Amazon Virtual Private Cloud...Amazon Virtual Private Cloud Guía del usuario Ampliación de los recursos de VPC a las zonas locales de AWS 72 Subredes en AWS Outposts 72

Amazon Virtual Private CloudGuía del usuario

Amazon Virtual Private Cloud Guía del usuario

Amazon Virtual Private Cloud: Guía del usuarioCopyright © 2020 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.

Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's,in any manner that is likely to cause confusion among customers, or in any manner that disparages or discreditsAmazon. All other trademarks not owned by Amazon are the property of their respective owners, who may or may notbe affiliated with, connected to, or sponsored by Amazon.


Table of Contents¿Qué es Amazon VPC? ...................................................................................................................... 1

Conceptos de Amazon VPC ......................................................................................................... 1Acceso a Amazon VPC ............................................................................................................... 1Precios de Amazon VPC ............................................................................................................. 1Límites de Amazon VPC ............................................................................................................. 2Recursos de Amazon VPC .......................................................................................................... 2Conformidad con DSS de PCI ...................................................................................................... 3

Funcionamiento de las VPC de Amazon ................................................................................................ 4Conceptos de Amazon VPC ......................................................................................................... 1

VPC y subredes ................................................................................................................. 4Plataformas admitidas ......................................................................................................... 4VPC predeterminadas y no predeterminadas .......................................................................... 5Acceso a Internet ............................................................................................................... 5Acceso a redes corporativas o domésticas ............................................................................. 8Acceso a servicios a través de AWS PrivateLink ..................................................................... 9Consideraciones sobre la red global privada de AWS ............................................................. 10

Introducción ..................................................................................................................................... 11Introducción a la utilización de IPv4 ............................................................................................. 11

Paso 1: Creación de la VPC .............................................................................................. 12Paso 2: Creación de un grupo de seguridad ......................................................................... 14Paso 3: Lanzamiento de una instancia en su VPC ................................................................. 15Paso 4: Asignación de una dirección IP elástica a su instancia ................................................ 16Paso 5: Eliminación .......................................................................................................... 16

Introducción a la utilización de IPv6 ............................................................................................. 17Paso 1: Creación de la VPC .............................................................................................. 17Paso 2: Creación de un grupo de seguridad ......................................................................... 20Paso 3: Lanzamiento de una instancia ................................................................................. 21

Configuraciones del asistente de Consola de Amazon VPC ............................................................ 22VPC con una única subred pública ...................................................................................... 22VPC con subredes privadas y públicas (NAT) ....................................................................... 27VPC con subredes públicas y privadas y acceso de AWS Site-to-Site VPN ................................ 37VPC solo con una subred privada y acceso de AWS Site-to-Site VPN ....................................... 46

Ejemplos de VPC ............................................................................................................................. 51Ejemplo: compartir subredes públicas y privadas ........................................................................... 52Ejemplo: servicios que utilizan AWS PrivateLink e interconexión de VPC ........................................... 53

Ejemplo: el proveedor de servicios configura el servicio .......................................................... 53Ejemplo: el consumidor de servicios configura el acceso ......................................................... 54Ejemplo: el proveedor de servicios configura un servicio que abarque varias regiones .................. 55Ejemplo: el consumidor de servicios configura el acceso entre regiones .................................... 55

Ejemplo: Creación de una VPC de IPv4 y de subredes utilizando la AWS CLI .................................... 56Paso 1: Creación de una VPC y subredes ............................................................................ 57Paso 2: Creación de su subred pública ................................................................................ 57Paso 3: Lanzamiento de una instancia en su subred .............................................................. 59Paso 4: Eliminación .......................................................................................................... 61

Ejemplo: Creación de una VPC de IPv6 y de subredes utilizando la AWS CLI .................................... 61Paso 1: Creación de una VPC y subredes ............................................................................ 62Paso 2: Configuración de una subred pública ........................................................................ 63Paso 3: Configuración de una subred privada de solo salida .................................................... 65Paso 4: Modificación del comportamiento de las direcciones IPv6 de las subredes ...................... 66Paso 5: Lanzamiento de una instancia en su subred pública .................................................... 66Paso 6: Lanzamiento de una instancia en su subred privada ................................................... 68Paso 7: Eliminación .......................................................................................................... 69

VPC y subredes ............................................................................................................................... 71Conceptos básicos de VPC y subredes ........................................................................................ 71

iii


Ampliación de los recursos de VPC a las zonas locales de AWS ..................................................... 74Subredes en AWS Outposts ....................................................................................................... 74Tamaño de subred y VPC .......................................................................................................... 75

Tamaño de subred Y VPC para direcciones IPv4 .................................................................. 75Adición de bloques de CIDR IPv4 a una VPC ....................................................................... 76Tamaño de subred Y VPC para direcciones IPv6 .................................................................. 80

Direccionamiento de la subred .................................................................................................... 80Seguridad de la subred ............................................................................................................. 81Uso de VPC y subredes ............................................................................................................ 81

Creación de una VPC ....................................................................................................... 82Creación de una subred en la VPC ..................................................................................... 83Asociación de un bloque de CIDR IPv4 secundario con su VPC ............................................... 84Asociación de un bloque de CIDR IPv6 a su VPC ................................................................. 84Asociación de un bloque de CIDR IPv6 a su subred .............................................................. 85Lanzamiento de una instancia en su subred ......................................................................... 85Eliminación de su subred ................................................................................................... 86Desvinculación de un bloque de CIDR IPv4 de su VPC .......................................................... 86Anulación de la asociación de un bloque de CIDR IPv6 a su VPC o subred ................................ 87Eliminación de su VPC ...................................................................................................... 88

Trabajar con VPC compartidas ................................................................................................... 88Requisitos previos para las VPC compartidas ....................................................................... 89Cómo compartir una subred ............................................................................................... 89Dejar de compartir una subred compartida ........................................................................... 90Identificación del propietario de una subred compartida .......................................................... 90Permisos para las subredes compartidas .............................................................................. 90Facturación y medición para el propietario y los participantes .................................................. 91Servicios no admitidos para las subredes compartidas ............................................................ 91Limitaciones ..................................................................................................................... 91

VPC predeterminada y subredes predeterminadas ................................................................................. 93Componentes de VPC predeterminados ....................................................................................... 93

Subredes predeterminadas ................................................................................................. 94Disponibilidad y plataformas compatibles ...................................................................................... 95

Detección de plataformas compatibles y comprobación de si tiene una VPC predeterminada ......... 96Visualización de la VPC y las subredes predeterminadas ................................................................ 96Lanzamiento de una instancia EC2 en su VPC predeterminada ....................................................... 97

Lanzamiento de una instancia EC2 mediante la consola ......................................................... 97Lanzamiento de una instancia EC2 mediante la línea de comandos .......................................... 98

Eliminación de sus subredes predeterminadas y de la VPC predeterminada ....................................... 98Creación de una VPC predeterminada ......................................................................................... 98Creación de una subred predeterminada ...................................................................................... 99

Direcciones IP ................................................................................................................................ 101Direcciones IPv4 privadas ........................................................................................................ 102Direcciones IPv4 públicas ......................................................................................................... 103Direcciones IPv6 ..................................................................................................................... 103Comportamiento de las direcciones IP de su subred ..................................................................... 104Uso de direcciones IP .............................................................................................................. 104

Modificación del atributo de direcciones IPv4 públicas de su subred ........................................ 105Modificación del atributo de direcciones IPv6 de su subred .................................................... 105Asignación de una dirección IPv4 pública durante el lanzamiento de la instancia ....................... 105Asignación de una dirección IPv6 durante el lanzamiento de la instancia .................................. 106Asignación de una dirección IPv6 a una instancia ................................................................ 107Anulación de la asignación de una dirección IPv6 de una instancia ......................................... 108Información general de API y comandos ............................................................................. 108

Migración a IPv6 ..................................................................................................................... 109Ejemplo: habilitación de IPv6 en una VPC con una subred privada y pública ............................. 110Paso 1: Asociación de un bloque de CIDR IPv6 a su VPC y sus subredes ................................ 112Paso 2: Actualización de las tablas de ruteo ....................................................................... 113

iv


Paso 3: Actualización de las reglas del grupo de seguridad ................................................... 113Paso 4: Cambio del tipo de instancia ................................................................................. 114Paso 5: Asignación de direcciones IPv6 a sus instancias ...................................................... 115Paso 6: (opcional) Configuración de IPv6 en sus instancias ................................................... 116

Seguridad ...................................................................................................................................... 122Protección de los datos ............................................................................................................ 122

Privacidad del tráfico entre redes ...................................................................................... 123Identity and Access Management .............................................................................................. 125

Público .......................................................................................................................... 126Autenticación con identidades ........................................................................................... 126Administración de acceso mediante políticas ....................................................................... 128Funcionamiento de Amazon VPC con IAM .......................................................................... 129Ejemplos de política ........................................................................................................ 133Solución de problemas ..................................................................................................... 139

Registro y monitorización ......................................................................................................... 141Logs de flujo de VPC ...................................................................................................... 141

Resiliencia .............................................................................................................................. 165Validación de la conformidad .................................................................................................... 166Grupos de seguridad ............................................................................................................... 166

Conceptos básicos de los grupos de seguridad ................................................................... 167Grupo de seguridad predeterminado para su VPC ................................................................ 168Reglas del grupo de seguridad ......................................................................................... 169Diferencias entre los grupos de seguridad para EC2-Classic y EC2-VPC ................................. 170Uso de grupos de seguridad ............................................................................................. 171

ACL de red ............................................................................................................................ 175Conceptos básicos de las ACL de red ................................................................................ 175Reglas de ACL de red ..................................................................................................... 176ACL de red predeterminada .............................................................................................. 176ACL de red personalizada ................................................................................................ 177ACL de red personalizada y otros servicios de AWS ............................................................ 182Puertos efímeros ............................................................................................................. 183Uso de ACL de red ......................................................................................................... 183Ejemplo: control del acceso a las instancias en una subred ................................................... 186Información general de API y comandos ............................................................................. 190

Prácticas recomendadas .......................................................................................................... 190Recursos adicionales ....................................................................................................... 191Reglas de ACL de red recomendadas para su VPC ............................................................. 191Reglas recomendadas para una VPC con una única subred pública ........................................ 191Reglas recomendadas para una VPC con subredes públicas y privadas (NAT) .......................... 194Reglas recomendadas para una VPC con subredes públicas y privadas y acceso de AWS Site-to-Site VPN .................................................................................................................... 202Reglas recomendadas para una VPC con una única subred privada y acceso a AWS VPN desitio a sitio ..................................................................................................................... 208

Componentes de redes de VPC ........................................................................................................ 211Interfaces de red ..................................................................................................................... 211Tablas de ruteo ...................................................................................................................... 212

Conceptos de las tablas de ruteo ...................................................................................... 212Cómo funcionan las tablas de ruteo ................................................................................... 212Prioridad de ruta ............................................................................................................. 218Opciones de direccionamiento ........................................................................................... 219Uso de las tablas de ruteo ............................................................................................... 226

Puertos de enlace a Internet ..................................................................................................... 233Habilitación del acceso a Internet ...................................................................................... 233Creación de una VPC con un puerto de enlace a Internet ..................................................... 235

Gateways de Internet de solo salida .......................................................................................... 239Conceptos básicos de las gateways de Internet de solo salida ............................................... 239Uso de gateways de Internet de solo salida ........................................................................ 240

v


Información general de API y CLI ...................................................................................... 242NAT ...................................................................................................................................... 242

Puerta de enlace NAT ..................................................................................................... 243Instancias NAT ............................................................................................................... 261Comparación de las instancias NAT con las gateways NAT ................................................... 269

Conjuntos de opciones de DHCP .............................................................................................. 271Información general acerca de los conjuntos de opciones de DHCP ........................................ 271Servidor DNS de Amazon ................................................................................................ 272Cambio de las opciones de DHCP ..................................................................................... 273Utilización de conjuntos de opciones de DHCP .................................................................... 273Información general de API y comandos ............................................................................. 275

DNS ...................................................................................................................................... 276Nombres de host DNS ..................................................................................................... 276Compatibilidad de la VPC con DNS ................................................................................... 277Cuotas de DNS .............................................................................................................. 278Visualización de nombres de host DNS para su instancia EC2 ............................................... 278Visualización y actualización de la compatibilidad de DNS para su VPC ................................... 279Utilización de zonas hospedadas privadas .......................................................................... 280

Interconexión de VPC .............................................................................................................. 280Direcciones IP elásticas ........................................................................................................... 281

Conceptos básicos de las direcciones IP elásticas ............................................................... 281Uso de direcciones IP elásticas ......................................................................................... 282Información general de API y CLI ...................................................................................... 284

ClassicLink ............................................................................................................................. 284Servicios de punto de enlace de la VPC y Puntos de conexión de la VPC (AWS PrivateLink) ....................... 286

Conceptos de puntos de enlace de VPC .................................................................................... 286Uso de los puntos de enlace de la VPC ..................................................................................... 286Puntos de conexión de la VPC ................................................................................................. 287

Puntos de enlace de interfaz ............................................................................................ 288Puntos de enlace de gateway ........................................................................................... 302Control del acceso a los servicios con Puntos de conexión de la VPC ..................................... 317Eliminación de un Punto de enlace VPC ............................................................................. 318

Servicios de punto de enlace de la VPC (AWS PrivateLink) ........................................................... 319Información general ......................................................................................................... 319Consideraciones sobre zonas de disponibilidad de servicio de punto de enlace ......................... 321Nombres de DNS del servicio de punto de enlace ................................................................ 321Conexión a centros de datos locales .................................................................................. 293Uso de Proxy Protocol para la información de conexión ........................................................ 322Limitaciones de los servicios de punto de enlace ................................................................. 322Creación de una configuración de servicio de punto de conexión de VPC ................................. 323Concesión y retirada de permisos para el servicio de punto de enlace ..................................... 324Cambio de los Balanceador de carga de red y la configuración de aceptación ........................... 326Aceptación y rechazo de solicitudes de conexión a través de un punto de enlace de interfaz ........ 327Creación y administración de una notificación para un servicio de punto de conexión ................. 328Añadir o eliminar etiquetas del servicio de punto de enlace de la VPC ..................................... 330Eliminación de una configuración de servicio de punto de enlace ............................................ 331

Nombre de DNS privado .......................................................................................................... 331Consideraciones sobre la verificación de nombres de dominio ................................................ 332Verificación de nombres de DNS privados de servicio de punto de enlace de la VPC .................. 333Modificación de un nombre de DNS privado de servicio de punto de enlace existente ................. 334Visualización de la configuración de nombres de DNS privados de servicio de punto de enlace .... 335Inicio manual de la verificación de dominio de nombres de DNS privados de servicio de punto deenlace. ........................................................................................................................... 335Eliminación de un nombre de DNS privado de servicio de punto de enlace ............................... 336Registros TXT de verificación de dominio de nombres de DNS privados .................................. 336Solución de problemas comunes de verificación de dominio .................................................. 338

Conexiones de VPN ........................................................................................................................ 341

vi


Cuotas ........................................................................................................................................... 342VPC y subredes ...................................................................................................................... 342DNS ...................................................................................................................................... 342Direcciones IP elásticas (IPv4) .................................................................................................. 342Gateways ............................................................................................................................... 343ACL de red ............................................................................................................................ 343Interfaces de red ..................................................................................................................... 344Tablas de ruteo ...................................................................................................................... 344Grupos de seguridad ............................................................................................................... 345Interconexiones de VPC ........................................................................................................... 345Puntos de conexión de la VPC ................................................................................................. 346Conexiones de AWS Site-to-Site VPN ........................................................................................ 346Uso compartido de VPC ........................................................................................................... 346

Historial de revisión ......................................................................................................................... 348

vii

Amazon Virtual Private Cloud Guía del usuarioConceptos de Amazon VPC

¿Qué es Amazon VPC?Amazon Virtual Private Cloud (Amazon VPC) le permite lanzar recursos de AWS en una red virtual quehaya definido. Dicha red virtual es prácticamente idéntica a las redes tradicionales que se utilizan en suspropios centros de datos, con los beneficios que supone utilizar la infraestructura escalable de AWS.

Conceptos de Amazon VPCAmazon VPC es la capa de red de Amazon EC2. Si no conoce Amazon EC2, consulte ¿Qué es AmazonEC2? en la Guía del usuario de Amazon EC2 para instancias de Linux para obtener información general.

A continuación se enumeran los conceptos clave de las VPC:

• Una nube virtual privada (VPC) es una red virtual dedicada para su cuenta de AWS.• Una subred es un rango de direcciones IP en su VPC.• Las tablas de ruteo contienen conjuntos de reglas, denominadas rutas, que se utilizan para determinar

dónde se dirige el tráfico de red.• Una gateway de Internet es un componente de la VPC de escalado horizontal, redundante y de alta

disponibilidad que permite la comunicación entre las instancias de su VPC e Internet. Por lo tanto, noplantea riesgos de disponibilidad ni restricciones de ancho de banda para el tráfico de red.

• Un punto de enlace de la VPC le permite conectar de forma privada la VPC a los servicios admitidosde AWS y a servicios de punto de enlace de la VPC basados en PrivateLink sin necesidad de unagateway de Internet, un dispositivo NAT, una conexión de VPN o una conexión de AWS Direct Connect.Las instancias de su VPC no necesitan direcciones IP públicas para comunicarse con los recursos delservicio. El tráfico entre su VPC y el servicio no sale de la red de Amazon.

Acceso a Amazon VPCPuede crear, acceder y administrar las VPC con cualquiera de las siguientes interfaces:

• Consola de administración de AWS: proporciona una interfaz web que se puede utilizar para obteneracceso a las VPC.

• Interfaz de línea de comandos de AWS (AWS CLI): proporciona comandos para numerosos servicios deAWS, incluido Amazon VPC, y es compatible con Windows, Mac y Linux. Para obtener más información,consulte AWS Command Line Interface.

• SDK de AWS: proporcionan API específicas de cada lenguaje y se encargan de muchos de los detallesde la conexión, tales como el cálculo de firmas, el control de reintentos de solicitud y el control deerrores. Para obtener más información, consulte SDK de AWS.

• API de consulta: proporciona acciones de API de nivel bajo a las que se llama mediante solicitudesHTTPS. Utilizar la API de consulta es la forma más directa de obtener acceso a Amazon VPC, perorequiere que la aplicación controle niveles de detalle de bajo nivel, tales como la generación del códigohash para firmar la solicitud y el control de errores. Para obtener más información, consulte la AmazonEC2 API Reference.

Precios de Amazon VPCNo hay cargo adicional por la utilización de Amazon VPC. Solo pagará las tarifas estándar de las instanciasy las demás características de Amazon EC2 que utilice. La utilización de conexiones de Site-to-Site VPN y

1

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/concepts.html


https://aws.amazon.com/cli/

http://aws.amazon.com/tools/#SDKs

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/


Amazon Virtual Private Cloud Guía del usuarioLímites de Amazon VPC

de gateway NAT está sujeta a cargos. Para obtener más información, consulte Precios de Amazon VPC yPrecios de Amazon EC2.

Límites de Amazon VPCExisten cuotas en cuanto al número de componentes de Amazon VPC que puede aprovisionar. Puedesolicitar un aumento de algunas de estas cuotas. Para obtener más información, consulte Cuotas deAmazon VPC (p. 342).

Recursos de Amazon VPCPara obtener una introducción práctica a Amazon VPC, complete Introducción a Amazon VPC (p. 11).Este ejercicio le guiará por los pasos necesarios para crear una VPC no predeterminada con una subredpública y lanzar una instancia en su subred.

Si dispone de una VPC predeterminada y desea lanzar instancias en su VPC sin realizar ningunaconfiguración adicional en su VPC, consulte Lanzamiento de una instancia EC2 en su VPCpredeterminada (p. 97).

Para obtener información acerca de los escenarios básicos de Amazon VPC, consulte Ejemplos deVPC (p. 51). También puede configurar su VPC y sus subredes de otras formas para adaptarlas a susnecesidades.

En la tabla siguiente se enumeran todos los recursos relacionados que podrían resultarle útiles cuandotrabaje con este servicio.

Recurso Descripción

Opciones de conectividad de AmazonVirtual Private Cloud

Proporciona información general de las opciones deconectividad de red.

Guía de interconexión Describe situaciones de conexión de emparejamiento de VPCy las configuraciones de emparejamiento compatibles.

Replicación de tráfico Describe las sesiones, los filtros y los objetivos de replicaciónde tráfico, y ayuda a los administradores a configurarlos.

Transit Gateways (Gateways de tránsito) Describe las gateways de tránsito y ayuda a losadministradores de red a configurarlas.

Guía de Transit Gateway NetworkManager

Describe Transit Gateway Network Manager y permiteconfigurar y monitorizar una red global.

Amazon VPC forum Foro de la comunidad en el que se tratan aspectos técnicosrelacionados con Amazon VPC.

Centro de recursos introductorios Información que le ayudará a empezar a trabajar con AWS.

Centro de AWS Support Página de inicio de AWS Support.

Contacto Punto de contacto central para consultas relacionadas con lafacturación, las cuentas y los eventos de AWS.

2

https://aws.amazon.com/vpc/pricing/

https://aws.amazon.com/ec2/pricing/

https://docs.aws.amazon.com/aws-technical-content/latest/aws-vpc-connectivity-options/introduction.html

https://docs.aws.amazon.com/aws-technical-content/latest/aws-vpc-connectivity-options/introduction.html

https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html

https://docs.aws.amazon.com/vpc/latest/mirroring/what-is-traffic-mirroring.html

https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html

https://docs.aws.amazon.com/vpc/latest/tgw/what-is-network-manager.html

https://docs.aws.amazon.com/vpc/latest/tgw/what-is-network-manager.html

https://forums.aws.amazon.com/forum.jspa?forumID=58

https://aws.amazon.com/getting-started/

https://console.aws.amazon.com/support/home#/

https://aws.amazon.com/contact-us/

Amazon Virtual Private Cloud Guía del usuarioConformidad con DSS de PCI

Conformidad con DSS de PCIAmazon VPC admite el procesamiento, el almacenamiento y la transmisión de datos de tarjetas de créditopor parte de un comerciante o proveedor de servicios, y se ha validado por estar conforme con el Estándarde seguridad de los datos de la industria de las tarjetas de pago (DSS PCI). Para obtener más informaciónacerca de PCI DSS y sobre cómo solicitar una copia del Paquete de conformidad con PCI de AWS,consulte PCI DSS Nivel 1.

