexión de VPC

Puede modificar su interconexiónde VPC para permitir que lasinstancias locales vinculadas deEC2-Classic se comuniquen conlas instancias de una VPC delmismo nivel y viceversa.

April 26, 2016

Gateways NAT Puede crear una gateway deNAT en una subred pública yhabilitar las instancias en unasubred privada para iniciar eltráfico saliente a Internet u otrosservicios de AWS.

December 17, 2015

Logs de flujo de VPC Puede crear un log de flujo paracapturar información acerca deltráfico IP entrante y saliente delas interfaces de red de su VPC.

June 10, 2015

Puntos de conexión de la VPC Un punto de enlace le permitecrear una conexión privada entresu VPC y otro servicio de AWSsin necesidad de acceder através de Internet, a través deuna instancia NAT, una conexiónde VPN o AWS Direct Connect.

May 11, 2015

ClassicLink ClassicLink le permite vincular suinstancia EC2-Classic a una VPCde su cuenta. Puede asociar losgrupos de seguridad de VPC ala instancia de EC2-Classic, parahacer posible la comunicaciónentre su instancia de EC2-Classicy las instancias de su VPC queusan direcciones IP privadas.

January 7, 2015

Utilización de zonas hospedadasprivadas

Puede obtener acceso a losrecursos de su VPC utilizandonombres de dominio DNSpersonalizados que defina enuna zona hospedada privada enRoute 53.

November 5, 2014

Modificación de un atributo deasignación de direcciones IPpúblicas de una subred

Puede modificar el atributo deasignación de direcciones IPpúblicas de su subred paraidentificar si las instanciaslanzadas en esa subred deberíanrecibir una dirección IP pública.

June 21, 2014

388





https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html



https://docs.aws.amazon.com/vpc/latest/userguide/vpc-classiclink.html

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-private-hosted-zones

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-private-hosted-zones

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html#subnet-public-ip




Interconexión con VPC También puede crear unainterconexión VPC entredos VPC, que permitirá a lasinstancias de las dos VPCcomunicarse entre sí utilizandodirecciones IP privadas.

March 24, 2014

Asignación de una dirección IPpública

Puede asignar una dirección IPpública a una instancia durante ellanzamiento.

August 20, 2013

Habilitación de nombres dehost DNS y deshabilitación deresolución DNS

Puede modificar los valorespredeterminados de la VPC ydeshabilitar la resolución DNSy habilitar los nombres de hostDNS.

March 11, 2013

VPC en todas partes (p. 385) Se ha agregado compatibilidadcon la VPC en cinco regionesde AWS, VPC en varias zonasde disponibilidad, varias VPCpor cuenta de AWS y variasconexiones de VPN por VPC.

August 3, 2011

Instancias dedicadas (p. 385) Las instancias dedicadas soninstancias Amazon EC2 lanzadasen su VPC que se ejecutan enhardware dedicado a un solocliente.

March 27, 2011

389


https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html#vpc-public-ip

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html#vpc-public-ip

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html



amazon virtual private cloudamazon virtual private cloud guía del usuario conceptos de amazon vpc...

Documents