3

https://aws.amazon.com/compliance/pci-dss-level-1-faqs/

Amazon Virtual Private Cloud Guía del usuarioConceptos de Amazon VPC

Funcionamiento de las VPC deAmazon

Amazon Virtual Private Cloud (Amazon VPC) le permite lanzar recursos de AWS en una red virtual quehaya definido. Dicha red virtual es prácticamente idéntica a las redes tradicionales que se utilizan en suspropios centros de datos, con los beneficios que supone utilizar la infraestructura escalable de AWS.

Conceptos de Amazon VPCA medida que vaya utilizando Amazon VPC, comprenderá los conceptos clave de esta red virtual, así comolas similitudes y diferencias con respecto a sus propias redes. Esta sección proporciona una descripciónbreve de los conceptos clave de Amazon VPC.

Amazon VPC es la capa de red de Amazon EC2. Si no conoce Amazon EC2, consulte ¿Qué es AmazonEC2? en la Guía del usuario de Amazon EC2 para instancias de Linux para obtener información general.

Contenido• VPC y subredes (p. 4)• Plataformas admitidas (p. 4)• VPC predeterminadas y no predeterminadas (p. 5)• Acceso a Internet (p. 5)• Acceso a redes corporativas o domésticas (p. 8)• Acceso a servicios a través de AWS PrivateLink (p. 9)• Consideraciones sobre la red global privada de AWS (p. 10)

VPC y subredesUna nube virtual privada (VPC) es una red virtual dedicada para su cuenta de AWS. Esta infraestructura enla nube está aislada lógicamente de otras redes virtuales de la nube de AWS. Por lo tanto, puede lanzar asu VPC recursos de AWS como, por ejemplo, instancias de Amazon EC2. Puede especificar un intervalode direcciones IP para la VPC, añadir subredes, asociar grupos de seguridad y configurar tablas de ruteo.

Una subred es un rango de direcciones IP en su VPC. Puede lanzar recursos de AWS a cualquier subredque especifique. Utilice una subred pública para los recursos que deben conectarse a Internet y unasubred privada para los recursos que no dispondrán de conexión a Internet. Para obtener más informaciónacerca de las subredes públicas y privadas, consulte Conceptos básicos de VPC y subredes (p. 71).

Para proteger los recursos de AWS de cada subred, puede utilizar varias capas de seguridad, incluidosgrupos de seguridad y las listas de control de acceso (ACL) a la red. Para obtener más información,consulte Privacidad del tráfico entre redes en Amazon VPC (p. 123).

Plataformas admitidasLa versión original de Amazon EC2 admitía una red plana y sencilla que se compartía con los demásclientes. Dicha red se conocía como plataforma EC2-Classic. Las cuentas de AWS anteriores siguen

4



Amazon Virtual Private Cloud Guía del usuarioVPC predeterminadas y no predeterminadas

siendo compatibles con esta plataforma y pueden lanzar instancias en EC2-Classic o en VPC. Lascuentas creadas a partir del 04/12/2013 solo son compatibles con EC2-VPC. Para obtener másinformación, consulte Detección de plataformas compatibles y comprobación de si tiene una VPCpredeterminada (p. 96).

El lanzamiento de instancias en una VPC en lugar de en EC2-Classic, permite realizar lo siguiente:

• Asignar direcciones IPv4 privadas a las instancias que persisten tras los inicios y las paradas.• Asociar de manera opcional un bloque de CIDR IPv6 a su VPC y asignar direcciones IPv6 a sus

instancias.• Asignar varias direcciones IP a sus instancias.• Definir interfaces de red y adjuntar una o varias interfaces de red a sus instancias.• Cambiar la pertenencia al grupo de seguridad de las instancias mientras se están ejecutando• Controlar el tráfico saliente de las instancias (filtrado de tráfico saliente), además de controlar el tráfico

entrante a las instancias (filtrado de tráfico entrante)• Añadir una capa de control de acceso adicional a las instancias como listas de control de acceso (ACL)

de red• Ejecutar sus instancias en hardware de un solo propietario.

VPC predeterminadas y no predeterminadasSi su cuenta solo es compatible con la plataforma EC2-VPC, esta incluirá una VPC predeterminada quetiene una subred predeterminada en cada zona de disponibilidad. Las VPC predeterminadas ofrecen losbeneficios de las características avanzadas de EC2-VPC y están listas para el uso. Si tiene una VPCpredeterminada y no especifica una subred al lanzar una instancia, la instancia se lanzará en la VPCpredeterminada. No hace falta tener conocimientos sobre la VPC de Amazon para lanzar instancias en laVPC predeterminada.

Independientemente de las plataformas con las que sea compatible su cuenta, podrá crear su propia VPCy configurarla en función de sus necesidades. Estas VPC se conocen como VPC no predeterminadas.Las subredes creadas en la VPC no predeterminada y las subredes adicionales que cree en su VPCpredeterminada se denominan subredes no predeterminadas.

Acceso a InternetEs posible controlar el modo en que las instancias lanzadas en la VPC tienen acceso a los recursosexternos a la VPC.

La VPC predeterminada incluye un gateway de Internet, y las subredes predeterminadas son subredespúblicas. Las instancias que se lanzan en subredes predeterminadas tienen dirección IPv4 privada ydirección IPv4 pública. Dichas instancias pueden comunicarse con Internet a través del gateway deInternet. Un gateway de Internet permite que las instancias se conecten a Internet a través del límite de lared de Amazon EC2.

5

Amazon Virtual Private Cloud Guía del usuarioAcceso a Internet

De forma predeterminada, las instancias que se lanzan en subredes no predeterminadas disponende dirección IPv4 privada; sin embargo, no disponen de dirección IPv4 pública a no ser que asigneespecíficamente una en el lanzamiento o que modifique el atributo de dirección IP pública de la subred.Dichas instancias pueden comunicarse entre sí, pero no pueden tener acceso a Internet.

6

Amazon Virtual Private Cloud Guía del usuarioAcceso a Internet

Puede habilitar el acceso a Internet para una instancia que se haya lanzado en una subred nopredeterminada. Para ello, adjunte un gateway de Internet a su VPC (siempre que su VPC no sea una VPCpredeterminada) y asocie una dirección IP elástica a la instancia.

7

Amazon Virtual Private Cloud Guía del usuarioAcceso a redes corporativas o domésticas

De manera alternativa, para permitir que una instancia de su VPC inicie conexiones salientes a Internet ybloquear las conexiones entrantes no deseadas, puede utilizar un dispositivo de conversión de direccionesde red (NAT) para el tráfico IPv4. El dispositivo NAT asigna varias direcciones IPv4 privadas a una únicadirección IPv4 pública. Los dispositivos NAT tienen dirección IP elástica y están conectados a Internet através de gateways de Internet. Puede conectar una instancia de una subred privada a Internet a travésdel dispositivo NAT, que direcciona el tráfico desde la instancia al gateway de Internet y direcciona lasrespuestas a la instancia.

Para obtener más información, consulte NAT (p. 242).

Si lo desea, puede asociar un bloque de CIDR IPv6 a la VPC y asignar direcciones IPv6 a sus instancias.Esto permite a dichas instancias conectarse a Internet mediante IPv6 a través de un gateway de Internet.De manera alternativa, las instancias podrán iniciar conexiones salientes a Internet mediante IPv6 a travésde un gateway de Internet de solo salida. Para obtener más información, consulte Gateways de Internetde solo salida (p. 239). Puesto que el tráfico IPv6 está aislado del tráfico IPv4, las tablas de ruteo debenincluir rutas separadas para el tráfico IPv6.

Acceso a redes corporativas o domésticasDe manera opcional, puede conectar su VPC a su propio centro de datos corporativo utilizando unaconexión de AWS Site-to-Site VPN de IPsec y, de este modo, convertir la nube de AWS en una ampliaciónde su centro de datos.

Las conexiones de Site-to-Site VPN constan de una gateway privada virtual asociada a su VPC y de unagateway de cliente que se encuentra en su centro de datos. La gateway privada virtual es el concentrador

8

Amazon Virtual Private Cloud Guía del usuarioAcceso a servicios a través de AWS PrivateLink

VPN que se encuentra en el extremo de Amazon de la conexión de Site-to-Site VPN. La gateway de clientees un dispositivo físico o de software en su extremo de la conexión de Site-to-Site VPN.

Para obtener más información, consulte ¿Qué es AWS Site-to-Site VPN? en la Guía del usuario de AWSSite-to-Site VPN.

Acceso a servicios a través de AWS PrivateLinkAWS PrivateLink es una tecnología escalable y de alta disponibilidad que le permite conectar su VPC deforma privada con servicios de AWS, servicios alojados en otras cuentas de AWS (servicios de punto deenlace de VPC) y servicios compatibles de socios de AWS Marketplace. Para comunicar con el servicio nonecesita un gateway de Internet, un dispositivo NAT, una dirección IP pública, una conexión a AWS DirectConnect ni una conexión de AWS Site-to-Site VPN. El tráfico entre su VPC y el servicio no sale de la redde Amazon.

Para usar AWS PrivateLink, cree un punto de conexión de VPC de interfaz para un servicio de su VPC.Con ello se creará una interfaz de red elástica en su subred con una dirección IP privada que sirve comopunto de entrada al tráfico dirigido al servicio. Para obtener más información, consulte Puntos de conexiónde la VPC (p. 287).

9

https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html

Amazon Virtual Private Cloud Guía del usuarioConsideraciones sobre la red global privada de AWS

Puede crear su propio servicio basado en AWS PrivateLink (servicio de punto de enlace) y permitir queotros clientes de AWS obtengan acceso a él. Para obtener más información, consulte Servicios de puntode enlace de la VPC (AWS PrivateLink) (p. 319).

Consideraciones sobre la red global privada de AWSAWS proporciona una red global privada de alto rendimiento y baja latencia que ofrece un entorno deinformática en la nube seguro para satisfacer sus necesidades de red. Las regiones de AWS estánconectadas a múltiples proveedores de servicios de Internet (ISP), así como a una red troncal globalprivada, lo que proporciona un mejor rendimiento de red para el tráfico entre regiones enviado por losclientes.

Tenga en cuenta las siguientes consideraciones:

• El tráfico que circula en una zona de disponibilidad, o entre las zonas de disponibilidad de todas lasregiones, se transfiere a través de la red global privada de AWS.

• El tráfico que circula entre las regiones siempre se transfiere a través de la red global privada de AWS,salvo en las Regiones de China.

Existen diversos factores que pueden causar la pérdida de paquetes de red, incluyendo las colisiones deflujos de red, los errores de nivel inferior (capa 2) y otros errores de red. Creamos y utilizamos nuestrasredes para minimizar la pérdida de paquetes. Nos encargamos de medir las tasas de pérdida de paquetes(PLR) en todo el núcleo global que conecta las regiones de AWS. Operamos la red troncal para obtener unvalor de p99 de la tasa PLR por hora inferior al 0,0001 %.

10

Amazon Virtual Private Cloud Guía del usuarioIntroducción a la utilización de IPv4

Introducción a Amazon VPCPuede utilizar el asistente de Consola de Amazon VPC para empezar a crear cualquiera de las siguientesconfiguraciones de VPC no predeterminadas:

• Una única VPC con una subred pública: para obtener más información, consulte the section called “VPCcon una única subred pública” (p. 22).

• Una VPC con subredes públicas y privadas (NAT): para obtener más información, consulte the sectioncalled “VPC con subredes privadas y públicas (NAT)” (p. 27).

• Una VPC con subredes públicas y privadas y acceso a AWS Site-to-Site VPN: para obtener másinformación, consulte the section called “VPC con subredes públicas y privadas y acceso de AWS Site-to-Site VPN” (p. 37).

Para implementar esta opción, obtenga información acerca de su gateway de cliente y cree la VPC conel asistente de VPC. El asistente de VPC le creará conexión de Site-to-Site VPN con una gateway decliente y una gateway privada virtual. Para obtener más información, consulte the section called “Puertosde enlace a Internet” (p. 233).

• Una VPC con solo una red pública y acceso a AWS Site-to-Site VPN: para obtener más información,consulte the section called “VPC solo con una subred privada y acceso de AWS Site-to-SiteVPN” (p. 46).

Para implementar esta opción, obtenga información acerca de su gateway de cliente y cree la VPC conel asistente de VPC. El asistente de VPC le creará conexión de Site-to-Site VPN con una gateway decliente y una gateway privada virtual. Para obtener más información, consulte the section called “Puertosde enlace a Internet” (p. 233).

Si necesita que los recursos de la VPC se comuniquen a través de IPv6, puede configurar una VPC con unbloque de CIDR IPv6 asociado. De lo contrario, configure una VPC con un bloque de CIDR IPv4 asociado.

Para obtener información acerca de cómo configurar el direccionamiento de IPv4, consulte the sectioncalled “Introducción a la utilización de IPv4” (p. 11).

Para obtener información acerca de cómo configurar el direccionamiento de IPv6, consulte the sectioncalled “Introducción a la utilización de IPv6” (p. 17).

Introducción a la utilización de IPv4 para AmazonVPC

Cree una VPC que admita las direcciones IPv4.

Note

Este ejercicio tiene por objetivo ayudarle a configurar rápidamente su propia VPC nopredeterminada. Si ya dispone de una VPC predeterminada y desea lanzar instancias en estaVPC (sin tener que crear o configurar una VPC nueva), consulte Lanzamiento de una instanciaEC2 en su VPC predeterminada. Si desea configurar una VPC no predeterminada compatible conIPv6, consulte Introducción a la utilización de IPv6 para Amazon VPC.

11

https://docs.aws.amazon.com/vpc/latest/userguide/default-vpc.html#launching-into

https://docs.aws.amazon.com/vpc/latest/userguide/default-vpc.html#launching-into

https://docs.aws.amazon.com/vpc/latest/userguide/get-started-ipv6.html

Amazon Virtual Private Cloud Guía del usuarioPaso 1: Creación de la VPC

Para completar este ejercicio, deberá realizar lo siguiente:

• Crear una VPC no predeterminada con una única subred pública. Las subredes le permiten agruparinstancias en función de sus necesidades operativas y de seguridad. Las subredes públicas sonsubredes que tienen acceso a Internet a través de un puerto de enlace a Internet.

• Cree un grupo de seguridad para su instancia que permita el tráfico solo a través de puertos específicos.• Lance una instancia de Amazon EC2 en su subred.• Asocie una dirección IP elástica a su instancia. Esto permite a la instancia obtener acceso a Internet.

Antes de utilizar Amazon VPC por primera vez, debe registrarse en Amazon Web Services (AWS). Alinscribirse, la cuenta de AWS se inscribe automáticamente en todos los servicios de AWS, incluidoAmazon VPC. Si todavía no ha creado una cuenta de AWS, vaya a https://aws.amazon.com/ y, acontinuación, elija Crear una cuenta gratuita.

Note

En este ejercicio se da por sentado que su cuenta solo es compatible con la plataforma deEC2-VPC. Si su cuenta también es compatible con la plataforma EC2-Classic más antigua,podrá realizar los pasos que se describen en este ejercicio; sin embargo, no dispondrá de VPCpredeterminada en su cuenta para compararla con la VPC no predeterminada. Para obtener másinformación, consulte Plataformas admitidas (p. 4).

Tareas• Paso 1: Creación de la VPC (p. 12)• Paso 2: Creación de un grupo de seguridad (p. 14)• Paso 3: Lanzamiento de una instancia en su VPC (p. 15)• Paso 4: Asignación de una dirección IP elástica a su instancia (p. 16)• Paso 5: Eliminación (p. 16)

Paso 1: Creación de la VPCEn este paso, utilizará el asistente de Amazon VPC en la consola de Amazon VPC para crear una VPC. Elasistente ejecuta los siguientes pasos por usted:

• Crea una VPC con un bloque de CIDR IPv4 /16 (una red con 65 536 direcciones IP privadas). Paraobtener más información acerca de la notación CIDR y del tamaño de las VPC, consulte Su VPC.

• Adjunta un puerto de enlace a Internet a la VPC. Para obtener más información acerca de las gatewaysde Internet, consulte Puertos de enlace a Internet.

• Crea una subred IPv4 de tamaño /24 (rango de 256 direcciones IP privadas) en la VPC.• Crea una tabla de ruteo personalizada y la asocia a su subred para que el tráfico pueda fluir entre la

subred y el puerto de enlace a Internet. Para obtener más información acerca de las tablas de ruteo,consulte Tablas de ruteo.

Note

Este ejercicio aborda el primer escenario del asistente para la creación de VPC. Para obtener másinformación acerca de otros escenarios, consulte Escenarios y ejemplos.

Para crear una VPC con el asistente para Amazon VPC

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

12

https://aws.amazon.com/

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#YourVPC

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenarios.html

https://console.aws.amazon.com/vpc/


2. En la barra de navegación, en la parte superior derecha, anote la región en la que va a crear la VPC.Asegúrese continuar trabajando en la misma región en el resto del ejercicio, ya que no podrá lanzaruna instancia en su VPC desde una región distinta. Para obtener más información, consulte Regionesy zonas de disponibilidad en la Guía del usuario de Amazon EC2 para instancias de Linux.

3. En el panel de navegación, elija VPC dashboard (Panel de VPC). En el panel, elija Launch VPCWizard (Lanzar asistente de VPC).

Note

No elija Your VPCs (Sus VPC) en el panel de navegación, ya que no podrá obtener acceso alasistente para la creación de VPC con el botón Create VPC (Crear VPC) de esta página.

4. Elija la opción para la configuración que desea implementar, por ejemplo VPC with a Single PublicSubnet (VPC con una única subred pública), y elija Select (Seleccionar)

5. En la página de configuración, escriba un nombre para su VPC en el campo VPC name como, porejemplo, my-vpc, y escriba un nombre para la subred en el campo Subnet name. Esto le ayudará aidentificar la VPC y la subred en la consola de Amazon VPC tras crearlas. Para este ejercicio, puededejar el resto de valores de configuración en la página y elegir Create VPC.

(Opcional) Si lo prefiere, puede modificar los valores de configuración como se indica a continuación yelegir Create VPC.

• IPv4 CIDR block muestra el rango de direcciones IPv4 que utilizará para su VPC (10.0.0.0/16)y el campo Public subnet's IPv4 CIDR muestra el rango de direcciones IPv4 que se utilizará parala subred (10.0.0.0/24). Si no desea utilizar los rangos de CIDR predeterminados, puedeespecificar los suyos propios. Para obtener más información, consulte VPC y subredes.

• La lista Availability Zone permite seleccionar la zona de disponibilidad en la que se va a crear lasubred. Puede dejar el valor No Preference (Sin preferencia) para permitir a AWS elegir una zonade disponibilidad. Para obtener más información, consulte Regiones y zonas de disponibilidad.

• En la sección Service endpoints (Puntos de enlace de servicio), podrá seleccionar una subredpara crear un punto de enlace de la VPC a Amazon S3 en la misma región. Para obtener másinformación, consulte Puntos de conexión de la VPC.

• La opción Enable DNS hostnames, cuando se establece en Yes, garantiza que las instancias quese lancen en su VPC recibirán un nombre de host DNS. Para obtener más información, consulteUtilización de DNS con su VPC.

• La opción Hardware tenancy permite seleccionar si las instancias lanzadas en su VPC se ejecutanen hardware compartido o dedicado. La selección de tenencia dedicada implica costos adicionales.Para obtener más información acerca de la propiedad de hardware, consulte Instancias dedicadasen la Guía del usuario de Amazon EC2 para instancias de Linux.

6. En una ventana de estado se muestra el trabajo en curso. Cuando haya terminado el trabajo, elija OKpara cerrar la ventana de estado.

7. La página Your VPCs muestra la VPC predeterminada y la VPC que acaba de crear. La VPC queacaba de crear es una VPC no predeterminada. Por lo tanto, la columna Default VPC muestra No.

Visualización de información acerca de su VPCUna vez creada la VPC, podrá ver información acerca de la subred, el puerto de enlace a Internety las tablas de ruteo. La VPC que ha creado tiene dos tablas de ruteo: una tabla de ruteo principalpredeterminada para todas las VPC y una tabla de ruteo personalizada que se creó con el asistente. Latabla de ruteo personalizada se asocia a su subred, lo que significa que las rutas de dicha tabla determinael modo en que fluye el tráfico de la subred. Si añade una nueva subred a su VPC, utiliza la tabla de ruteoprincipal de forma predeterminada.

Para ver la información de sus VPC


13

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-regions-availability-zones.html


https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#VPC_Sizing


https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html


Amazon Virtual Private Cloud Guía del usuarioPaso 2: Creación de un grupo de seguridad

2. En el panel de navegación, elija Your VPCs. Anote el nombre y el ID de la VPC que creó (consulte lascolumnas Name y VPC ID). Utilizará esta información más adelante para identificar los componentesasociados a su VPC.

3. En el panel de navegación, elija Subnets. La consola muestra la subred que se creó cuando creó suVPC. Puede identificar la subred por su nombre mediante la columna Name, o bien puede utilizar lainformación de VPC que obtuvo en el paso anterior y consultar la columna VPC.

4. En el panel de navegación, elija Internet Gateways. Encontrará el puerto de enlace a Internetvinculado a su VPC consultando la columna VPC, que muestra el ID y el nombre de la VPC (sicorresponde).

5. En el panel de navegación, elija Route Tables. La VPC tiene asociadas dos tablas de ruteo.Seleccione la tabla de ruteo personalizada (la columna Main muestra el valor No) y, a continuación,elija la pestaña Routes para mostrar la información de ruta en el panel de detalles:

• La primera fila de la tabla se corresponde con la ruta local, que permite que las instancias en la VPCse comuniquen. Esta ruta está presente en todas las tablas de ruteo y, por lo tanto, no se puedequitar.

• La segunda fila muestra la ruta que el asistente de Amazon VPC ha añadido para habilitar el flujodel tráfico con destino a una dirección IPv4 externa a la VPC (0.0.0.0/0) desde la subred a lagateway de Internet.

6. Seleccione la tabla de ruteo principal. Esta tabla de ruteo principal solamente tiene una ruta local.

Paso 2: Creación de un grupo de seguridadUn grupo de seguridad actúa como un firewall virtual para controlar el tráfico a las instancias que tieneasociadas. Para utilizar un grupo de seguridad, tiene que añadir las reglas entrantes que controlan eltráfico entrante a la instancia y las reglas salientes que controlan el tráfico saliente desde su instancia.Para asociar un grupo de seguridad a una instancia, debe especificar el grupo de seguridad al lanzarla instancia. Si añade y elimina reglas desde el grupo de seguridad, aplicamos automáticamente esoscambios a las instancias asociadas con el grupo de seguridad.

La VPC incluye un grupo de seguridad predeterminado. Las instancias no asociadas a ningún otro grupode seguridad durante el lanzamiento se asociarán al grupo de seguridad predeterminado. En este ejercicio,creará un nuevo grupo de seguridad, WebServerSG, y especificará dicho grupo de seguridad al lanzar unainstancia en su VPC.

Creación del grupo de seguridad WebServerSGPuede crear su grupo de seguridad mediante la consola de Amazon VPC.

Para crear el grupo de seguridad WebServerSG y añadir reglas

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Security Groups.3. Elija Create Security Group.4. En el campo Group name, escriba WebServerSG como nombre del grupo de seguridad y proporcione

una descripción. De manera opcional, puede utilizar el campo Name tag para crear una etiqueta parael grupo de seguridad con una clave de Name y un valor especificado.

5. Seleccione el ID de su VPC del menú VPC y, a continuación, elija Yes, Create.6. Seleccione el grupo de seguridad WebServerSG que acaba de crear (podrá ver su nombre en la

columna Group Name).7. En la pestaña Inbound Rules, elija Edit y use el procedimiento siguiente para añadir reglas para el

tráfico entrante:

a. Seleccione HTTP en la lista Type y escriba 0.0.0.0/0 en el campo Source.

14


Amazon Virtual Private Cloud Guía del usuarioPaso 3: Lanzamiento de una instancia en su VPC

b. Elija Add another rule, seleccione HTTPS en la lista Type y escriba 0.0.0.0/0 en el campoSource.

c. Elija Add another rule. Si va a lanzar una instancia de Linux, seleccione SSH en la lista Type, obien, si va a lanzar una instancia de Windows, seleccione RDP en la lista Type. Escriba el rangode direcciones IP públicas de la red en el campo Source. Si no conoce este rango de direcciones,puede utilizar 0.0.0.0/0 para este ejercicio.

Important

Si utiliza 0.0.0.0/0, permite que todas las direcciones IP tengan acceso a su instanciamediante SSH o RDP. Esto es aceptable para este pequeño ejercicio, pero constituyeuna práctica peligrosa en entornos de producción. En entornos de producción, seautorizaría el acceso a la instancia únicamente a una dirección IP o a un rango dedirecciones IP específico.

d. Seleccione Save.

Paso 3: Lanzamiento de una instancia en su VPCCuando se lanza una instancia EC2 en una VPC, debe especificar la subred en la que desea lanzar lainstancia. En este caso, lanzará una instancia en la subred pública de la VPC que ha creado. Utilizará elasistente para el lanzamiento de Amazon EC2 en la consola de Amazon EC2 para lanzar su instancia.

Para lanzar una instancia EC2 en una VPC

1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En la barra de navegación, en la parte superior derecha, asegúrese de seleccionar la misma región en

la que creó su VPC y su grupo de seguridad.3. En el panel, elija Launch Instance.4. En la primera página del asistente, elija la AMI que desea utilizar. Para este ejercicio, se recomienda

elegir una AMI de Amazon Linux o una AMI de Windows.5. En la página Choose an Instance Type, puede seleccionar la configuración de hardware y el tamaño

de la instancia que se va a lanzar. De forma predeterminada, el asistente selecciona el primer tipo deinstancia disponible en función de la AMI que seleccionó. Puede dejar la selección predeterminada y,a continuación, elegir Next: Configure Instance Details.

6. En la página Configure Instance Details, seleccione la VPC que creó en la lista Network y seleccionela subred desde la lista Subnet. Deje el resto de los valores predeterminados y omita las páginassiguientes del asistente hasta llegar a la página Add Tags.

7. En la página Add Tags, podrá asignar a su instancia la etiqueta Name. Por ejemplo,Name=MyWebServer. Esto le ayudará a identificar la instancia en la consola de Amazon EC2 traslanzarla. Elija Next: Configure Security Group cuando haya terminado.

8. En la página Configure Security Group, el asistente define automáticamente el grupo de seguridadx del asistente de lanzamiento para que pueda conectarse a la instancia. En su lugar, elija la opciónSelect an existing security group, seleccione el grupo WebServerSG que creó previamente y, acontinuación, elija Review and Launch.

9. En la página Review Instance Launch, compruebe los detalles de la instancia y, a continuación, elijaLaunch.

10. En el cuadro de diálogo Select an existing key pair or create a new key pair, puede elegir un par declaves existente o crear uno nuevo. Si decide crear un nuevo par de claves, asegúrese de descargarel archivo y almacenarlo en una ubicación segura. Necesitará el contenido de la clave privada paraconectarse a la instancia después de lanzarla.

Para lanzar la instancia, active la casilla de verificación de confirmación y, a continuación, elija LaunchInstances.

15

https://console.aws.amazon.com/ec2/

Amazon Virtual Private Cloud Guía del usuarioPaso 4: Asignación de una

dirección IP elástica a su instancia

11. En la página de confirmación, elija View Instances para ver su instancia en la página Instances.Seleccione su instancia y consulte sus detalles en la pestaña Description. El campo Private IPsmuestra la dirección IP privada asignada a su instancia desde el rango de direcciones IP de su subred.

Para obtener más información acerca de las opciones disponibles en el asistente para el lanzamiento deAmazon EC2, consulte Lanzar una instancia en la Guía del usuario de Amazon EC2 para instancias deLinux.

Paso 4: Asignación de una dirección IP elástica a suinstanciaEn el paso anterior lanzó su instancia en una subred pública: una subred con una ruta a un puerto deenlace a Internet. Sin embargo, la instancia de su subred también necesita una dirección IPv4 pública parapoder comunicarse con Internet. De forma predeterminada, las instancias de VPC no predeterminadasno tienen asignada ninguna dirección IPv4 pública. En este paso, asignará una dirección IP elástica asu cuenta para, a continuación, asociarla a su instancia. Para obtener más información acerca de lasdirecciones IP elásticas, consulte Direcciones IP elásticas.

Para indicar y asignar una dirección IP elástica

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Elastic IPs.3. Elija Allocate new address (Asignar nueva dirección) y, a continuación, seleccione Allocate (Asignar).

Note

Si su cuenta es compatible con EC2-Classic, elija primero VPC.4. Seleccione la dirección IP elástica de la lista, elija Actions y, a continuación, elija Associate Address.5. Para Resource type (Tipo de recurso), asegúrese de que se seleccione Instance (Instancia).

Seleccione su instancia de la lista Instance (Instancia). Elija Associate (Asociar) cuando hayaterminado.

Tras completar este procedimiento, ya será posible obtener acceso a su instancia desde Internet. Esposible conectarse a su instancia a través de su dirección IP elástica desde su red doméstica medianteSSH o a través del Escritorio remoto. Para obtener más información acerca de cómo conectarse a unainstancia de Linux, consulte Conexión con la instancia de Linux en la Guía del usuario de Amazon EC2para instancias de Linux. Para obtener más información acerca de cómo conectarse a una instancia deWindows, consulte Conexión con la instancia de Windows en la Guía del usuario de Amazon EC2 parainstancias de Windows.

Con esto se completa el ejercicio. Puede optar por seguir utilizando su instancia en su VPC, o bien, sino necesita la instancia, puede terminarla y liberar su dirección IP elástica para evitar incurrir en gastosadicionales. También puede eliminar su VPC. Tenga en cuenta que no se le cobrará por las VPC y loscomponentes de VPC creados en este ejercicio (como, por ejemplo, las subredes o las tablas de ruteo).

Paso 5: EliminaciónAntes de poder eliminar una VPC, debe finalizar las instancias que se estén ejecutando en esta. Puedeeliminar la VPC al utilizar la consola de VPC. La consola de VPC también desasocia y elimina cualquierrecurso asociado a la VPC como subredes, grupos de seguridad, ACL de redes, conjuntos de opciones deDHCP, tablas de ruteo y gateways de Internet.

Para terminar su instancia, liberar su dirección IP elástica y eliminar su VPC

1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

16

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/launching-instance.html

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html#vpc-eips


https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AccessingInstances.html

https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/connecting_to_windows_instance.html


Amazon Virtual Private Cloud Guía del usuarioIntroducción a la utilización de IPv6

2. En el panel de navegación, seleccione Instances (Instancias).3. Seleccione su instancia, elija Actions, seleccione Instance State y, a continuación, elija Terminate.4. En el cuadro de diálogo, expanda la sección Release attached Elastic IPs y active la casilla de

verificación que encontrará junto a la dirección IP elástica. Elija Yes, Terminate.5. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.6. En el panel de navegación, elija Your VPCs.7. Seleccione la VPC; elija Actions y luego elija Delete VPC.8. Cuando se le pida confirmación, seleccione Delete VPC (Eliminar VPC).

Introducción a la utilización de IPv6 para AmazonVPC

Cree una VPC que admita las direcciones IPv6.

Para completar este ejercicio, realice lo siguiente:

• Crear una VPC no predeterminada con un bloque de CIDR IPv6 y una única subred pública. Lassubredes le permiten agrupar instancias en función de sus necesidades operativas y de seguridad. Lassubredes públicas son subredes que tienen acceso a Internet a través de un puerto de enlace a Internet.

• Cree un grupo de seguridad para su instancia que permita el tráfico solo a través de puertos específicos.• Lanzar una instancia de Amazon EC2 en su subred y asociar una dirección IPv6 a dicha instancia

durante el lanzamiento. Las direcciones IPv6 son únicas de forma global y permiten que su instancia secomunique con Internet.

• Puede solicitar un bloque de CIDR IPv6 para la VPC. Al seleccionar esta opción, puede establecerel grupo de bordes de red, que es la ubicación desde la que anunciamos el bloque de CIDR IPv6.Establecer el grupo de bordes de red limita el bloque de CIDR a este grupo.

Para obtener más información acerca de las direcciones IPv4 e IPv6, consulte Direcciones IP en su VPC.

Antes de utilizar Amazon VPC por primera vez, debe registrarse en Amazon Web Services (AWS). Alinscribirse, la cuenta de AWS se inscribe automáticamente en todos los servicios de AWS, incluidoAmazon VPC. Si todavía no ha creado una cuenta de AWS, vaya a https://aws.amazon.com/ y elija Crearuna cuenta gratuita.

Tareas• Paso 1: Creación de la VPC (p. 17)• Paso 2: Creación de un grupo de seguridad (p. 20)• Paso 3: Lanzamiento de una instancia (p. 21)

Paso 1: Creación de la VPCEn este paso, utilizará el asistente de Amazon VPC en la consola de Amazon VPC para crear una VPC.Por defecto, el asistente ejecuta los siguientes pasos por usted:

• Crea una VPC con un bloque de CIDR IPv4 /16 y asocia un bloque de CIDR IPv6 /56 a la VPC. Paraobtener más información, consulte Su VPC. El tamaño del bloque de CIDR IPv6 es fijo (/56) y el rangode direcciones IPv6 se asigna automáticamente desde el grupo de direcciones IPv6 de Amazon (no esposible seleccionar el rango manualmente).

• Adjunta un puerto de enlace a Internet a la VPC. Para obtener más información acerca de las gatewaysde Internet, consulte Puertos de enlace a Internet.

17


https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html

https://aws.amazon.com/

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#YourVPC

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html


• Crea una subred con un bloque de CIDR IPv4 /24 y un bloque de CIDR IPv6 /64 en la VPC. El tamañodel bloque de CIDR IPv6 es fijo (/64).

• Crea una tabla de ruteo personalizada y la asocia a su subred para que el tráfico pueda fluir entre lasubred y el puerto de enlace a Internet. Para obtener más información acerca de las tablas de ruteo,consulte Tablas de ruteo.

• Asocia un bloque de CIDR IPv6 proporcionado por Amazon a un grupo de bordes de red. Para obtenermás información, consulte the section called “Ampliación de los recursos de VPC a las zonas locales deAWS” (p. 74).

Note

Este ejercicio aborda el primer escenario del asistente para la creación de VPC. Para obtener másinformación acerca de otros escenarios, consulte Escenarios y ejemplos.

Para crear una VPC en la zona de disponibilidad predeterminada

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En la barra de navegación, en la parte superior derecha, anote la región en la que va a crear la VPC.

Asegúrese continuar trabajando en la misma región en el resto del ejercicio, ya que no podrá lanzaruna instancia en su VPC desde una región distinta. Para obtener más información, consulte Regionesy zonas de disponibilidad en la Guía del usuario de Amazon EC2 para instancias de Linux.

3. En el panel de navegación, elija VPC dashboard (Panel de VPC) y elija Launch VPC Wizard (Lanzarasistente de VPC).

Note



5. En la página de configuración, escriba un nombre para su VPC en VPC name como, por ejemplo, my-vpc, y escriba un nombre para la subred en Subnet name. Esto le ayudará a identificar la VPC y lasubred en la consola de Amazon VPC tras crearlas.

6. En el bloque de CIDR IPv4, puede dejar los valores predeterminados (10.0.0.0/16) o especificarvalores propios. Para obtener más información, consulte la sección sobre el tamaño de VPC.

En IPv6 CIDR block, elija Amazon-provided IPv6 CIDR block.7. En Public subnet's IPv4 CIDR, puede dejar los valores predeterminados o especificar valores propios.

En Public subnet's IPv6 CIDR, elija Specify a custom IPv6 CIDR. Puede dejar la pareja de valoreshexadecimales predeterminados para la subred IPv6 (00).

8. Deje el resto de opciones de configuración predeterminadas de la página y elija Create VPC.9. En una ventana de estado se muestra el trabajo en curso. Cuando haya terminado el trabajo, elija OK

para cerrar la ventana de estado.10. La página Your VPCs muestra la VPC predeterminada y la VPC que acaba de crear.

Para crear una VPC en una zona local

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En la barra de navegación, en la parte superior derecha, anote la región en la que va a crear la VPC.

Asegúrese continuar trabajando en la misma región en el resto del ejercicio, ya que no podrá lanzaruna instancia en su VPC desde una región distinta. Para obtener más información, consulte Regionesy zonas de disponibilidad en la Guía del usuario de Amazon EC2 para instancias de Linux.

3. En el panel de navegación, elija VPC dashboard (Panel de VPC) y elija Launch VPC Wizard (Lanzarasistente de VPC).

18

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenarios.html









Note



5. En la página de configuración, escriba un nombre para su VPC en VPC name como, por ejemplo, my-vpc, y escriba un nombre para la subred en Subnet name. Esto le ayudará a identificar la VPC y lasubred en la consola de Amazon VPC tras crearlas.

6. (En CIDR IPv4 block, especifique el bloque de CIDR. Para obtener más información, consulte lasección sobre el tamaño de VPC.

7. En IPv6 CIDR block, elija Amazon-provided IPv6 CIDR block.8. En Network Border Group (Grupo de bordes de red), elija el grupo desde el cuál AWS anuncia las

direcciones IP.9. Deje el resto de opciones de configuración predeterminadas de la página y elija Create VPC.10. En una ventana de estado se muestra el trabajo en curso. Cuando haya terminado el trabajo, elija OK

para cerrar la ventana de estado.11. La página Your VPCs muestra la VPC predeterminada y la VPC que acaba de crear.

Visualización de información acerca de su VPCUna vez creada la VPC, podrá ver información acerca de la subred, el puerto de enlace a Internety las tablas de ruteo. La VPC que ha creado tiene dos tablas de ruteo: una tabla de ruteo principalpredeterminada para todas las VPC y una tabla de ruteo personalizada que se creó con el asistente.i Latabla de ruteo personalizada se asocia a su subred, lo que significa que las rutas de dicha tabla determinael modo en que fluye el tráfico de la subred. Si añade una nueva subred a su VPC, utiliza la tabla de ruteoprincipal de forma predeterminada.

Para ver la información de sus VPC

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Your VPCs. Anote el nombre y el ID de la VPC que creó (consulte las

columnas Name y VPC ID). Esta información se utiliza más adelante para identificar los componentesasociados a su VPC.

Cuando utiliza Zonas locales, la entrada IPv6 (Grupo de bordes de red) indica el grupo de bordes dered de la VPC (por ejemplo, us-west-2-lax-1).

3. En el panel de navegación, elija Subnets. La consola muestra la subred que se creó cuando creó suVPC. Puede identificar la subred por su nombre mediante la columna Name, o bien puede utilizar lainformación de VPC que obtuvo en el paso anterior y consultar la columna VPC.

4. En el panel de navegación, elija Internet Gateways. Encontrará el puerto de enlace a Internetvinculado a su VPC consultando la columna VPC, que muestra el ID y el nombre de la VPC (sicorresponde).

5. En el panel de navegación, elija Route Tables. La VPC tiene asociadas dos tablas de ruteo.Seleccione la tabla de ruteo personalizada (la columna Main muestra el valor No) y, a continuación,elija la pestaña Routes para mostrar la información de ruta en el panel de detalles:

• Las primeras dos filas de la tabla son las rutas locales que permiten que las instancias de la VPC secomuniquen mediante IPv4 e IPv6. Estas rutas no se pueden quitar.

• La siguiente fila muestra la ruta que el asistente de Amazon VPC ha añadido para habilitar el flujodel tráfico con destino a una dirección IPv4 externa a la VPC (0.0.0.0/0) desde la subred a lagateway de Internet.

19



Amazon Virtual Private Cloud Guía del usuarioPaso 2: Creación de un grupo de seguridad

• La siguiente fila muestra la ruta que permite el flujo del tráfico con destino a una dirección IPv6externa a la VPC (::/0) desde la subred al puerto de enlace a Internet.

6. Seleccione la tabla de ruteo principal. Esta tabla de ruteo principal solamente tiene una ruta local.

Paso 2: Creación de un grupo de seguridadUn grupo de seguridad actúa como un firewall virtual para controlar el tráfico a las instancias que tieneasociadas. Para utilizar un grupo de seguridad, añada las reglas entrantes que controlan el tráfico entrantea la instancia y las reglas salientes que controlan el tráfico saliente desde su instancia. Para asociar ungrupo de seguridad a una instancia, especifique el grupo de seguridad al lanzar la instancia.

La VPC incluye un grupo de seguridad predeterminado. Las instancias no asociadas a ningún otro grupode seguridad durante el lanzamiento se asociarán al grupo de seguridad predeterminado. En este ejercicio,creará un nuevo grupo de seguridad, WebServerSG, y especificará dicho grupo de seguridad al lanzar unainstancia en su VPC.

Creación del grupo de seguridad WebServerSGPuede crear su grupo de seguridad mediante la consola de Amazon VPC.

Para crear el grupo de seguridad WebServerSG y añadir reglas

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, seleccione Security Groups, Create Security Group.3. En Group name, escriba WebServerSG como nombre del grupo de seguridad y proporcione una

descripción. De manera opcional, puede utilizar el campo Name tag para crear una etiqueta para elgrupo de seguridad con una clave de Name y un valor especificado.

4. Seleccione el ID de su VPC del menú VPC y elija Yes, Create.5. Seleccione el grupo de seguridad WebServerSG que acaba de crear (podrá ver su nombre en la

columna Group Name).6. En la pestaña Inbound Rules, elija Edit y use el procedimiento siguiente para añadir reglas para el

tráfico entrante:

a. En Type, elija HTTP y escriba ::/0 en el campo Source.b. Elija Add another rule, en Type elija HTTPS y, a continuación, escriba ::/0 en el campo Source.c. Elija Add another rule. Si va a lanzar una instancia de Linux, elija SSH en Type, o bien, si va a

lanzar una instancia de Windows, elija RDP. Escriba el rango de direcciones IPv6 públicas de lared en el campo Source. Si no conoce este rango de direcciones, puede utilizar ::/0 para esteejercicio.

Important

Si utiliza ::/0, todas las direcciones IPv6 podrán obtener acceso a su instanciamediante SSH o RDP. Esto es aceptable para este pequeño ejercicio, pero constituyeuna práctica peligrosa en entornos de producción. En entornos de producción, debeautorizar el acceso a su instancia únicamente a una dirección IP o a un rango dedirecciones IP específico.

d. Seleccione Save.

20


Amazon Virtual Private Cloud Guía del usuarioPaso 3: Lanzamiento de una instancia

Paso 3: Lanzamiento de una instanciaCuando se lanza una instancia EC2 en una VPC, debe especificar la subred en la que desea lanzar lainstancia. En este caso, lanzará una instancia en la subred pública de la VPC que ha creado. Utilice elasistente para el lanzamiento de Amazon EC2 de la consola de Amazon EC2 para lanzar la instancia.

Para asegurarse de que su instancia esté disponible desde Internet, asigne una dirección IPv6 desde elrango de subred a la instancia durante el lanzamiento. Esto garantiza que su instancia se pueda comunicarcon Internet a través de IPv6.

Para lanzar una instancia EC2 en una VPC

Antes de lanzar la instancia EC2 en la VPC, configure la subred de la VPC para que asigneautomáticamente direcciones IP IPv6. Para obtener más información, consulte the section called“Modificación del atributo de direcciones IPv6 de su subred” (p. 105).

1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En la barra de navegación, en la parte superior derecha, asegúrese de seleccionar la misma región en

la que creó su VPC y su grupo de seguridad.3. En el panel, elija Launch Instance.4. En la primera página del asistente, elija la AMI que va a utilizar. Para este ejercicio, se recomienda

elegir una AMI de Amazon Linux o una AMI de Windows.5. En la página Choose an Instance Type, puede seleccionar la configuración de hardware y el tamaño

de la instancia que se va a lanzar. De forma predeterminada, el asistente selecciona el primertipo de instancia disponible en función de la AMI que ha seleccionado. Puede dejar la selecciónpredeterminada y elegir Next: Configure Instance Details.

6. En la página Configure Instance Details, seleccione la VPC que creó en la lista Network y seleccionela subred desde la lista Subnet.

7. En Auto-assign IPv6 IP, elija Enable.8. Deje el resto de los valores predeterminados y omita las páginas siguientes del asistente hasta llegar a

la página Add Tags.9. En la página Add Tags, podrá asignar a su instancia la etiqueta Name. Por ejemplo,

Name=MyWebServer. Esto le ayudará a identificar la instancia en la consola de Amazon EC2 traslanzarla. Elija Next: Configure Security Group cuando haya terminado.

10. En la página Configure Security Group, el asistente define automáticamente el grupo de seguridadx del asistente de lanzamiento para que pueda conectarse a la instancia. En su lugar, elija la opciónSelect an existing security group, seleccione el grupo WebServerSG que creó previamente y, acontinuación, elija Review and Launch.

11. En la página Review Instance Launch, compruebe los detalles de la instancia y elija Launch.12. En el cuadro de diálogo Select an existing key pair or create a new key pair, puede elegir un par de

claves existente o crear uno nuevo. Si decide crear un nuevo par de claves, asegúrese de descargarel archivo y almacenarlo en una ubicación segura. Necesitará el contenido de la clave privada paraconectarse a la instancia después de lanzarla.

Para lanzar la instancia, active la casilla de verificación de confirmación y elija Launch Instances.13. En la página de confirmación, elija View Instances para ver su instancia en la página Instances.

Seleccione su instancia y consulte sus detalles en la pestaña Description. El campo Private IPsmuestra la dirección IPv4 privada asignada a su instancia desde el rango de direcciones IPv4 de susubred. El campo IPv6 IPs muestra la dirección IPv6 privada asignada a su instancia desde el rangode direcciones IPv6 de su subred.

Para obtener más información acerca de las opciones disponibles en el asistente para el lanzamiento deAmazon EC2, consulte Lanzar una instancia en la Guía del usuario de Amazon EC2 para instancias deLinux.

21


https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/launching-instance.html

Amazon Virtual Private Cloud Guía del usuarioConfiguraciones del asistente de Consola de Amazon VPC

Es posible conectarse a su instancia a través de su dirección IPv6 desde su red doméstica mediante SSHo a través del Escritorio remoto. El equipo local debe tener una dirección IPv6 y estar configurado parausar IPv6. Para obtener más información acerca de cómo conectarse a una instancia de Linux, consulteConexión con la instancia de Linux en la Guía del usuario de Amazon EC2 para instancias de Linux. Paraobtener más información acerca de cómo conectarse a una instancia de Windows, consulte Conexión conla instancia de Windows en la Guía del usuario de Amazon EC2 para instancias de Windows.

Note

Si también desea que se pueda obtener acceso a su instancia a través de una dirección IPv4mediante Internet, SSH o RDP, debe asociar una dirección IP elástica (dirección IPv4 públicaestática) a su instancia y ajustar las reglas del grupo de seguridad para permitir el accesomediante IPv4. Para obtener más información, consulte Introducción a Amazon VPC (p. 11).

Configuraciones del asistente de Consola deAmazon VPC

El asistente de Consola de Amazon VPC ofrece las siguientes configuraciones:• VPC con una única subred pública (p. 22)• VPC con subredes privadas y públicas (NAT) (p. 27)• VPC con subredes públicas y privadas y acceso de AWS Site-to-Site VPN (p. 37)• VPC solo con una subred privada y acceso de AWS Site-to-Site VPN (p. 46)

VPC con una única subred públicaLa configuración de este escenario incluye una nube virtual privada (VPC) con una única subred y unpuerto de enlace a Internet para permitir la comunicación a través de Internet. Se recomienda estaconfiguración si necesita ejecutar aplicaciones web públicas y de una sola capa como, por ejemplo, blogs ositios web sencillos.

De forma opcional, este escenario también se puede configurar para IPv6: puede utilizar el asistentede VPC para crear una VPC y una subred con los bloques de CIDR de IPv6 asociados. Las instanciaslanzadas en la subred pública podrán recibir direcciones IPv6 y comunicarse a través de IPv6.Para obtener más información acerca de las direcciones IPv4 e IPv6, consulte Direcciones IP en suVPC (p. 101).

Para obtener más información acerca de la administración del software de instancia EC2, vea ManagingSoftware on Your Linux Instance en la Guía del usuario de Amazon EC2 para instancias de Linux.

Contenido• Información general (p. 22)• Direccionamiento (p. 24)• Seguridad (p. 25)

Información generalEl siguiente diagrama muestra los componentes clave de la configuración de este escenario.

22




https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/managing-software.html


Amazon Virtual Private Cloud Guía del usuarioVPC con una única subred pública

Note

Si completó Introducción a Amazon VPC (p. 11), ya ha implementado este escenario con elasistente para la creación de VPC de la consola de Amazon VPC.

La configuración de este escenario incluye lo siguiente:

• Nube virtual privada (VPC) con bloque de CIDR IPv4 de tamaño /16 (ejemplo: 10.0.0.0/16). Estoproporciona 65 536 direcciones IPv4 privadas.

• Subred con bloque de CIDR IPv4 de tamaño /24 (ejemplo: 10.0.0.0/24). Esto proporciona 256direcciones IPv4 privadas.

• Un gateway de Internet. Esto conecta la VPC a Internet y a otros servicios de AWS.• Instancia con dirección IPv4 privada en el rango de subred (ejemplo: 10.0.0.6), que permite que la

instancia se comunique con otras instancias de la VPC y con una dirección IPv4 elástica (ejemplo:198.51.100.2), que es una dirección IPv4 pública que permite a la instancia el acceso a internet y que sepueda acceder a esta desde internet.

• Una tabla de ruteo personalizada asociada a la subred. Las entradas de la tabla de ruteo permiten alas instancias de la subred utilizar IPv4 para comunicarse con las demás instancias de la VPC y paracomunicarse directamente a través de internet. La subred asociada a la tabla de ruteo con ruta al puertode enlace a Internet se conoce como subred pública.

Para obtener más información acerca de las subredes, consulte VPC y subredes (p. 71). Paraobtener más información acerca de los puertos de enlace a Internet, consulte Puertos de enlace aInternet (p. 233).

Información general de IPv6

Opcionalmente, puede habilitar IPv6 para este escenario. Además de los componentes mostrados arriba,la configuración incluye lo siguiente:

23


• Un bloque de CIDR IPv6 de tamaño /56 asociado a la VPC (por ejemplo: 2001:db8:1234:1a00::/56).Amazon asigna automáticamente el CIDR; no podrá elegir el rango por sí mismo.

• Un bloque de CIDR IPv6 de tamaño /64 asociado a la subred pública (por ejemplo:2001:db8:1234:1a00::/64). Puede elegir el rango de su subred en el rango asignado a la VPC. No esposible elegir el tamaño del bloque de CIDR IPv6 de la subred.

• Una dirección IPv6 asignada a la instancia desde el rango de subred (ejemplo:2001:db8:1234:1a00::123).

• Entradas de la tabla personalizada que permiten a las instancias de la VPC utilizar IPv6 paracomunicarse entre si y directamente a través de internet.

DireccionamientoSu VPC tiene un router implícito (tal como se muestra en el diagrama de configuración anterior). En esteescenario, el asistente para la creación de VPC crea una tabla de ruteo personalizada que direccionatodo el tráfico con destino a una dirección externa a la VPC a la gateway de Internet para, a continuación,asociar dicha tabla de ruteo a la subred.

La siguiente tabla muestra la tabla de ruteo para del ejemplo del diagrama de configuración anterior. Laprimera fila es la entrada predeterminada para el direccionamiento IPv4 local de la VPC. Esta entradapermite a las instancias de esta VPC comunicarse entre sí. La segunda entrada dirige el resto del tráfico dela subred IPv4 a la gateway de internet (por ejemplo, igw-1a2b3c4d).

24


Destino Objetivo

10.0.0.0/16 local

0.0.0.0/0 igw-id

Direccionamiento de IPv6

Si asocia un bloque de CIDR IPv6 con su VPC y su subred, su tabla de ruteo debe incluir rutas separadaspara el tráfico IPv6. La tabla siguiente muestra la tabla de ruteo personalizada para este escenario sielige habilitar la comunicación IPv6 en su VPC. La segunda fila es la ruta predeterminada que se añadeautomáticamente para el direccionamiento local en la VPC a través de IPv6. La cuarta entrada direccionatodo el resto del tráfico de la subred IPv6 a la gateway de internet.

Destino Objetivo

10.0.0.0/16 local

2001:db8:1234:1a00::/56 local

0.0.0.0/0 igw-id

::/0 igw-id

SeguridadAWS cuenta con dos características que puede usar para aumentar la seguridad de la VPC: los gruposde seguridad y las ACL de red. Los grupos de seguridad controlan el tráfico de entrada y salida de lasinstancias, mientras que las ACL de red controlan el tráfico de entrada y salida de las subredes. En lamayoría de los casos, los grupos de seguridad se ajustarán a sus necesidades. No obstante, puede usartambién las ACL de red si desea agregar un nivel de seguridad adicional en la VPC. Para obtener másinformación, consulte Privacidad del tráfico entre redes en Amazon VPC (p. 123).

Para este escenario, se utiliza un grupo de seguridad, pero no una ACL de red. Si desea utilizar una ACLde red, consulte Reglas recomendadas para una VPC con una única subred pública (p. 191).

La VPC incluye un grupo de seguridad predeterminado (p. 168). Una instancia que se lanza en la VPC seasocia automáticamente al grupo de seguridad predeterminado si no especifica ningún grupo de seguridadpredeterminado durante el lanzamiento. Puede añadir reglas al grupo de seguridad predeterminado; sinembargo, es posible que las reglas no sean aptas para otras instancias que lance en la VPC. En su lugar,se recomienda crear un grupo de seguridad personalizado para su servidor web.

Para este escenario, cree un grupo de seguridad denominado WebServerSG. Cuando cree un grupode seguridad, este tendrá una regla entrante sencilla que permite el tráfico saliente procedente de lasinstancias. Debe modificar las reglas para permitir el tráfico entrante y restringir el tráfico saliente segúnsea necesario. Este grupo de seguridad se especifica al lanzar las instancias en la VPC.

A continuación se describen las reglas y salientes para el tráfico IPv4 del grupo de seguridadWebServerSG.

Entrada

Fuente Protocolo Rango depuertos

Comentarios

25


0.0.0.0/0 TCP 80 Permite el acceso HTTP entrante alos servidores web desde cualquierdirección IPv4.

0.0.0.0/0 TCP 443 Permite el acceso HTTPS entrante alos servidores web desde cualquierdirección IPv4

Rango de direcciones IPv4públicas de su red

TCP 22 (Instancias de Linux) Permiteel acceso SSH entrante desdesu red a través de IPv4. Puedeobtener la dirección IPv4 públicade su equipo local usando unservicio como, por ejemplo, http://checkip.amazonaws.com o https://checkip.amazonaws.com. Si seconecta a través de un ISP oprotegido por su firewall sin unadirección IP estática, deberáencontrar el rango de direcciones IPutilizadas por los equipos cliente.


TCP 3389 (Instancias de Windows) Permite elacceso RDP entrante desde su red através de IPv4.

ID del grupo de seguridad (sg-xxxxxxxx).

Todos Todos (Opcional) Permite el tráfico entrantede otras instancias asociadas a estegrupo de seguridad. Esta regla seañade automáticamente al grupode seguridad predeterminado dela VPC. Por lo tanto, en todos losgrupos de seguridad que cree,deberá añadir manualmente laregla para que permita este tipo decomunicación.

Saliente (opcional)

Destino Protocolo Rango depuertos

Comentarios

0.0.0.0/0 Todos Todos Regla predeterminada para permitirel acceso a cualquier direcciónIPv4. Si desea que su servidor webinicie el tráfico saliente, por ejemplo,para obtener actualizaciones desoftware, puede dejar la reglasaliente predeterminada. De locontrario, puede quitar esta regla.

Seguridad para IPv6

Si asocia un bloque de CIDR IPv6 a su VPC y su subred, debe añadir reglas separadas a su grupode seguridad para controlar el tráfico IPv6 entrante y saliente de su instancia de servidor web. En esteescenario, el servidor web podrá recibir todo el tráfico de internet a través de IPv6, así como el tráfico SSHo RDP de su red local a través de IPv6.

26

http://checkip.amazonaws.com


https://checkip.amazonaws.com


Amazon Virtual Private Cloud Guía del usuarioVPC con subredes privadas y públicas (NAT)

A continuación se detallan las reglas específicas de IPv6 para el grupo de seguridad WebServerSG(adicionales a las reglas descritas anteriormente).

Entrada


Comentarios

::/0 TCP 80 Permite el acceso HTTP entrante alos servidores web desde cualquierdirección IPv6.

::/0 TCP 443 Permite el acceso HTTPS entrante alos servidores web desde cualquierdirección IPv6.

Rango de direcciones IPv6 de sured

TCP 22 (Instancias de Linux) Permite elacceso SSH entrante desde su red através de IPv6.



Saliente (opcional)


Comentarios

::/0 Todos Todos Regla predeterminada para permitirel acceso a cualquier direcciónIPv6. Si desea que su servidor webinicie el tráfico saliente, por ejemplo,para obtener actualizaciones desoftware, puede dejar la reglasaliente predeterminada. De locontrario, puede quitar esta regla.

VPC con subredes privadas y públicas (NAT)La configuración de este escenario incluye una nube virtual privada (VPC) con una subred pública y unasubred privada. Este escenario se recomienda si desea ejecutar una aplicación web pública y, a la vez,mantener los servidores back-end a los que no se puede obtener acceso de forma pública. Un ejemplocomún es un sitio web multinivel, con los servidores web en una subred pública y los servidores de base dedatos en una subred privada. Puede configurar la seguridad y el direccionamiento para que los servidoresweb se puedan comunicar con los servidores de base de datos.

Las instancias de la subred pública pueden enviar tráfico de salida directamente a Internet, mientras quelas instancias en la subred privada no pueden. En cambio, las instancias de la subred privada puedenobtener acceso a Internet utilizando una gateway de traducción de dirección de red (NAT) que reside enla subred pública. Los servidores de base de datos pueden conectarse a Internet para las actualizacionesde software a través de la gateway NAT, pero Internet no puede establecer conexiones a los servidores debase de datos.

27


Note

También puede utilizar el asistente de VPC para configurar una VPC con una instancia NAT;no obstante, se recomienda utilizar una gateway NAT. Para obtener más información, consultePuerta de enlace NAT (p. 243).

De forma opcional, este escenario también se puede configurar para IPv6: puede utilizar el asistente deVPC para crear una VPC y subredes con los bloques de CIDR de IPv6 asociados. Las instancias lanzadasen las subredes podrán recibir direcciones IPv6 y comunicarse a través de IPv6. Las instancias de lasubred privada pueden utilizar un puerto de enlace a Internet de solo salida para conectarse a Interneta través de IPv6, pero Internet no puede establecer conexiones a las instancias privadas a través deIPv6. Para obtener más información acerca de las direcciones IPv4 e IPv6, consulte Direcciones IP en suVPC (p. 101).


Contenido• Información general (p. 28)• Direccionamiento (p. 31)• Seguridad (p. 33)• Implementación del escenario 2 (p. 36)• Implementación del escenario 2 con una instancia NAT (p. 36)


28





• Una VPC con bloque de CIDR IPv4 de tamaño /16 (ejemplo: 10.0.0.0/16). Esto proporciona 65 536direcciones IPv4 privadas.

• Una subred pública con bloque de CIDR IPv4 de tamaño /24 (ejemplo: 10.0.0.0/24). Esto proporciona256 direcciones IPv4 privadas. Una subred pública es una subred asociada a la tabla de ruteo con ruta alpuerto de enlace a Internet.

• Una subred privada con bloque de CIDR IPv4 de tamaño /24 (ejemplo: 10.0.1.0/24). Esto proporciona256 direcciones IPv4 privadas.

• Una gateway de Internet. Esto conecta la VPC a Internet y a otros servicios de AWS.• Instancias con direcciones IPv4 privadas en el rango de la subred (ejemplos: 10.0.0.5, 10.0.1.5). Esto les

permite comunicarse entre sí y con otras instancias en la VPC.• Instancias en la subred pública con direcciones IPv4 elásticas (por ejemplo: 198.51.100.1), que son

direcciones IPv4 públicas que les permiten estar accesibles desde Internet. Las instancias pueden tenerdirecciones IP públicas asignadas en el lanzamiento en lugar de direcciones IP elásticas. Las instanciasde la subred privada con servidores back-end que no necesitan aceptar el tráfico entrante de Internety, por lo tanto, no tienen direcciones IP públicas; sin embargo, pueden enviar solicitudes a Internetmediante la gateway NAT (consulte el siguiente punto).

• Una gateway NAT con su propia dirección IPv4 elástica. Las instancias de la subred privada puedenenviar solicitudes a Internet mediante la gateway NAT través de IPv4 (por ejemplo, para actualizacionesde software).

• Una tabla de ruteo personalizada asociada a la subred pública. Esta tabla de ruteo contiene una entradaque permite que las instancias de la subred se comuniquen con otras instancias de la VPC a través de

29


IPv4 y una entrada que permite que las instancias de la subred se comuniquen directamente con Interneta través de IPv4.

• La tabla de ruteo principal asociada a una subred privada. La tabla de ruteo contiene una entrada quepermite que las instancias de la subred se comuniquen con otras instancias de la VPC a través de IPv4y una entrada que permite que las instancias de la subred se comuniquen con Internet mediante lagateway NAT a través de IPv4.

Para obtener más información acerca de las subredes, consulte VPC y subredes (p. 71). Paraobtener más información acerca de los puertos de enlace a Internet, consulte Puertos de enlace aInternet (p. 233). Para obtener más información acerca de las gateways NAT, consulte Puerta de enlaceNAT (p. 243).



• Un bloque de CIDR IPv6 de tamaño /56 asociado a la VPC (por ejemplo: 2001:db8:1234:1a00::/56).Amazon asigna automáticamente el CIDR; no podrá elegir el rango por sí mismo.

• Un bloque de CIDR IPv6 de tamaño /64 asociado a la subred pública (por ejemplo:2001:db8:1234:1a00::/64). Puede elegir el rango de su subred en el rango asignado a la VPC. No esposible elegir el tamaño del bloque de CIDR IPv6 de la VPC.

• Un bloque de CIDR IPv6 de tamaño /64 asociado a la subred privada (por ejemplo:2001:db8:1234:1a01::/64). Puede elegir el rango de su subred en el rango asignado a la VPC. No esposible elegir el tamaño del bloque de CIDR IPv6 de la subred.

• Las direcciones IPv6 asignadas a las instancias desde el rango de subred (ejemplo:2001:db8:1234:1a00::1a).

• Un puerto de enlace a Internet de solo salida. Esto permitirá a las instancias de la subred privada enviarsolicitudes a Internet a través de IPv6 (por ejemplo, para actualizaciones de software). Se requiere unpuerto de enlace a Internet de solo salida si desea que las instancias de la subred privada puedan iniciarla comunicación con Internet a través de IPv6. Para obtener más información, consulte Gateways deInternet de solo salida (p. 239).

• Entradas de la tabla personalizada que permiten a las instancias de la subred pública utilizar IPv6 paracomunicarse entre si y directamente a través de Internet.

• Las entradas de tabla de ruteo en la tabla de ruteo principal que permiten que las instancias de la subredprivada utilicen IPv6 para comunicarse entre sí, así como para comunicarse con Internet a través de unpuerto de enlace a Internet de solo salida.

30


DireccionamientoEn este escenario, el asistente de VPC actualiza la tabla de ruteo principal utilizada con la subred privada,y crea una tabla de ruteo personalizada y la asocia a la subred pública.

En este escenario, todo el tráfico de cada subred vinculado a AWS (por ejemplo, con los puntos de enlacede Amazon EC2 o Amazon S3) pasa a través de la gateway de Internet. Los servidores de base de datosde la subred privada no pueden recibir tráfico de Internet directamente porque no tienen direcciones IPelásticas. Sin embargo, los servidores de base de datos pueden enviar y recibir tráfico de Internet a travésdel dispositivo NAT en la subred pública.

Las subredes adicionales que cree utilizarán la tabla de ruteo principal de forma predeterminada, lo quesignifica que son subredes privadas de forma predeterminada. Si desea hacer una subred pública, siemprepuede cambiar la tabla de ruteo con la que esté asociada.

Las siguientes tablas describen las tablas de ruteo para este escenario.

Tabla de ruteo principal

La primera fila es la entrada predeterminada para el direccionamiento local de la VPC. Esta entradapermite a las instancias de la VPC comunicarse entre sí. La segunda entrada envía el resto del tráfico de lasubred a la gateway NAT (por ejemplo, nat-12345678901234567).

31


Destino Objetivo

10.0.0.0/16 local

0.0.0.0/0 nat-gateway-id

Tabla de ruteo personalizadaLa primera fila es la entrada predeterminada para el direccionamiento local de la VPC. Esta entradapermite a las instancias de esta VPC comunicarse entre sí. La segunda entrada direcciona el resto deltráfico de la subred a Internet a través del puerto de enlace a Internet (por ejemplo, igw-1a2b3d4d).

Destino Objetivo

10.0.0.0/16 local

0.0.0.0/0 igw-id

Direccionamiento de IPv6Si asocia un bloque de CIDR IPv6 con su VPC y sus subredes, sus tablas de ruteo deben incluir rutasseparadas para el tráfico IPv6. Las tablas siguientes muestran las tablas de ruteo personalizadas para esteescenario si elige habilitar la comunicación IPv6 en su VPC.


La segunda fila es la ruta predeterminada que se añade automáticamente para el direccionamiento localen la VPC a través de IPv6. La cuarta entrada direcciona todo el resto del tráfico de la subred IPv6 alpuerto de enlace a Internet de solo salida.

Destino Objetivo

10.0.0.0/16 local

2001:db8:1234:1a00::/56 local


::/0 egress-only-igw-id

Tabla de ruteo personalizada

La segunda fila es la ruta predeterminada que se añade automáticamente para el direccionamiento localen la VPC a través de IPv6. La cuarta entrada direcciona todo el resto del tráfico de la subred IPv6 alpuerto de enlace a Internet.

Destino Objetivo

10.0.0.0/16 local

2001:db8:1234:1a00::/56 local

0.0.0.0/0 igw-id

::/0 igw-id

32



Para el escenario 2, utilizará los grupos de seguridad, pero no las ACL de red. Si desea utilizar una ACL dered, consulte Reglas recomendadas para una VPC con subredes públicas y privadas (NAT) (p. 194).

La VPC incluye un grupo de seguridad predeterminado (p. 168). Una instancia que se lanza en la VPC seasocia automáticamente al grupo de seguridad predeterminado si no especifica ningún grupo de seguridadpredeterminado durante el lanzamiento. Para este escenario, recomendamos crear los siguientes gruposde seguridad en lugar de utilizar el grupo de seguridad predeterminado:

• WebServerSG: especifique este grupo de seguridad al lanzar los servidores web en la subred pública.• DBServerSG: especifique este grupo de seguridad al lanzar los servidores de base de datos en la

subred privada.

Las instancias asignadas a un grupo de seguridad pueden estar en distintas subredes. Sin embargo, eneste escenario, cada grupo de seguridad corresponde al tipo de función que desempeña una instancia, ycada función requiere que una instancia esté en una subred determinada. Por lo tanto, en este escenario,todas las instancias asignadas a un grupo de seguridad estarán en la misma subred.

La siguiente tabla describe las reglas recomendadas para el grupo de seguridad WebServerSG, quepermiten a los servidores web recibir el tráfico de Internet, así como el tráfico SSH y RDP procedente de sured. Los servidores web también pueden iniciar solicitudes de lectura y escritura en los servidores de basesde datos de la subred privada, así como enviar tráfico a Internet; por ejemplo, para obtener actualizacionesde software. Puesto que el servidor web no inicia ninguna otra comunicación saliente, se ha quitado laregla saliente predeterminada.

Note

Estas recomendaciones incluyen tanto acceso a SSH como a RDP, así como acceso a MicrosoftSQL Server y a MySQL. En su caso, puede que solo necesite reglas para Linux (SSH y MySQL) oWindows (RDP y Microsoft SQL Server).

WebServerSG: reglas recomendadas

Entrada


Comentarios


0.0.0.0/0 TCP 443 Permite el acceso HTTPS entrante alos servidores web desde cualquierdirección IPv4.

Rango de direcciones IPv4públicas de su red doméstica

TCP 22 Permite el acceso SSH entrantea las instancias de Linux desdela red doméstica (a través delpuerto de enlace a Internet).Puede obtener la dirección IPv4

33


pública de su equipo local usandoun servicio como, por ejemplo,http://checkip.amazonaws.com ohttps://checkip.amazonaws.com.Si se conecta a través de un ISPo protegido por su firewall sinuna dirección IP estática, deberáencontrar el rango de direcciones IPutilizadas por los equipos cliente.

Rango de direcciones IPv4públicas de su red doméstica

TCP 3389 Permite el acceso RDP entrante alas instancias de Windows desde lared doméstica (a través del puerto deenlace a Internet).

Salida


Comentarios

ID del grupo de seguridadDBServerSG

TCP 1433 Permite el acceso saliente deMicrosoft SQL Server a losservidores de base de datosasignados al grupo de seguridadDBServerSG.


TCP 3306 Permite el acceso saliente de MySQLa los servidores de base de datosasignados al grupo de seguridadDBServerSG.

0.0.0.0/0 TCP 80 Permite el acceso HTTP saliente acualquier dirección IPv4.

0.0.0.0/0 TCP 443 Permite el acceso HTTPS saliente acualquier dirección IPv4.

La siguiente tabla describe las reglas recomendadas para el grupo de seguridad DBServerSG, quepermiten las solicitudes de las bases de datos de lectura o escritura procedentes de los servidores web.Los servidores de base de datos también pueden iniciar el tráfico vinculado a Internet (la tabla de ruteoenvía ese tráfico a la gateway NAT, que lo reenvía a Internet a través del puerto de enlace a Internet).

DBServerSG: reglas recomendadas

Entrada


Comentarios

ID del grupo de seguridadWebServerSG

TCP 1433 Permite el acceso entrante deMicrosoft SQL Server desde losservidores web asociados al grupode seguridad WebServerSG.


TCP 3306 Permite el acceso entrante delservidor MySQL desde los servidoresweb asociados al grupo de seguridadWebServerSG.

34




Salida


Comentarios

0.0.0.0/0 TCP 80 Permite el acceso saliente de HTTPa Internet a través de IPv4 (porejemplo, para actualizaciones desoftware).

0.0.0.0/0 TCP 443 Permite el acceso saliente de HTTPSa Internet a través de IPv4 (porejemplo, para actualizaciones desoftware).

(Opcional) El grupo de seguridad predeterminado de una VPC tiene reglas que permiten, de formaautomática, que las instancias asignadas se comuniquen entre sí. Para permitir ese tipo de comunicaciónpara un grupo de seguridad personalizado, debe añadir las siguientes reglas:

Entrada


Comentarios

El ID del grupo de seguridad Todos Todos Permite el tráfico entrante desdeotras instancias asignadas a estegrupo de seguridad.

Salida


Comentarios

El ID del grupo de seguridad Todos Todos Permite el tráfico saliente a otrasinstancias asignadas a este grupo deseguridad.

(Opcional) Si lanza un host bastión en su subred pública para utilizarlo como proxy para tráfico SSH o RDPdesde su red doméstica a su subred privada, añada una regla al grupo de seguridad DBServerSG quepermita tráfico SSH o RDP de entrada desde la instancia bastión o su grupo de seguridad asociado.

Seguridad para IPv6Si asocia un bloque de CIDR IPv6 a su VPC y sus subredes, debe añadir reglas separadas a sus gruposde seguridad WebServerSG y DBServerSG para controlar el tráfico IPv6 entrante y saliente de susinstancias. En este escenario, los servidores web podrán recibir todo el tráfico de Internet a través de IPv6,así como el tráfico SSH o RDP de su red local a través de IPv6. Asimismo, pueden iniciar tráfico IPv6saliente a Internet. Los servidores de base de datos pueden iniciar tráfico IPv6 saliente a Internet.


Entrada


Comentarios

35








Salida


Comentarios

::/0 TCP HTTP Permite el acceso HTTP saliente acualquier dirección IPv6.

::/0 TCP HTTPS Permite el acceso HTTPS saliente acualquier dirección IPv6.

A continuación se detallan las reglas específicas de IPv6 para el grupo de seguridad DBServerSG(adicionales a las reglas descritas anteriormente).

Salida


Comentarios

::/0 TCP 80 Permite el acceso HTTP saliente acualquier dirección IPv6.

::/0 TCP 443 Permite el acceso HTTPS saliente acualquier dirección IPv6.

Implementación del escenario 2Puede utilizar el asistente de VPC para crear la VPC, las subredes, la gateway NAT y, opcionalmente, unpuerto de enlace a Internet de solo salida. Debe especificar una dirección IP elástica para su gateway NAT;si no tiene una, debe asignar primero una a su cuenta. Si desea utilizar una dirección IP elástica existente,asegúrese de que no esté actualmente asociada a otra instancia o interfaz de red. La gateway NAT secreará automáticamente en la subred pública de su VPC.

Implementación del escenario 2 con una instancia NATPuede implementar el escenario 2 utilizando una instancia NAT en lugar de una gateway NAT. Paraobtener más información acerca de las instancias NAT, consulte Instancias NAT (p. 261).

Puede seguir los mismos procedimientos anteriores; sin embargo, en la sección NAT del asistente deVPC, deberá elegir Use a NAT instance instead y especificar los detalles de su instancia NAT. También

36

Amazon Virtual Private Cloud Guía del usuarioVPC con subredes públicas y privadas

y acceso de AWS Site-to-Site VPN

necesitará un grupo de seguridad para su instancia NAT (NATSG), que permitirá a la instancia NAT recibirtráfico vinculado a Internet de las instancias de la subred privada, así como tráfico SSH de su red. Lainstancia NAT también puede enviar tráfico a Internet, por lo que las instancias de la subred privada podránobtener actualizaciones de software.

Una vez creada la VPC con la instancia NAT, debe cambiar el grupo de seguridad asociado a la instanciaNAT al nuevo grupo de seguridad NATSG (de forma predeterminada, la instancia NAT se lanza utilizando elgrupo de seguridad predeterminado).

NATSG: reglas recomendadas

Entrada


Comentarios

10.0.1.0/24 TCP 80 Permite el tráfico HTTP entrante delos servidores de la base de datosque están en la subred privada.

10.0.1.0/24 TCP 443 Permite el tráfico HTTPS entrante delos servidores de la base de datosque están en la subred privada.

Rango de direcciones IP públicasde su red

TCP 22 Permite el acceso SSH entrante a lainstancia NAT desde su red (a travésdel puerto de enlace a Internet).

Salida


Comentarios

0.0.0.0/0 TCP 80 Permite el acceso HTTP salientea Internet (a través del puerto deenlace a Internet).

0.0.0.0/0 TCP 443 Permite el acceso HTTPS salientea Internet (a través del puerto deenlace a Internet).

VPC con subredes públicas y privadas y acceso deAWS Site-to-Site VPNLa configuración de este escenario incluye una nube virtual privada (VPC) con una subred pública y unasubred privada, así como una gateway privada virtual para habilitar la comunicación con su propia reda través de un túnel de VPN IPsec. Este escenario es recomendable si desea llevar su red a la nubey obtener acceso directo a Internet desde la VPC. Este escenario le permite ejecutar una aplicaciónmultinivel con un front-end web escalable en una subred pública, así como alojar sus datos en una subredprivada conectada a su red mediante una conexión de AWS Site-to-Site VPN de IPsec.

De forma opcional, este escenario también se puede configurar para IPv6: puede utilizar el asistente deVPC para crear una VPC y subredes con los bloques de CIDR de IPv6 asociados. Las instancias lanzadasen las subredes pueden recibir direcciones IPv6. Actualmente, no admitimos la comunicación IPv6mediante una conexión de Site-to-Site VPN; no obstante, las instancias de la VPC se pueden comunicarentre sí mediante IPv6, y las instancias de la subred pública se pueden comunicar a través de Internet

37



mediante IPv6. Para obtener más información acerca de las direcciones IPv4 e IPv6, consulte DireccionesIP en su VPC (p. 101).


Contenido• Información general (p. 38)• Direccionamiento (p. 40)• Seguridad (p. 42)• Escenario de implementación 3 (p. 46)


Important

Para este escenario, la Guía para administradores de red de AWS Site-to-Site VPN describe loque debe hacer su administrador de red para configurar la gateway de cliente de Amazon VPC ensu lado de la conexión de Site-to-Site VPN.


• Una nube virtual privada (VPC) con CIDR IPv4 de tamaño /16 (ejemplo: 10.0.0.0/16). Esto proporciona65 536 direcciones IPv4 privadas.

• Una subred pública con CIDR IPv4 de tamaño /24 (ejemplo: 10.0.0.0/24). Esto proporciona 256direcciones IPv4 privadas. Una subred pública es una subred asociada a la tabla de ruteo con ruta alpuerto de enlace a Internet.

• Una subred de solo VPN con CIDR IPv4 de tamaño /24 (ejemplo: 10.0.1.0/24). Esto proporciona 256direcciones IPv4 privadas.

38



https://docs.aws.amazon.com/vpc/latest/adminguide/



• Una gateway de Internet. Esto conecta la VPC a Internet y a otros productos de AWS.• Una conexión de Site-to-Site VPN entre su VPC y su red. La conexión de Site-to-Site VPN consta de una

gateway privada virtual ubicada en el lado de Amazon de la conexión de Site-to-Site VPN y una gatewayde cliente ubicada en su lado de la conexión de Site-to-Site VPN.

• Instancias con direcciones IPv4 privadas en el rango de la subred (por ejemplo: 10.0.0.5 y 10.0.1.5), loque permite que las instancias se comuniquen entre sí y con otras instancias de la VPC.

• Instancias en la subred pública con direcciones IP elásticas (por ejemplo: 198.51.100.1), que sondirecciones IPv4 públicas que les permiten estar accesibles desde Internet. Las instancias puedentener direcciones IPv4 públicas asignadas en el lanzamiento en lugar de direcciones IP elásticas.Las instancias de la subred solo de VPN son servidores back-end que no necesitan aceptar el tráficoentrante de Internet, pero pueden enviar y recibir tráfico desde su red.

• Una tabla de ruteo personalizada asociada a la subred pública. Esta tabla de ruteo contiene una entradaque permite que las instancias de la subred se comuniquen con otras instancias de la VPC, y unaentrada que permite que las instancias de la subred se comuniquen directamente con Internet.

• La tabla de ruteo principal asociada a una subred de solo VPN. La tabla de ruteo contiene una entradaque permite que las instancias de la subred se comuniquen con otras instancias de la VPC, y unaentrada que permite que las instancias de la subred se comuniquen directamente con su red.

Para obtener más información acerca de las subredes, consulte VPC y subredes (p. 71) y DireccionesIP en su VPC (p. 101). Para obtener más información acerca de los puertos de enlace a Internet,consulte Puertos de enlace a Internet (p. 233). Para obtener más información sobre su conexión de AWSSite-to-Site VPN, consulte ¿Qué es AWS Site-to-Site VPN? en la Guía del usuario de AWS Site-to-SiteVPN. Para obtener más información acerca de la configuración de una gateway de cliente, consulte la Guíapara administradores de red de AWS Site-to-Site VPN.



• Un bloque de CIDR IPv6 de tamaño /56 asociado a la VPC (por ejemplo: 2001:db8:1234:1a00::/56).AWS asigna automáticamente el CIDR; no podrá elegir el rango por sí mismo.

• Un bloque de CIDR IPv6 de tamaño /64 asociado a la subred pública (por ejemplo:2001:db8:1234:1a00::/64). Puede elegir el rango de su subred en el rango asignado a la VPC. No esposible elegir el tamaño del CIDR IPv6.

• Un bloque de CIDR IPv6 de tamaño /64 asociado a la subred de solo VPN (por ejemplo:2001:db8:1234:1a01::/64). Puede elegir el rango de su subred en el rango asignado a la VPC. No esposible elegir el tamaño del CIDR IPv6.


• Entradas de la tabla personalizada que permiten a las instancias de la subred pública utilizar IPv6 paracomunicarse entre si y directamente a través de Internet.

• Una entrada de la tabla de ruteo en la tabla de ruteo principal que permite a las instancias de la subredde solo VPN utilizar IPv6 para comunicarse entre sí.

39






DireccionamientoSu VPC tiene un router implícito (tal como se muestra en el diagrama de configuración de este escenario).En este escenario, el asistente de VPC actualiza la tabla de ruteo principal utilizada con la subred de soloVPN, y crea una tabla de ruteo personalizada y la asocia a la subred pública.

Las instancias de la subred de solo VPN no pueden acceder a Internet directamente; el tráfico vinculado aInternet debe atravesar primero la gateway privada virtual a su red, donde el tráfico está sujeto a su firewally a las políticas de seguridad corporativas. Si las instancias envían tráfico vinculado a AWS (por ejemplo,solicitudes a las API de Amazon S3 o Amazon EC2), las solicitudes deben pasar por la gateway privadavirtual a su red y luego salir a Internet antes de llegar a AWS. Actualmente no se admite IPv6 para lasconexiones de Site-to-Site VPN.

40



Tip

El tráfico de su red que vaya a una dirección IP elástica para una instancia de la subred públicapasará por Internet, y no por la gateway privada virtual. En su lugar, puede configurar una ruta yreglas de grupo que permitan que el tráfico llegue desde su red a través de la gateway privadavirtual a la subred pública.

La conexión de Site-to-Site VPN se configura como una conexión de Site-to-Site VPN direccionadaestáticamente o como una conexión de Site-to-Site VPN direccionada dinámicamente (mediante BGP).Si selecciona el direccionamiento estático, se le pedirá que escriba manualmente el prefijo IP para su redcuando cree la conexión de Site-to-Site VPN. Si selecciona el direccionamiento dinámico, el prefijo IP seanunciará automáticamente a la gateway privada virtual para su VPC mediante BGP.

Las siguientes tablas describen las tablas de ruteo para este escenario.


La primera fila es la entrada predeterminada para el direccionamiento local de la VPC. Esta entradapermite a las instancias de la VPC comunicarse entre sí mediante IPv4. La segunda fila direcciona el restodel tráfico de la subred IPv4 desde la subred privada a su red a través de la gateway privada virtual (porejemplo, vgw-1a2b3c4d).

Destino Objetivo

10.0.0.0/16 local

0.0.0.0/0 vgw-id


La primera fila es la entrada predeterminada para el direccionamiento local de la VPC. Esta entradapermite a las instancias de la VPC comunicarse entre sí. La segunda fila direcciona el resto del tráfico dela subred IPv4 desde la subred pública a Internet a través del puerto de enlace a Internet (por ejemplo,igw-1a2b3c4d).

Destino Objetivo

10.0.0.0/16 local

0.0.0.0/0 igw-id

Direccionamiento alternativo

De forma alternativa, si desea que las instancias de la subred privada obtengan acceso a Internet, puedecrear una instancia o una gateway de conversión de dirección de red (NAT) en la subred pública, yconfigurar el direccionamiento para que el tráfico vinculado a Internet para la subred vaya al dispositivoNAT. Esto permitirá a las instancias de la subred de solo VPN enviar solicitudes a través del puerto deenlace a Internet (por ejemplo, para actualizaciones de software).

Para obtener más información acerca de cómo configurar un dispositivo NAT manualmente, consulteNAT (p. 242). Para obtener más información acerca de la utilización del asistente de VPC para configurarun dispositivo NAT, consulte VPC con subredes privadas y públicas (NAT) (p. 27).

Para permitir que el tráfico vinculado a Internet de la subred privada se dirija al dispositivo NAT, debeactualizar la tabla de ruteo principal de la siguiente forma.

41



La primera fila es la entrada predeterminada para el direccionamiento local de la VPC. La segunda filaes para las rutas del tráfico de la subred vinculado a la red de su cliente (en este caso, suponga que ladirección IP de su red local es 172.16.0.0/12) a la gateway privada virtual. La tercera fila envía el restodel tráfico de la subred a una gateway NAT.

Destino Objetivo

10.0.0.0/16 local

172.16.0.0/12 vgw-id



Si asocia un bloque de CIDR IPv6 con su VPC y sus subredes, sus tablas de ruteo deben incluir rutasseparadas para el tráfico IPv6. Las tablas siguientes muestran las tablas de ruteo personalizadas para esteescenario si elige habilitar la comunicación IPv6 en su VPC.


La segunda fila es la ruta predeterminada que se añade automáticamente para el direccionamiento localen la VPC a través de IPv6.

Destino Objetivo

10.0.0.0/16 local

2001:db8:1234:1a00::/56 local

0.0.0.0/0 vgw-id


La segunda fila es la ruta predeterminada que se añade automáticamente para el direccionamiento localen la VPC a través de IPv6. La cuarta entrada direcciona todo el resto del tráfico de la subred IPv6 alpuerto de enlace a Internet.

Destino Objetivo

10.0.0.0/16 local

2001:db8:1234:1a00::/56 local

0.0.0.0/0 igw-id

::/0 igw-id

SeguridadAWS cuenta con dos características que puede usar para aumentar la seguridad de la VPC: los gruposde seguridad y las ACL de red. Los grupos de seguridad controlan el tráfico de entrada y salida de lasinstancias, mientras que las ACL de red controlan el tráfico de entrada y salida de las subredes. En lamayoría de los casos, los grupos de seguridad se ajustarán a sus necesidades. No obstante, puede usar

42



también las ACL de red si desea agregar un nivel de seguridad adicional en la VPC. Para obtener másinformación, consulte Privacidad del tráfico entre redes en Amazon VPC (p. 123).

Para el escenario 3, utilizará los grupos de seguridad, pero no las ACL de red. Si desea utilizar una ACLde red, consulte Reglas recomendadas para una VPC con subredes públicas y privadas y acceso de AWSSite-to-Site VPN (p. 202).

La VPC incluye un grupo de seguridad predeterminado (p. 168). Una instancia que se lanza en la VPC seasocia automáticamente al grupo de seguridad predeterminado si no especifica ningún grupo de seguridadpredeterminado durante el lanzamiento. Para este escenario, recomendamos crear los siguientes gruposde seguridad en lugar de utilizar el grupo de seguridad predeterminado:

• WebServerSG: especifique este grupo de seguridad al lanzar servidores web en la subred pública.• DBServerSG: especifique este grupo de seguridad al lanzar servidores de base de datos en la subred de

solo VPN.

Las instancias asignadas a un grupo de seguridad pueden estar en distintas subredes. Sin embargo, eneste escenario, cada grupo de seguridad corresponde al tipo de función que desempeña una instancia, ycada función requiere que una instancia esté en una subred determinada. Por lo tanto, en este escenario,todas las instancias asignadas a un grupo de seguridad estarán en la misma subred.

La siguiente tabla describe las reglas recomendadas para el grupo de seguridad WebServerSG, quepermiten a los servidores web recibir el tráfico de Internet, así como el tráfico SSH y RDP procedente desu red. Los servidores web también pueden iniciar solicitudes de lectura y escritura en los servidores debases de datos de la subred de solo VPN, así como enviar tráfico a Internet; por ejemplo, para obteneractualizaciones de software. Puesto que el servidor web no inicia ninguna otra comunicación saliente, seha quitado la regla saliente predeterminada.

Note

El grupo incluye tanto acceso a SSH como a RDP, así como acceso a Microsoft SQL Server y aMySQL. En su caso, puede que solo necesite reglas para Linux (SSH y MySQL) o Windows (RDPy Microsoft SQL Server).

WebServerSG: reglas recomendadas

Entrada


Comentarios


0.0.0.0/0 TCP 443 Permite el acceso HTTPS entrante alos servidores web desde cualquierdirección IPv4.


TCP 22 Permite el acceso SSH entrantea las instancias de Linux desde lared (a través del puerto de enlace aInternet).


TCP 3389 Permite el acceso RDP entrante alas instancias de Windows desde lared (a través del puerto de enlace aInternet).

Salida

43




TCP 1433 Permite el acceso saliente deMicrosoft SQL Server a losservidores de base de datosasignados a DBServerSG.


TCP 3306 Permite el acceso saliente de MySQLa los servidores de base de datosasignados a DBServerSG.

0.0.0.0/0 TCP 80 Permite el acceso HTTP saliente aInternet.

0.0.0.0/0 TCP 443 Permite el acceso HTTPS saliente aInternet.

La siguiente tabla describe las reglas recomendadas para el grupo de seguridad DBServerSG, quepermiten las solicitudes de lectura y escritura de Microsoft SQL Server y MySQL desde servidores web, asícomo el tráfico SSH y RDP desde su red. Los servidores de base de datos también pueden iniciar tráficovinculado a Internet (sus tablas de ruteo envían ese tráfico a través de la gateway privada virtual).

DBServerSG: reglas recomendadas

Entrada

Fuente Protocolo Rango depuerto

Comentarios


TCP 1433 Permite el acceso entrante deMicrosoft SQL Server desde losservidores web asociados al grupode seguridad WebServerSG.


TCP 3306 Permite el acceso entrante delservidor MySQL desde los servidoresweb asociados al grupo de seguridadWebServerSG.


TCP 22 Permite el tráfico SSH entrante a lasinstancias de Linux desde la red (através de la gateway privada virtual).


TCP 3389 Permite el tráfico RDP entrante alas instancias de Windows desde lared (a través de la gateway privadavirtual).

Salida

Destino Protocolo Rango depuerto

Comentarios

0.0.0.0/0 TCP 80 Permite el acceso saliente de HTTPIPv4 a Internet (por ejemplo, paraactualizaciones de software) a travésde la gateway privada virtual.

0.0.0.0/0 TCP 443 Permite el acceso saliente de HTTPSIPv4 a Internet (por ejemplo, para

44



actualizaciones de software) a travésde la gateway privada virtual.

(Opcional) El grupo de seguridad predeterminado de una VPC tiene reglas que permiten, de formaautomática, que las instancias asignadas se comuniquen entre sí. Para permitir ese tipo de comunicaciónpara un grupo de seguridad personalizado, debe añadir las siguientes reglas:

Entrada


Comentarios

El ID del grupo de seguridad Todos Todos Permite el tráfico entrante desdeotras instancias asignadas a estegrupo de seguridad.

Salida


Comentarios

El ID del grupo de seguridad Todos Todos Permite el tráfico saliente a otrasinstancias asignadas a este grupo deseguridad.

Seguridad para IPv6

Si asocia un bloque de CIDR IPv6 a su VPC y sus subredes, debe añadir reglas separadas a sus gruposde seguridad WebServerSG y DBServerSG para controlar el tráfico IPv6 entrante y saliente de susinstancias. En este escenario, los servidores web podrán recibir todo el tráfico de Internet a través de IPv6,así como el tráfico SSH o RDP de su red local a través de IPv6. Asimismo, pueden iniciar tráfico IPv6saliente a Internet. Los servidores de base de datos no pueden iniciar el tráfico IPv6 saliente a Internet, porlo que no necesitan reglas de grupos de seguridad adicionales.


Entrada


Comentarios





45

Amazon Virtual Private Cloud Guía del usuarioVPC solo con una subred privaday acceso de AWS Site-to-Site VPN



Salida


Comentarios

::/0 TCP HTTP Permite el acceso HTTP saliente acualquier dirección IPv6.

::/0 TCP HTTPS Permite el acceso HTTPS saliente acualquier dirección IPv6.

Escenario de implementación 3Para implementar el escenario 3, obtenga información acerca de su gateway de cliente y cree la VPCcon el asistente de VPC. El asistente de VPC le creará conexión de Site-to-Site VPN con una gateway decliente y una gateway privada virtual.

Estos procedimientos incluyen pasos opcionales para habilitar y configurar la comunicación IPv6 para suVPC. Si no desea utilizar IPv6 en su VPC, no tiene que realizar estos pasos.

Para preparar su gateway de cliente

1. Determine el dispositivo que utilizará como su gateway de cliente. Para obtener más informaciónacerca de los dispositivos que hemos probado, consulte las preguntas frecuentes sobre AmazonVirtual Private Cloud. Para obtener más información acerca de los requisitos de su gateway de cliente,consulte la Guía para administradores de red de AWS Site-to-Site VPN.

2. Obtenga la dirección IP direccionable de Internet para la interfaz externa de la gateway de cliente. Ladirección debe ser estática, y puede encontrarse detrás de un dispositivo que realice la conversión delas direcciones de red (NAT).

3. Si desea crear una conexión de Site-to-Site VPN direccionada estáticamente, obtenga la lista deintervalos de direcciones IP internas (en la notación CIDR) que se deberían anunciar en la conexiónde Site-to-Site VPN a la gateway privada virtual. Para obtener más información, consulte Tablas deruteo y prioridad de las rutas de VPN en la Guía del usuario de AWS Site-to-Site VPN.

Para obtener información acerca de cómo utilizar el asistente de VPC con IPv4, consulte the section called“Introducción a la utilización de IPv4” (p. 11).

Para obtener información acerca de cómo utilizar el asistente de VPC con IPv6, consulte the section called“Introducción a la utilización de IPv6” (p. 17).

VPC solo con una subred privada y acceso de AWSSite-to-Site VPNLa configuración de este escenario incluye una nube virtual privada (VPC) con una única subred privada yuna gateway privada virtual para habilitar la comunicación con su propia red a través de un túnel de VPNIPsec. En este caso, no hay ningún puerto de enlace a Internet para habilitar la comunicación a través deInternet. Este escenario se recomienda si desea extender su red a la nube utilizando la infraestructura deAmazon sin exponer su red a Internet.

De forma opcional, este escenario también se puede configurar para IPv6: puede utilizar el asistentede VPC para crear una VPC y una subred con los bloques de CIDR de IPv6 asociados. Las instancias

46

http://aws.amazon.com/vpc/faqs/#C9

http://aws.amazon.com/vpc/faqs/#C9


https://docs.aws.amazon.com/vpn/latest/s2svpn/VPNRoutingTypes.html#vpn-route-priority


https://aws.amazon.com/what-is-cloud-computing/


lanzadas en la subred pueden recibir direcciones IPv6. Actualmente, no se admite la comunicaciónIPv6 a través de una conexión de AWS Site-to-Site VPN; sin embargo, las instancias de la VPC puedencomunicarse entre sí mediante IPv6. Para obtener más información acerca de las direcciones IPv4 e IPv6,consulte Direcciones IP en su VPC (p. 101).


Contenido• Información general (p. 47)• Direccionamiento (p. 48)• Seguridad (p. 49)


Important

Para este escenario, la Guía para administradores de red de AWS Site-to-Site VPN describe loque debe hacer su administrador de red para configurar la gateway de cliente de Amazon VPC ensu lado de la conexión de Site-to-Site VPN.


• Una nube virtual privada (VPC) con CIDR de tamaño /16 (ejemplo: 10.0.0.0/16). Esto proporciona 65 536direcciones IP privadas.

• Una subred de solo VPN con CIDR de tamaño /24 (ejemplo: 10.0.0.0/24). Esto proporciona 256direcciones IP privadas.

• Una conexión de Site-to-Site VPN entre su VPC y su red. La conexión de Site-to-Site VPN consta de unagateway privada virtual ubicada en el lado de Amazon de la conexión de Site-to-Site VPN y una gatewayde cliente ubicada en su lado de la conexión de Site-to-Site VPN.

• Instancias con direcciones IP privadas en el rango de la subred (por ejemplo: 10.0.0.5, 10.0.0.6 y10.0.0.7), lo que permite que las instancias se comuniquen entre sí y con otras instancias de la VPC.

47





• La tabla de ruteo principal contiene una ruta que permite a las instancias de la subred comunicarseexclusivamente con otras instancias de la VPC. La propagación de rutas está habilitada, por lo quehay una ruta que permite que las instancias de la subred se comuniquen directamente con la red queaparece como una ruta propagada en la tabla de ruteo principal.

Para obtener más información acerca de las subredes, consulte VPC y subredes (p. 71) y DireccionesIP en su VPC (p. 101). Para obtener más información sobre su conexión de Site-to-Site VPN, consulte¿Qué es AWS Site-to-Site VPN? en la Guía del usuario de AWS Site-to-Site VPN. Para obtener másinformación acerca de la configuración de una gateway de cliente, consulte la Guía para administradoresde red de AWS Site-to-Site VPN.

Información general de IPv6Opcionalmente, puede habilitar IPv6 para este escenario. Además de los componentes mostrados arriba,la configuración incluye lo siguiente:

• Un bloque de CIDR IPv6 de tamaño /56 asociado a la VPC (por ejemplo: 2001:db8:1234:1a00::/56).AWS asigna automáticamente el CIDR; no podrá elegir el rango por sí mismo.

• Un bloque de CIDR IPv6 de tamaño /64 asociado a la subred de solo VPN (por ejemplo:2001:db8:1234:1a00::/64). Puede elegir el rango de su subred en el rango asignado a la VPC. No esposible elegir el tamaño del CIDR IPv6.


• Una entrada de la tabla de ruteo principal que permite a las instancias de la subred privada utilizar IPv6para comunicarse entre sí.

DireccionamientoSu VPC tiene un router implícito (tal como se muestra en el diagrama de configuración de este escenario).En este escenario, el asistente para la creación de VPC crea una tabla de ruteo que direcciona todoel tráfico con destino a una dirección externa a la VPC a la conexión de AWS Site-to-Site VPN para, acontinuación, asociar la tabla de ruteo a la subred.

A continuación se describe la tabla de ruteo para este escenario. La primera fila es la entradapredeterminada para el direccionamiento local de la VPC. Esta entrada permite a las instancias de estaVPC comunicarse entre sí. La segunda entrada direcciona el resto del tráfico de la subred a la gatewayprivada virtual (por ejemplo, vgw-1a2b3c4d).

48





Destino Objetivo

10.0.0.0/16 local

0.0.0.0/0 vgw-id

La conexión de AWS Site-to-Site VPN se configura como una conexión de Site-to-Site VPN direccionadaestáticamente o como una conexión de Site-to-Site VPN enrutada dinámicamente (mediante BGP). Siselecciona el direccionamiento estático, se le pedirá que escriba manualmente el prefijo IP para su redcuando cree la conexión de Site-to-Site VPN. Si selecciona el direccionamiento dinámico, el prefijo IP seanuncia automáticamente a su VPC a través de BGP.

Las instancias de su VPC no pueden acceder a Internet directamente; el tráfico vinculado a Internetdebe atravesar primero la gateway privada virtual a su red, donde el tráfico está sujeto a su firewall y alas políticas de seguridad corporativas. Si las instancias envían tráfico vinculado a AWS (por ejemplo,solicitudes a Amazon S3 o Amazon EC2), las solicitudes deben pasar por la gateway privada virtual a sured y luego a Internet antes de llegar a AWS. Actualmente no se admite IPv6 para las conexiones de Site-to-Site VPN.


Si asocia un bloque de CIDR IPv6 con su VPC y sus subredes, su tabla de ruteo incluirá rutas separadaspara el tráfico IPv6. A continuación se describe la tabla de ruteo personalizada para este escenario. Lasegunda fila es la ruta predeterminada que se añade automáticamente para el direccionamiento local en laVPC a través de IPv6.

Destino Objetivo

10.0.0.0/16 local

2001:db8:1234:1a00::/56 local

0.0.0.0/0 vgw-id


Para el escenario 4, utilizará el grupo de seguridad predeterminado de su VPC, pero no una ACL de red.Si desea utilizar una ACL de red, consulte Reglas recomendadas para una VPC con una única subredprivada y acceso a AWS VPN de sitio a sitio (p. 208).

Su VPC incluye un grupo de seguridad predeterminado cuya configuración inicial deniega todo eltráfico entrante y permite todo el tráfico saliente y todo el tráfico entre las instancias asignadas algrupo de seguridad. Para este escenario, se recomienda añadir reglas entrantes al grupo de seguridadpredeterminado para permitir el tráfico SSH (Linux) y el tráfico de Escritorio remoto (Windows) desde sured.

49


Important

El grupo de seguridad predeterminado permite, de forma automática, que las instancias asignadasse comuniquen entre sí. Por tanto, no tiene que añadir ninguna regla para permitir esto. Si utilizaun grupo de seguridad diferente, debe añadir una regla que lo permita.

La siguiente tabla describe las reglas entrantes que debería añadir al grupo de seguridad predeterminadopara su VPC.

Grupo de seguridad predeterminado: reglas recomendadas

Entrada


Comentarios

Rango de direcciones IPv4privadas de su red

TCP 22 (Instancias de Linux) Permite eltráfico SSH entrante desde su red.

Rango de direcciones IPv4privadas de su red

TCP 3389 (Instancias de Windows) Permite eltráfico RDP entrante desde su red.

Seguridad para IPv6

Si asocia un bloque de CIDR IPv6 a su VPC y sus subredes, debe añadir reglas separadas a su grupode seguridad para controlar el tráfico IPv6 entrante y saliente de sus instancias. En este escenario, losservidores de bases de datos no están disponibles a través de la conexión de Site-to-Site VPN medianteIPv6; por lo tanto, no son necesarias reglas de grupos de seguridad adicionales.

50


Ejemplos de VPCEsta sección contiene ejemplos relativos a la creación y la configuración de una VPC.

Ejemplo Uso

Ejemplo: Creación de una VPCde IPv4 y de subredes utilizandola AWS CLI (p. 56)

Utilice la AWS CLI para crear una VPC con una subred pública y unasubred privada.

Ejemplo: Creación de una VPCde IPv6 y de subredes utilizandola AWS CLI (p. 61)

Utilice la AWS CLI para crear una VPC con un bloque de CIDR IPv6asociado y una subred pública y una subred privada, cada una deellas con un bloque de CIDR IPv6 asociado.

the section called “Ejemplo:compartir subredes públicas yprivadas” (p. 52)

Compartir subredes privadas y públicas con cuentas.

the section called “Ejemplo:servicios que utilizan AWSPrivateLink e interconexión deVPC” (p. 53)

Descubra cómo utilizar una combinación de interconexión con VPC yAWS PrivateLink para ampliar el acceso a los servicios privados paralos consumidores.

También puede utilizar una transit gateway para conectar las VPC.

Ejemplo Uso

Router centralizado Puede configurar la transit gateway como un router centralizadoque asocia todas las VPC, AWS Direct Connect y las conexiones deAWS Site-to-Site VPN.

Para obtener más información acerca de cómo configurar la transitgateway como router centralizado, consulte Ejemplo de la gatewayde tránsito: router centralizado en la Gateways de tránsito deAmazon VPC.

VPS aisladas Una transit gateway se puede configurar como varios routersaislados. Es similar a utilizar varias transit gateways, pero ofrecemayor flexibilidad en aquellos casos en los que las rutas y lasvinculaciones pueden cambiar.

Para obtener más información acerca de cómo configurar la transitgateway para aislar las VPC, consulte Ejemplo de la gateway detránsito: VPC aisladas en la Gateways de tránsito de Amazon VPC.

VPC aisladas con servicioscompartidos

Puede configurar su transit gateway como varios routers aisladosque utilizan un servicio compartido. Es similar a utilizar varias transitgateways, pero ofrece mayor flexibilidad en aquellos casos en losque las rutas y las vinculaciones pueden cambiar.

Para obtener más información acerca de cómo configurar la transitgateway para aislar las VPC, consulte Ejemplo de la gateway de

51

https://docs.aws.amazon.com/vpc/latest/tgw/transit-gateway-centralized-router.html

https://docs.aws.amazon.com/vpc/latest/tgw/transit-gateway-centralized-router.html

https://docs.aws.amazon.com/vpc/latest/tgw/transit-gateway-isolated.html

https://docs.aws.amazon.com/vpc/latest/tgw/transit-gateway-isolated.html

https://docs.aws.amazon.com/vpc/latest/tgw/transit-gateway-isolated-shared.html

Amazon Virtual Private Cloud Guía del usuarioEjemplo: compartir subredes públicas y privadas

Ejemplo Usotránsito: VPC aisladas con servicios compartidos en la Gateways detránsito de Amazon VPC.

Ejemplo: compartir subredes públicas y privadasConsidere este escenario en el que desea que una cuenta sea responsable de la infraestructura, incluidaslas subredes, las tablas de ruteo, las gateways, rangos CIDR y otras cuentas que estén en la mismaorganización de AWS para utilizar las subredes. Un propietario de VPC (cuenta A) crea la infraestructurade direccionamiento, incluidas las VPC, las subredes, las tablas de ruteo, las gateways y las ACL de red.La cuenta D desea crear aplicaciones expuestas al público. Las cuentas B y C desean crear aplicacionesprivadas que no necesiten conectarse a Internet y deben encontrarse en subredes privadas. La cuentaA puede usar AWS Resource Access Manager para crear un recurso compartido para las subredes y, acontinuación, compartirlas. La cuenta A comparte la subred pública con la cuenta D y la subred privada conlas cuentas B y C. Las cuentas B, C y D pueden crear recursos en las subredes. Cada cuenta solo puedever las subredes que se comparten con ella, por ejemplo, la cuenta D solo puede ver la subred pública.Cada una de las cuentas puede controlar sus recursos, incluidas las instancias y los grupos de seguridad.

La cuenta A administra la infraestructura IP, incluidas las tablas de ruteo para las subredes públicas y lasprivadas. No se requiere configuración adicional para las subredes compartidas, por lo que las tablas deruteo son las mismas que las de las subredes no compartidas.

La cuenta A (ID de cuenta 1111111111111111) comparte las subredes privadas con la cuenta D(444444444444444444). La cuenta D ve las siguientes subredes y la columna Owner (Propietario)proporciona dos indicadores de que las subredes son compartidas.

• El ID de cuenta es el propietario de la VPC (1111111111111111) y es diferente del ID de la cuenta D(444444444444444444).

• La palabra "compartido" aparece junto al ID de la cuenta del propietario.

52

https://docs.aws.amazon.com/vpc/latest/tgw/transit-gateway-isolated-shared.html

Amazon Virtual Private Cloud Guía del usuarioEjemplo: servicios que utilizan AWSPrivateLink e interconexión de VPC

Ejemplo: servicios que utilizan AWS PrivateLink einterconexión de VPC

Un proveedor de servicios de AWS PrivateLink configura las instancias que ejecutan servicios en su VPC,con un Balanceador de carga de red como front-end. Utilice la interconexión de VPC dentro de la región(VPC que están en la misma región) y la interconexión de VPC entre regiones (VPC que están en regionesdistintas) con AWS PrivateLink para permitir el acceso privado a consumidores.

El consumidor de servicios o el proveedor de servicios puede completar la configuración. Para obtener másinformación, consulte los ejemplos siguientes.

Ejemplos• Ejemplo: el proveedor de servicios configura el servicio (p. 53)• Ejemplo: el consumidor de servicios configura el acceso (p. 54)• Ejemplo: el proveedor de servicios configura un servicio que abarque varias regiones (p. 55)• Ejemplo: el consumidor de servicios configura el acceso entre regiones (p. 55)

Ejemplo: el proveedor de servicios configura elservicioConsidere el ejemplo siguiente, donde un servicio se ejecuta en instancias en la VPC 1 del proveedor. Losrecursos que se encuentran en VPC 1 de consumidor pueden obtener acceso directamente al servicio através de un punto de enlace de la VPC de AWS PrivateLink en la VPC 1 de consumidor.

Para permitir que los recursos que se encuentran en la VPC 2 de consumidor obtengan acceso al serviciode forma privada, el proveedor de servicios debe completar los siguientes pasos:

53

Amazon Virtual Private Cloud Guía del usuarioEjemplo: el consumidor de servicios configura el acceso

1. Crear la VPC 2 de proveedor.2. Configurar la interconexión de VPC entre la VPC 1 de proveedor y la VPC 2 de proveedor para que el

tráfico se pueda direccionar entre las dos VPC.3. Crear el balanceador de carga de red 2 en la VPC 2 de proveedor.4. Configurar los grupos de destino en el balanceador de carga de red 2 que apunten a las direcciones IP

de las instancias de servicio que se encuentran en la VPC 1.5. Ajustar los grupos de seguridad que están asociados con las instancias de servicio en la VPC 1 de

proveedor para que permitan el tráfico desde el balanceador de carga de red 2.6. Crear una configuración de servicio de punto de enlace de VPC en la VPC 2 de proveedor y asociarla

con el balanceador de carga de red 2.

Ejemplo: el consumidor de servicios configura elaccesoConsidere el ejemplo siguiente, donde un servicio se ejecuta en instancias en la VPC del proveedor. Losrecursos que se encuentran en VPC 3 de consumidor pueden obtener acceso directamente al servicio através de un servicio de punto de enlace de VPC de AWS PrivateLink en VPC 3 de consumidor.

Para permitir que los recursos que se encuentran en la VPC 1 de consumidor obtengan acceso al serviciode forma privada, el consumidor del servicio debe completar los siguientes pasos:

1. Crear la VPC 2 de consumidor.2. Crear un punto de enlace de VPC que abarque una o más subredes en la VPC 2 de consumidor.3. Ajustar los grupos de seguridad asociados con el servicio de punto de enlace de VPC en la VPC 2

de consumidor para permitir el tráfico desde las instancias en la VPC 1 de consumidor. Ajustar losgrupos de seguridad asociados con las instancias en la VPC 1 de consumidor para permitir el tráfico alservicio de punto de enlace de VPC en la VPC 2 de consumidor.

4. Configurar la interconexión de VPC entre la VPC 1 de consumidor y la VPC 2 de consumidor para queel tráfico se direccione entre las dos VPC.

54

Amazon Virtual Private Cloud Guía del usuarioEjemplo: el proveedor de servicios configura

un servicio que abarque varias regiones

Ejemplo: el proveedor de servicios configura unservicio que abarque varias regionesConsidere el ejemplo siguiente, donde un servicio se ejecuta en instancias en la VPC 1 del proveedor en laregión A, por ejemplo, us-east-1. Los recursos que se encuentran en la VPC 1 de consumidor en la mismaregión pueden obtener acceso directamente al servicio a través de un punto de enlace de VPC de AWSPrivateLink en la VPC 1 de consumidor.

Para permitir que los recursos que se encuentran en la VPC 2 de consumidor en la región B, por ejemplo,eu-west-1, obtengan acceso al servicio de forma privada, el proveedor del servicio debe completar lossiguientes pasos:

1. Crear la VPC 2 de proveedor en la región B.2. Configurar la interconexión de VPC entre regiones entre la VPC 1 de proveedor y la VPC 2 de

proveedor para que el tráfico se pueda direccionar entre las dos VPC.3. Crear el balanceador de carga de red 2 en la VPC 2 de proveedor.4. Configurar los grupos de destino en el balanceador de carga de red 2 que apunten a las direcciones IP

de las instancias de servicio que se encuentran en la VPC 1.5. Ajustar los grupos de seguridad que están asociados con las instancias de servicio en la VPC 1 de

proveedor para que permitan el tráfico desde el balanceador de carga de red 2.6. Crear una configuración de servicio de punto de enlace de interfaz de VPC en la VPC 2 de proveedor

y asociarla con el balanceador de carga de red 2.

La cuenta de proveedor 2 genera los cargos por transferencia de datos de interconexión entre regiones,cargos del balanceador de carga de red. La cuenta del proveedor 1 genera cargos de instancias deservicio.

Ejemplo: el consumidor de servicios configura elacceso entre regionesConsidere el ejemplo siguiente, donde un servicio se ejecuta en instancias en la VPC del proveedoren la región A, por ejemplo, us-east-1. Los recursos que se encuentran en la VPC 3 del consumidorpueden obtener acceso directamente al servicio a través de un punto de enlace de interfaz VPC de AWSPrivateLink en la VPC 3 del consumidor.

55

Amazon Virtual Private Cloud Guía del usuarioEjemplo: Creación de una VPC de IPv4

y de subredes utilizando la AWS CLI

Para permitir que los recursos que se encuentran en la VPC 1 de consumidor obtengan acceso al serviciode forma privada, el consumidor del servicio debe completar los siguientes pasos:

1. Crear la VPC 2 de consumidor en la región B.2. Crear un punto de enlace de VPC que abarque una o más subredes en la VPC 2 de consumidor.3. Ajustar los grupos de seguridad asociados con el servicio de punto de enlace de VPC en la VPC 2

de consumidor para permitir el tráfico desde las instancias en la VPC 1 de consumidor. Ajustar losgrupos de seguridad asociados con las instancias en la VPC 1 de consumidor para permitir el tráfico alservicio de punto de enlace de VPC en la VPC 2 de consumidor.

4. Configurar la interconexión de VPC entre regiones entre la VPC 1 de consumidor y la VPC 2 deconsumidor para que el tráfico se direccione entre las dos VPC.

Una vez finalizada la configuración, la VPC 1 de consumidor puede obtener acceso al servicio de formaprivada.

La cuenta del consumidor genera cargos por transferencia de datos de interconexión entre regiones,cargos de procesamiento de datos de punto de enlace de VPC y cargos por hora de punto de enlace deVPC. El proveedor genera cargos de balanceador de carga de red y cargos de instancias de servicio.

Ejemplo: Creación de una VPC de IPv4 y desubredes utilizando la AWS CLI

El siguiente ejemplo utiliza comandos de AWS CLI para crear una VPC no predeterminada con un bloquede CIDR de IPv4, y una subred privada y una pública en la VPC. Tras haber creado la VPC y las subredes,puede lanzar una instancia en la subred pública y conectarse a esta. Para comenzar, primero debe instalary configurar la AWS CLI. Para obtener más información, consulte la sección de instalación de la AWSCommand Line Interface.

Tareas• Paso 1: Creación de una VPC y subredes (p. 57)• Paso 2: Creación de su subred pública (p. 57)• Paso 3: Lanzamiento de una instancia en su subred (p. 59)

56

https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-set-up.html


Amazon Virtual Private Cloud Guía del usuarioPaso 1: Creación de una VPC y subredes

• Paso 4: Eliminación (p. 61)

Paso 1: Creación de una VPC y subredesEl primer paso es crear una VPC y dos subredes. Este ejemplo utiliza el bloque de CIDR 10.0.0.0/16para la VPC, pero puede elegir un bloque de CIDR distinto. Para obtener más información, consulteTamaño de subred y VPC (p. 75).

Para crear una VPC y las subredes utilizando la AWS CLI

1. Cree una VPC con un bloque de CIDR 10.0.0.0/16.

aws ec2 create-vpc --cidr-block 10.0.0.0/16

En el documento de salida devuelto, busque y anote el ID de la VPC.

{ "Vpc": { "VpcId": "vpc-2f09a348", ... }}

2. Utilizando el ID de VPC del paso anterior, cree una subred con un bloque de CIDR 10.0.1.0/24.

aws ec2 create-subnet --vpc-id vpc-2f09a348 --cidr-block 10.0.1.0/24

3. Cree una segunda subred en su VPC con un bloque de CIDR 10.0.0.0/24.

aws ec2 create-subnet --vpc-id vpc-2f09a348 --cidr-block 10.0.0.0/24

Paso 2: Creación de su subred públicaUna vez creadas la VPC y las subredes, puede hacer que una de las subredes sea una subred pública;para ello, adjunte una gateway de Internet a su VPC, cree una tabla de ruteo personalizada y configure eldireccionamiento de la subred a la gateway de Internet.

Para convertir su subred en una subred pública

1. Cree una gateway de Internet.

aws ec2 create-internet-gateway

En el documento de salida devuelto, busque y anote el ID de la gateway de Internet.

{ "InternetGateway": { ... "InternetGatewayId": "igw-1ff7a07b", ... }}

2. Con el ID del paso anterior, asocie a la VPC la gateway de Internet.

57

Amazon Virtual Private Cloud Guía del usuarioPaso 2: Creación de su subred pública

aws ec2 attach-internet-gateway --vpc-id vpc-2f09a348 --internet-gateway-id igw-1ff7a07b

3. Cree una tabla de ruteo personalizada para su VPC.

aws ec2 create-route-table --vpc-id vpc-2f09a348

En el documento de salida devuelto, busque y anote el ID de la tabla de ruteo.

{ "RouteTable": { ... "RouteTableId": "rtb-c1c8faa6", ... }}

4. Cree una ruta en la tabla de ruteo que apunte todo el tráfico (0.0.0.0/0) a la gateway de Internet.

aws ec2 create-route --route-table-id rtb-c1c8faa6 --destination-cidr-block 0.0.0.0/0 --gateway-id igw-1ff7a07b

5. Para asegurarse de que su ruta se ha creado y está activa, puede describir la tabla de ruteo y ver losresultados.

aws ec2 describe-route-tables --route-table-id rtb-c1c8faa6

{ "RouteTables": [ { "Associations": [], "RouteTableId": "rtb-c1c8faa6", "VpcId": "vpc-2f09a348", "PropagatingVgws": [], "Tags": [], "Routes": [ { "GatewayId": "local", "DestinationCidrBlock": "10.0.0.0/16", "State": "active", "Origin": "CreateRouteTable" }, { "GatewayId": "igw-1ff7a07b", "DestinationCidrBlock": "0.0.0.0/0", "State": "active", "Origin": "CreateRoute" } ] } ]}

6. La tabla de ruteo no está asociada actualmente a ninguna subred. Debe asociarla a una subred de suVPC para que el tráfico de esa subred se direccione a la gateway de Internet. En primer lugar, utilice elcomando describe-subnets para obtener los ID de su subred. Puede utilizar la opción --filterpara devolver las subredes solo a su nueva VPC, y la opción --query para devolver solo los ID de lasubred y sus bloques de CIDR.

58

Amazon Virtual Private Cloud Guía del usuarioPaso 3: Lanzamiento de una instancia en su subred

aws ec2 describe-subnets --filters "Name=vpc-id,Values=vpc-2f09a348" --query 'Subnets[*].{ID:SubnetId,CIDR:CidrBlock}'

[ { "CIDR": "10.0.1.0/24", "ID": "subnet-b46032ec" }, { "CIDR": "10.0.0.0/24", "ID": "subnet-a46032fc" }]

7. Puede elegir qué subred asociar a la tabla de ruteo personalizada, por ejemplo: subnet-b46032ec.Esta subred será su subred pública.

aws ec2 associate-route-table --subnet-id subnet-b46032ec --route-table-id rtb-c1c8faa6

8. De forma opcional, puede modificar el comportamiento de asignación de su subred para que unainstancia lanzada en la subred reciba automáticamente una dirección IP pública. En caso contrario,asociaría una dirección IP elástica a su instancia después del lanzamiento para que esté accesibledesde Internet.

aws ec2 modify-subnet-attribute --subnet-id subnet-b46032ec --map-public-ip-on-launch

Paso 3: Lanzamiento de una instancia en su subredPara comprobar si su subred es pública y las instancias de la subred están accesibles desde Internet,lance una instancia en su subred pública y conéctese a ella. En primer lugar, debe crear un grupo deseguridad que asociar a su instancia, así como un par de claves para conectar a su instancia. Para obtenermás información acerca de los grupos de seguridad, consulte Grupos de seguridad de su VPC (p. 166).Para obtener más información acerca de pares de claves, consulte Amazon EC2 Key Pairs en la Guía delusuario de Amazon EC2 para instancias de Linux.

Para lanzar una instancia y conectarse a esta en su subred pública

1. Cree un par de claves denominado y utilice la opción --query y la opción de texto --output paratransferir su clave privada directamente a un archivo con extensión .pem.

aws ec2 create-key-pair --key-name MyKeyPair --query 'KeyMaterial' --output text > MyKeyPair.pem

En este ejemplo, lanzará una instancia de Amazon Linux. Si va a usar un cliente SSH en un sistemaoperativo Linux o Mac OS X para conectarse a su instancia, utilice el comando a continuación paraestablecer los permisos de su archivo de clave privada de manera que solo usted pueda leerlo.

chmod 400 MyKeyPair.pem

2. Cree un grupo de seguridad en su VPC, y añada una regla que permita obtener acceso a SSH desdecualquier lugar.

59

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-key-pairs.html

Amazon Virtual Private Cloud Guía del usuarioPaso 3: Lanzamiento de una instancia en su subred

aws ec2 create-security-group --group-name SSHAccess --description "Security group for SSH access" --vpc-id vpc-2f09a348

{ "GroupId": "sg-e1fb8c9a"}

aws ec2 authorize-security-group-ingress --group-id sg-e1fb8c9a --protocol tcp --port 22 --cidr 0.0.0.0/0

Note

Si utiliza 0.0.0.0/0, permitirá que todas las direcciones IPv4 tengan acceso a su instanciamediante SSH. Esto es aceptable para este breve ejercicio, pero, en la producción, autoricesolo una dirección IP específica o un rango de direcciones.

3. Lance una instancia en su subred pública, utilizando el grupo de seguridad y el par de claves que hacreado. En la salida, anote el ID de su instancia.

aws ec2 run-instances --image-id ami-a4827dc9 --count 1 --instance-type t2.micro --key-name MyKeyPair --security-group-ids sg-e1fb8c9a --subnet-id subnet-b46032ec

Note

En este ejemplo, la AMI es una AMI de Amazon Linux en la región US East (N. Virginia). Sise encuentra en una región diferente, necesitará el ID de AMI para una AMI adecuada en suregión. Para obtener más información, consulte Búsqueda de una AMI de Linux en la Guíadel usuario de Amazon EC2 para instancias de Linux.

4. Su instancia debe tener el estado running para poder conectarse a ella. Describa su instancia yconfirme su estado, y tome nota de su dirección IP pública.

aws ec2 describe-instances --instance-id i-0146854b7443af453

{ "Reservations": [ { ... "Instances": [ { ... "State": { "Code": 16, "Name": "running" }, ... "PublicIpAddress": "52.87.168.235", ... } ] } ]}

5. Si su instancia se encuentra en estado de ejecución, puede conectarse a ella utilizando un cliente SSHen un equipo Linux o Mac OS X con el siguiente comando:

60

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/finding-an-ami.html

Amazon Virtual Private Cloud Guía del usuarioPaso 4: Eliminación

ssh -i "MyKeyPair.pem" [email protected]

Si se va a conectar desde un equipo Windows, utilice las siguientes instrucciones: Conexión a lainstancia Linux desde Windows utilizando PuTTY.

Paso 4: EliminaciónUna vez haya verificado que puede conectarse a su instancia, puede terminarla si ya no la necesita.Para ello, utilice el comando terminate-instances. Para eliminar los otros recursos que ha creado en esteejemplo, utilice los siguientes comandos según el orden enumerado:

1. Eliminación de su grupo de seguridad:

aws ec2 delete-security-group --group-id sg-e1fb8c9a

2. Eliminación de sus subredes:

aws ec2 delete-subnet --subnet-id subnet-b46032ec

aws ec2 delete-subnet --subnet-id subnet-a46032fc

3. Eliminación de su tabla de ruteo personalizada:

aws ec2 delete-route-table --route-table-id rtb-c1c8faa6

4. Separación de una gateway de Internet de su VPC:

aws ec2 detach-internet-gateway --internet-gateway-id igw-1ff7a07b --vpc-id vpc-2f09a348

5. Eliminación de una gateway de Internet:

aws ec2 delete-internet-gateway --internet-gateway-id igw-1ff7a07b

6. Eliminación de su VPC:

aws ec2 delete-vpc --vpc-id vpc-2f09a348

Ejemplo: Creación de una VPC de IPv6 y desubredes utilizando la AWS CLI

El siguiente ejemplo utiliza comandos de AWS CLI para crear una VPC no predeterminada con un bloquede CIDR de IPv6, y una subred pública y una privada solo con acceso de salida a Internet. Tras habercreado la VPC y las subredes, puede lanzar una instancia en la subred pública y conectarse a esta. Puedelanzar una instancia en su subred privada y verificar que se puede conectar a Internet. Para comenzar,primero debe instalar y configurar la AWS CLI. Para obtener más información, consulte la sección deinstalación de la AWS Command Line Interface.

Tareas• Paso 1: Creación de una VPC y subredes (p. 62)

61

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/putty.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/terminate-instances.html


Amazon Virtual Private Cloud Guía del usuarioPaso 1: Creación de una VPC y subredes

• Paso 2: Configuración de una subred pública (p. 63)• Paso 3: Configuración de una subred privada de solo salida (p. 65)• Paso 4: Modificación del comportamiento de las direcciones IPv6 de las subredes (p. 66)• Paso 5: Lanzamiento de una instancia en su subred pública (p. 66)• Paso 6: Lanzamiento de una instancia en su subred privada (p. 68)• Paso 7: Eliminación (p. 69)

Paso 1: Creación de una VPC y subredesEl primer paso es crear una VPC y dos subredes. Este ejemplo utiliza el bloque de CIDR IPv410.0.0.0/16 para la VPC, pero puede elegir un bloque de CIDR distinto. Para obtener más información,consulte Tamaño de subred y VPC (p. 75).

Para crear una VPC y las subredes utilizando la AWS CLI

1. Cree una VPC con un bloque de CIDR 10.0.0.0/16 y asocie un bloque de CIDR IPv6 a la VPC.

aws ec2 create-vpc --cidr-block 10.0.0.0/16 --amazon-provided-ipv6-cidr-block

En el documento de salida devuelto, busque y anote el ID de la VPC.

{ "Vpc": { "VpcId": "vpc-2f09a348", ...}

2. Describa su VPC para obtener el bloque de CIDR IPv6 asociado a la VPC.

aws ec2 describe-vpcs --vpc-id vpc-2f09a348

{ "Vpcs": [ { ... "Ipv6CidrBlockAssociationSet": [ { "Ipv6CidrBlock": "2001:db8:1234:1a00::/56", "AssociationId": "vpc-cidr-assoc-17a5407e", "Ipv6CidrBlockState": { "State": "ASSOCIATED" } } ], ...}

3. Cree una subred con un bloque de CIDR IPv4 10.0.0.0/24 y un bloque de CIDR IPv62001:db8:1234:1a00::/64 (de los rangos devueltos en el paso anterior).

aws ec2 create-subnet --vpc-id vpc-2f09a348 --cidr-block 10.0.0.0/24 --ipv6-cidr-block 2001:db8:1234:1a00::/64

4. Cree una segunda subred en su VPC con un bloque de CIDR IPv4 10.0.1.0/24 y un bloque deCIDR IPv6 2001:db8:1234:1a01::/64.

62

Amazon Virtual Private Cloud Guía del usuarioPaso 2: Configuración de una subred pública

aws ec2 create-subnet --vpc-id vpc-2f09a348 --cidr-block 10.0.1.0/24 --ipv6-cidr-block 2001:db8:1234:1a01::/64

Paso 2: Configuración de una subred públicaUna vez creadas la VPC y las subredes, puede hacer que una de las subredes sea una subred pública;para ello, adjunte una gateway de Internet a su VPC, cree una tabla de ruteo personalizada y configure eldireccionamiento de la subred a la gateway de Internet. En este ejemplo, se creará una tabla de ruteo quedireccione todo el tráfico IPv4 y el tráfico IPv6 a una gateway de Internet.

Para convertir su subred en una subred pública

1. Cree una gateway de Internet.

aws ec2 create-internet-gateway

En el documento de salida devuelto, busque y anote el ID de la gateway de Internet.

{ "InternetGateway": { ... "InternetGatewayId": "igw-1ff7a07b", ... }}

2. Con el ID del paso anterior, asocie a la VPC la gateway de Internet.

aws ec2 attach-internet-gateway --vpc-id vpc-2f09a348 --internet-gateway-id igw-1ff7a07b

3. Cree una tabla de ruteo personalizada para su VPC.


En el documento de salida devuelto, busque y anote el ID de la tabla de ruteo.

{ "RouteTable": { ... "RouteTableId": "rtb-c1c8faa6", ... }}

4. Cree una ruta en la tabla de ruteo que apunte todo el tráfico IPv6 (::/0) a la gateway de Internet.

aws ec2 create-route --route-table-id rtb-c1c8faa6 --destination-ipv6-cidr-block ::/0 --gateway-id igw-1ff7a07b

Note

Si su intención es utilizar su subred pública también para el tráfico IPv4, debe añadir otra rutapara el tráfico 0.0.0.0/0 que apunte a la gateway de Internet.

63

Amazon Virtual Private Cloud Guía del usuarioPaso 2: Configuración de una subred pública

5. Para asegurarse de que su ruta se ha creado y está activa, puede describir la tabla de ruteo y ver losresultados.

aws ec2 describe-route-tables --route-table-id rtb-c1c8faa6

{ "RouteTables": [ { "Associations": [], "RouteTableId": "rtb-c1c8faa6", "VpcId": "vpc-2f09a348", "PropagatingVgws": [], "Tags": [], "Routes": [ { "GatewayId": "local", "DestinationCidrBlock": "10.0.0.0/16", "State": "active", "Origin": "CreateRouteTable" }, { "GatewayId": "local", "Origin": "CreateRouteTable", "State": "active", "DestinationIpv6CidrBlock": "2001:db8:1234:1a00::/56" }, { "GatewayId": "igw-1ff7a07b", "Origin": "CreateRoute", "State": "active", "DestinationIpv6CidrBlock": "::/0" } ] } ]}

6. La tabla de ruteo no está asociada actualmente a ninguna subred. Asóciela a una subred de su VPCpara que el tráfico de esa subred se direccione a la gateway de Internet. En primer lugar, describa sussubredes para obtener sus ID. Puede utilizar la opción --filter para devolver las subredes solo asu nueva VPC, y la opción --query para devolver solo los ID de la subred y sus bloques de CIDRIPv4 e IPv6.

aws ec2 describe-subnets --filters "Name=vpc-id,Values=vpc-2f09a348" --query 'Subnets[*].{ID:SubnetId,IPv4CIDR:CidrBlock,IPv6CIDR:Ipv6CidrBlockAssociationSet[*].Ipv6CidrBlock}'

[ { "IPv6CIDR": [ "2001:db8:1234:1a00::/64" ], "ID": "subnet-b46032ec", "IPv4CIDR": "10.0.0.0/24" }, { "IPv6CIDR": [ "2001:db8:1234:1a01::/64" ], "ID": "subnet-a46032fc", "IPv4CIDR": "10.0.1.0/24"

64

Amazon Virtual Private Cloud Guía del usuarioPaso 3: Configuración de una subred privada de solo salida

}]

7. Puede elegir qué subred asociar a la tabla de ruteo personalizada, por ejemplo: subnet-b46032ec.Esta subred será su subred pública.

aws ec2 associate-route-table --subnet-id subnet-b46032ec --route-table-id rtb-c1c8faa6

Paso 3: Configuración de una subred privada de solosalidaPuede configurar la segunda subred en su VPC para que sea una subred privada de solo salida IPv6. Lasinstancias que se lancen en esta subred podrán obtener acceso a Internet a través de IPv6 (por ejemplo,para obtener actualizaciones de software) mediante una gateway de Internet de solo salida, pero los hostsde Internet no podrán obtener acceso a sus instancias.

Para convertir su subred en una subred privada de solo salida

1. Cree una gateway de Internet de solo salida para su VPC. En el documento de salida devuelto,busque y anote el ID de la gateway.

aws ec2 create-egress-only-internet-gateway --vpc-id vpc-2f09a348

{ "EgressOnlyInternetGateway": { "EgressOnlyInternetGatewayId": "eigw-015e0e244e24dfe8a", "Attachments": [ { "State": "attached", "VpcId": "vpc-2f09a348" } ] }}

2. Cree una tabla de ruteo personalizada para su VPC. En el documento de salida devuelto, busque yanote el ID de la tabla de ruteo.


3. Cree una ruta en la tabla de ruteo que apunte todo el tráfico IPv6 (::/0) a la gateway de Internet desolo salida.

aws ec2 create-route --route-table-id rtb-abc123ab --destination-ipv6-cidr-block ::/0 --egress-only-internet-gateway-id eigw-015e0e244e24dfe8a

4. Asocie la tabla de ruteo a la segunda subred en su VPC (describió las subredes en la secciónanterior). Esta subred será su subred privada con acceso a Internet IPv6 de solo salida.

aws ec2 associate-route-table --subnet-id subnet-a46032fc --route-table-id rtb-abc123ab

65

Amazon Virtual Private Cloud Guía del usuarioPaso 4: Modificación del comportamientode las direcciones IPv6 de las subredes

Paso 4: Modificación del comportamiento de lasdirecciones IPv6 de las subredesPuede modificar el comportamiento de las direcciones IP de sus subredes para que las instancias lanzadasen las subredes reciban automáticamente direcciones IPv6. Al lanzar una instancia en la subred, se asignauna dirección IPv6 única del rango de la subred a la interfaz de red principal (eth0) de la instancia.

aws ec2 modify-subnet-attribute --subnet-id subnet-b46032ec --assign-ipv6-address-on-creation

aws ec2 modify-subnet-attribute --subnet-id subnet-a46032fc --assign-ipv6-address-on-creation

Paso 5: Lanzamiento de una instancia en su subredpúblicaPara comprobar si su subred pública es pública y las instancias de la subred están accesibles desdeInternet, lance una instancia en su subred pública y conéctese a ella. En primer lugar, debe crear ungrupo de seguridad que asociar a su instancia, así como un par de claves para conectar a su instancia.Para obtener más información acerca de los grupos de seguridad, consulte Grupos de seguridad de suVPC (p. 166). Para obtener más información acerca de pares de claves, consulte Amazon EC2 Key Pairsen la Guía del usuario de Amazon EC2 para instancias de Linux.

Para lanzar una instancia y conectarse a esta en su subred pública

1. Cree un par de claves denominado y utilice la opción --query y la opción de texto --output paratransferir su clave privada directamente a un archivo con extensión .pem.

aws ec2 create-key-pair --key-name MyKeyPair --query 'KeyMaterial' --output text > MyKeyPair.pem

En este ejemplo, lanzará una instancia de Amazon Linux. Si va a usar un cliente SSH en un sistemaoperativo Linux o OS X para conectarse a su instancia, utilice el comando a continuación paraestablecer los permisos de su archivo de clave privada de manera que solo usted pueda leerlo.

chmod 400 MyKeyPair.pem

2. Cree un grupo de seguridad en su VPC, y añada una regla que permita obtener acceso a SSH desdecualquier dirección IPv6.

aws ec2 create-security-group --group-name SSHAccess --description "Security group for SSH access" --vpc-id vpc-2f09a348

{ "GroupId": "sg-e1fb8c9a"}

aws ec2 authorize-security-group-ingress --group-id sg-e1fb8c9a --ip-permissions '[{"IpProtocol": "tcp", "FromPort": 22, "ToPort": 22, "Ipv6Ranges": [{"CidrIpv6": "::/0"}]}]'

66

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-key-pairs.html

Amazon Virtual Private Cloud Guía del usuarioPaso 5: Lanzamiento de una instancia en su subred pública

Note

Si utiliza ::/0, permitirá que todas las direcciones IPv6 tengan acceso a su instanciamediante SSH. Esto es aceptable para este breve ejercicio, pero, en la producción, autoricesolo una dirección IP específica o un rango de direcciones para obtener acceso a suinstancia.

3. Lance una instancia en su subred pública, utilizando el grupo de seguridad y el par de claves que hacreado. En la salida, anote el ID de su instancia.

aws ec2 run-instances --image-id ami-0de53d8956e8dcf80 --count 1 --instance-type t2.micro --key-name MyKeyPair --security-group-ids sg-e1fb8c9a --subnet-id subnet-b46032ec

Note

En este ejemplo, la AMI es una AMI de Amazon Linux en la región US East (N. Virginia). Sise encuentra en una región diferente, necesita el ID de AMI para una AMI adecuada en suregión. Para obtener más información, consulte Búsqueda de una AMI de Linux en la Guíadel usuario de Amazon EC2 para instancias de Linux.

4. Su instancia debe tener el estado running para poder conectarse a ella. Describa su instancia yconfirme su estado, y tome nota de su dirección IPv6.

aws ec2 describe-instances --instance-id i-0146854b7443af453

{ "Reservations": [ { ... "Instances": [ { ... "State": { "Code": 16, "Name": "running" }, ... "NetworkInterfaces": { "Ipv6Addresses": { "Ipv6Address": "2001:db8:1234:1a00::123" } ... } ] } ]}

5. Si su instancia se encuentra en estado de ejecución, puede conectarse a ella utilizando un cliente SSHen un equipo Linux u OS X con el siguiente comando. Su equipo local debe tener una dirección IPv6configurada.

ssh -i "MyKeyPair.pem" ec2-user@2001:db8:1234:1a00::123

Si se va a conectar desde un equipo Windows, utilice las siguientes instrucciones: Conexión a lainstancia Linux desde Windows utilizando PuTTY.

67

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/finding-an-ami.html



Amazon Virtual Private Cloud Guía del usuarioPaso 6: Lanzamiento de una instancia en su subred privada

Paso 6: Lanzamiento de una instancia en su subredprivadaPara probar si las instancias de su subred privada de solo salida pueden obtener acceso a Internet, lanceuna instancia en su subred privada y conéctese a ella utilizando una instancia de bastión en su subredpública (puede utilizar la instancia que ha lanzado en la sección anterior). En primer lugar, debe crearun grupo de seguridad para la instancia. El grupo de seguridad debe tener una regla que permita a suinstancia de bastión conectarse mediante SSH, así como una regla que admita el comando ping6 (tráficoICMPv6) para verificar que no se puede obtener acceso a la instancia desde Internet.

1. Cree un grupo de seguridad en su VPC y añada una regla que admita el acceso al SSH entrantedesde la dirección IPv6 de la instancia en su subred pública, y una regla que permita todo el tráficoICMPv6:

aws ec2 create-security-group --group-name SSHAccessRestricted --description "Security group for SSH access from bastion" --vpc-id vpc-2f09a348

{ "GroupId": "sg-aabb1122"}

aws ec2 authorize-security-group-ingress --group-id sg-aabb1122 --ip-permissions '[{"IpProtocol": "tcp", "FromPort": 22, "ToPort": 22, "Ipv6Ranges": [{"CidrIpv6": "2001:db8:1234:1a00::123/128"}]}]'

aws ec2 authorize-security-group-ingress --group-id sg-aabb1122 --ip-permissions '[{"IpProtocol": "58", "FromPort": -1, "ToPort": -1, "Ipv6Ranges": [{"CidrIpv6": "::/0"}]}]'

2. Lance una instancia en su subred privada, utilizando el grupo de seguridad que ha creado y el mismopar de claves que utilizó para lanzar la instancia en la subred pública.

aws ec2 run-instances --image-id ami-a4827dc9 --count 1 --instance-type t2.micro --key-name MyKeyPair --security-group-ids sg-aabb1122 --subnet-id subnet-a46032fc

Utilice el comando describe-instances para verificar si su instancia se está ejecutando y obtenersu dirección IPv6.

3. Configure el reenvío de agentes SSH en su equipo local y, a continuación, conéctese a instancia en lasubred pública. Para Linux, utilice los siguientes comandos:

ssh-add MyKeyPair.pem

ssh -A ec2-user@2001:db8:1234:1a00::123

Para OS X, utilice los siguientes comandos:

ssh-add -K MyKeyPair.pem

ssh -A ec2-user@2001:db8:1234:1a00::123

68


Para Windows, utilice las siguientes instrucciones: Para configurar el reenvío de agentes SSH paraWindows (PuTTY) (p. 248). Conéctese a la instancia de la subred pública utilizando su direcciónIPv6.

4. Desde su instancia en la subred pública (la instancia de bastión), conéctese a su instancia en lasubred privada utilizando su dirección IPv6:

ssh ec2-user@2001:db8:1234:1a01::456

5. Desde su instancia privada, compruebe que puede conectarse a Internet ejecutando el comandoping6 para un sitio web que tenga ICMP habilitado; por ejemplo:

ping6 -n ietf.org

PING ietf.org(2001:1900:3001:11::2c) 56 data bytes64 bytes from 2001:1900:3001:11::2c: icmp_seq=1 ttl=46 time=73.9 ms64 bytes from 2001:1900:3001:11::2c: icmp_seq=2 ttl=46 time=73.8 ms64 bytes from 2001:1900:3001:11::2c: icmp_seq=3 ttl=46 time=73.9 ms...

6. Para comprobar que los hosts de Internet no pueden acceder a su instancia en la subred privada,utilice el comando ping6 desde un equipo habilitado para IPv6. Debería obtener una respuestade tiempo de espera. Si obtiene una respuesta válida, su instancia está accesible desde Internet:compruebe la tabla de ruteo asociada a su subred privada y verifique que no tiene una ruta para eltráfico IPv6 a una gateway de Internet.

ping6 2001:db8:1234:1a01::456

Paso 7: EliminaciónDespués de haber verificado que se puede conectar a su instancia en la subred pública y que su instanciaen la subred privada puede obtener acceso a Internet, puede terminar las instancias si ya no las necesita.Para ello, utilice el comando terminate-instances. Para eliminar los otros recursos que ha creado en esteejemplo, utilice los siguientes comandos según el orden enumerado:

1. Eliminación de sus grupos de seguridad:

aws ec2 delete-security-group --group-id sg-e1fb8c9a

aws ec2 delete-security-group --group-id sg-aabb1122

2. Eliminación de sus subredes:

aws ec2 delete-subnet --subnet-id subnet-b46032ec

aws ec2 delete-subnet --subnet-id subnet-a46032fc

3. Eliminación de sus tablas de ruteo personalizadas:

aws ec2 delete-route-table --route-table-id rtb-c1c8faa6

69

https://docs.aws.amazon.com/cli/latest/reference/ec2/terminate-instances.html


aws ec2 delete-route-table --route-table-id rtb-abc123ab

4. Separación de una gateway de Internet de su VPC:

aws ec2 detach-internet-gateway --internet-gateway-id igw-1ff7a07b --vpc-id vpc-2f09a348

5. Eliminación de una gateway de Internet:

aws ec2 delete-internet-gateway --internet-gateway-id igw-1ff7a07b

6. Eliminación de una gateway de Internet de solo salida:

aws ec2 delete-egress-only-internet-gateway --egress-only-internet-gateway-id eigw-015e0e244e24dfe8a

7. Eliminación de su VPC:

aws ec2 delete-vpc --vpc-id vpc-2f09a348

70

Amazon Virtual Private Cloud Guía del usuarioConceptos básicos de VPC y subredes

VPC y subredesCree una VPC y subredes como primeros pasos en Amazon Virtual Private Cloud (Amazon VPC). Paraobtener información general acerca de Amazon VPC, consulte ¿Qué es Amazon VPC? (p. 1).

Contenido• Conceptos básicos de VPC y subredes (p. 71)• Ampliación de los recursos de VPC a las zonas locales de AWS (p. 74)• Subredes en AWS Outposts (p. 74)• Tamaño de subred y VPC (p. 75)• Direccionamiento de la subred (p. 80)• Seguridad de la subred (p. 81)• Uso de VPC y subredes (p. 81)• Trabajar con VPC compartidas (p. 88)

Conceptos básicos de VPC y subredesUna cloud virtual privada (VPC) es una red virtual dedicada para su cuenta de AWS. Esta infraestructuraen la nube está aislada lógicamente de otras redes virtuales de la nube de AWS. Por lo tanto, puede lanzara su VPC recursos de AWS como, por ejemplo, instancias de Amazon EC2.

Al crear una VPC, debe especificar un rango de direcciones IPv4 para la VPC como bloque dedireccionamiento entre dominios sin clases (CIDR). Por ejemplo, 10.0.0.0/16. Se trata del bloque deCIDR principal de la VPC. Para obtener más información acerca de la notación CIDR, consulte RFC 4632.

El diagrama siguiente muestra una nueva VPC con un bloque de CIDR IPv4 y la tabla de ruteo principal.

71

https://tools.ietf.org/html/rfc4632


Una VPC abarca todas las zonas de disponibilidad de la región. Tras crear la VPC, podrá añadir una ovarias subredes en cada zona de disponibilidad. De forma opcional, puede añadir subredes en una zonalocal, que es una implementación de la infraestructura de AWS que acerca los servicios de informática,almacenamiento, base de datos y otros servicios selectos a los usuarios finales. Una zona local permiteque sus usuarios finales ejecuten aplicaciones que requieren latencias de milisegundos de un solodígito. Para obtener información acerca de las regiones que admiten zonas locales, consulte Regionesdisponibles en la Guía del usuario de Amazon EC2 para instancias de Linux. Al crear una subred, debeespecificar el bloque de CIDR de la subred, que es un subconjunto del bloque de CIDR de la VPC. Cadasubred debe residir enteramente en una zona de disponibilidad y no puede abarcar otras zonas. Las zonasde disponibilidad son ubicaciones diferentes diseñadas para quedar aisladas en caso de error en otraszonas de disponibilidad. Al lanzar instancias en distintas zonas de disponibilidad, puede proteger sus

72

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-regions-availability-zones.html#concepts-available-regions



aplicaciones de los errores que se produzcan en una única ubicación. Cada subred tiene asignado un IDúnico.

También es posible asignar un bloque de CIDR IPv6 a su VPC y asignar bloques de CIDR IPv6 a lassubredes.

El diagrama siguiente muestra una VPC configurada con subredes en varias zonas de disponibilidad. 1A,1B, 2A y 3A son instancias de su VPC. La VPC y la subred 1 tienen asignados un bloque de CIDR IPv6. Elpuerto de enlace a Internet permite la comunicación a través de Internet y la conexión de red privada virtual(VPN) permite la comunicación con su red corporativa.

Si el tráfico de una subred se direcciona a un puerto de enlace a Internet, la subred recibe el nombrede subred pública. En este diagrama, la subred 1 es una subred pública. Si desea que su instancia deuna subred pública pueda comunicarse con Internet mediante IPv4, esta debe tener una dirección IPv4pública o una dirección IP elástica (IPv4). Para obtener más información acerca de las direcciones IPv4públicas, consulte Direcciones IPv4 públicas (p. 103). Si desea que su instancia de la subred públicapueda comunicarse con Internet a través de IPv6, esta deberá disponer de una dirección IPv6.

73

Amazon Virtual Private Cloud Guía del usuarioAmpliación de los recursos de

VPC a las zonas locales de AWS

Si una subred no tiene ninguna ruta al puerto de enlace a Internet, la subred recibe el nombre de subredprivada. En este diagrama, la subred 2 es una subred privada.

Si una subred no tiene ninguna ruta a la gateway de Internet pero tiene su tráfico direccionado a unagateway privada virtual para la conexión de Site-to-Site VPN, la subred se conoce como subred de soloVPN. En este diagrama, la subred 3 es una subred de solo VPN. Actualmente, no se admite el tráfico IPv6a través de conexiones de Site-to-Site VPN.

Para obtener más información, consulte Ejemplos de VPC (p. 51), Puertos de enlace a Internet (p. 233) y¿Qué es AWS Site-to-Site VPN? en la Guía del usuario de AWS Site-to-Site VPN.

Note

Independientemente del tipo de subred, el rango de direcciones IPv4 de la subred es siempreprivado; es decir, no se anuncia el bloque de direcciones en Internet.

Se ha establecido una cuota en el número de subredes y VPC que puede crear en su cuenta. Para obtenermás información, consulte Cuotas de Amazon VPC (p. 342).

Ampliación de los recursos de VPC a las zonaslocales de AWS

Las zonas locales de AWS le permiten conectarse sin interrupciones a la gama completa de servicios dela región de AWS, como Amazon Simple Storage Service y Amazon DynamoDB, a través de los mismosconjuntos de herramientas y API. Puede ampliar la región de VPC mediante la creación de una nuevasubred que tenga una asignación de zona local. Cuando crea una subred en una zona local, la VPCtambién se extiende a esta zona local.

Un grupo de bordes de red es un conjunto único de zonas de disponibilidad o zonas locales desde dondeAWS anuncia direcciones IP públicas.

Al crear una VPC que tenga direcciones IPv6, puede optar por asignar un conjunto de direcciones IPpúblicas proporcionadas por Amazon a la VPC y también establecer un grupo de bordes de red paralas direcciones que limitan las direcciones al grupo. Cuando establece un grupo de bordes de red, lasdirecciones IP no pueden moverse entre grupos de bordes de red. El grupo de bordes de red us-west-2contiene las cuatro zonas de disponibilidad EE.UU. Oeste (Oregón). El grupo de bordes de red us-west-2-lax-1 contiene las zonas locales de Los Angeles.

Las siguientes reglas se aplican a las zonas locales:

• Las subredes de zona local siguen las mismas reglas de enrutamiento, incluidas las tablas de ruteo, losgrupos de seguridad y las ACL de red, que la subred de la zona de disponibilidad.

• Puede asignar zonas locales a subredes mediante la Consola de Amazon VPC, la AWS CLI o la API.• Debe aprovisionar las direcciones IP públicas para utilizarlas en una zona local. Cuando asigna

direcciones, puede especificar la ubicación desde la que se anuncia la dirección IP. Nos referimos aesto como un grupo de bordes de red; puede establecer este parámetro para limitar la dirección a estaubicación. Cuando aprovisiona las direcciones IP, no puede moverlas entre la zona local y la regiónprincipal (por ejemplo, desde s-west-2-lax-1a a us-west-2).

• Puede solicitar las direcciones IP proporcionadas por IPv6 de Amazon y asociarlas con el grupo debordes de red para una VPC nueva o existente.

Subredes en AWS OutpostsAWS Outposts le ofrece las mismas herramientas, API, servicios e infraestructura de hardware de AWSpara crear y ejecutar las aplicaciones en las instalaciones y en la nube. AWS Outposts es perfecto para

74


Amazon Virtual Private Cloud Guía del usuarioTamaño de subred y VPC

cargas de trabajo que necesitan una acceso de baja latencia a los sistemas o las aplicaciones en lasinstalaciones y para cargas de trabajo que necesitan almacenar y procesar datos localmente. Para obtenermás información acerca de AWS Outposts, consulte AWS Outposts.

Amazon VPC abarca todas las zonas de disponibilidad de una región de AWS. Al conectar Outposts a laregión principal, todas las VPC existentes y creadas recientemente en la cuenta abarcan todas las zonasde disponibilidad y cualquier ubicación de Outpost asociada de la región.

Las siguientes reglas se aplican a AWS Outposts:

• Las subredes deben residir en una ubicación de Outpost.• Una gateway local gestiona la conectividad de red entre la VPC y las redes en las instalaciones. Para

obtener información acerca de las gateways locales, consulte Gateways locales en la Guía del usuariode AWS Outposts.

• Si la cuenta está asociada a AWS Outposts, debe asignar la subred a un Outpost especificando el ARNdel Outpost cuando crea la subred.

• De forma predeterminada, cada subred que crea en una VPC asociada a un Outpost hereda la tabla deruteo de la VPC principal, incluida la ruta de la gateway local. También puede asociar explícitamenteuna tabla de ruteo personalizada a las subredes de la VPC y tener una gateway local como destino delsiguiente salto para todo el tráfico que se tiene que enrutar en la red en las instalaciones.

Tamaño de subred y VPCAmazon VPC admite la utilización de direcciones IPv4 e IPv6 y tiene distintas cuotas de tamaño de bloquede CIDR para cada tipo de direcciones. De forma predeterminada, todas las VPC y subredes deben tenerbloques de CIDR IPv4. Este comportamiento no se puede modificar. De forma opcional, puede asociar unbloque de CIDR IPv6 con su VPC.

Para obtener más información sobre el direccionamiento de IP, consulte Direcciones IP en suVPC (p. 101).

Contenido• Tamaño de subred Y VPC para direcciones IPv4 (p. 75)• Adición de bloques de CIDR IPv4 a una VPC (p. 76)• Tamaño de subred Y VPC para direcciones IPv6 (p. 80)

Tamaño de subred Y VPC para direcciones IPv4Cuando crea una VPC, debe especificar un bloque de CIDR IPv4 para la VPC. El tamaño de bloquepermitido oscila entre la máscara de subred /16 (65 536 direcciones IP) y /28 (16 direcciones IP). Unavez que haya creado su VPC, puede asociar bloques de CIDR secundarios con ella. Para obtener másinformación, consulte Adición de bloques de CIDR IPv4 a una VPC (p. 76).

Al crear una VPC, se recomienda especificar un bloque de CIDR (de tamaño /16 o menor) de los rangosde direcciones IPv4 privadas tal como se especifica en RFC 1918:

• 10.0.0.0 - 10.255.255.255 (prefijo 10/8)• 172.16.0.0 - 172.31.255.255 (prefijo 172.16/12)• 192.168.0.0 - 192.168.255.255 (prefijo 192.168/16)

Puede crear una VPC con un bloque de CIDR direccionable públicamente externo a los rangos dedirecciones IPv4 privadas especificados en RFC 1918; sin embargo, para esta documentación, lasdirecciones IP privadas son aquellas direcciones IPv4 que se encuentran en el rango de CIDR de su VPC.

75

https://aws.amazon.com/outposts

https://docs.aws.amazon.com/outposts/latest/userguide/outposts-local-gateways.html

http://www.faqs.org/rfcs/rfc1918.html

Amazon Virtual Private Cloud Guía del usuarioAdición de bloques de CIDR IPv4 a una VPC

Note

Si va a crear una VPC para usarla con otro servicio de AWS, consulte la documentación dedicho servicio para comprobar si hay requisitos específicos para el rango de direcciones IP o loscomponentes de red.

El bloque de CIDR de una subred puede ser el mismo que el de la VPC (para una subred única de la VPC)o un subconjunto del mismo (para varias subredes). El tamaño de bloque permitido oscila entre la máscarade subred /28 y /16. Si crea más de una subred en una VPC, los bloques de CIDR de las subredes no sepueden solapar.

Por ejemplo, si crea una VPC con un bloque de CIDR 10.0.0.0/24, esta admitirá 256 direcciones IP.Este bloque de CIDR se puede dividir en dos subredes con 128 direcciones IP cada una. Una subredutilizará el bloque de CIDR 10.0.0.0/25 (para el intervalo de direcciones 10.0.0.0 - 10.0.0.127)y la otra utilizará el bloque de CIDR 10.0.0.128/25 (para el intervalo de direcciones 10.0.0.128 -10.0.0.255).

Existen muchas herramientas disponibles que le ayudarán a calcular los bloques de CIDR de la subred.Por ejemplo, consulte el sitio web http://www.subnet-calculator.com/cidr.php. Además, su grupo deingeniería de red podrá ayudarle a determinar los bloques de CIDR que debe especificar a las subredes.

Las cuatro primeras direcciones IP y la última dirección IP de cada bloque de CIDR de las subredes no sepodrán utilizar y no se pueden asignar a ninguna instancia. Por ejemplo, en una subred con el bloque deCIDR 10.0.0.0/24, estarán reservadas las cinco direcciones IP siguientes:

• 10.0.0.0: dirección de red.• 10.0.0.1: reservada por AWS para el router de la VPC.• 10.0.0.2: reservada por AWS. La dirección IP del servidor DNS es la base del intervalo de red de

la VPC más dos. En el caso de las VPC con varios bloques de CIDR, la dirección IP del servidor DNSse encuentra en el CIDR principal. También reservamos la base de cada intervalo de red más dospara todos los bloques de CIDR de la VPC. Para obtener más información, consulte Servidor DNS deAmazon (p. 272).

• 10.0.0.3: reservada por AWS para futura utilización.• 10.0.0.255: dirección de difusión de red. Puesto que la difusión no se admite en las VPC, esta

dirección queda reservada.

Adición de bloques de CIDR IPv4 a una VPCPuede asociar bloques de CIDR IPv4 secundarios con su VPC. Al asociar un bloque de CIDR con su VPC,se agrega una ruta automáticamente a sus tables de ruteo de VPC para habilitar el direccionamiento en laVPC (el destino es el bloque de CIDR y el objetivo es local).

En el ejemplo siguiente, la VPC de la izquierda tiene un solo bloque de CIDR (10.0.0.0/16) y dossubredes. La VPC de la derecha representa la arquitectura de la misma VPC después de haber agregadoun segundo bloque de CIDR (10.2.0.0/16) y haber creado una subred a partir del rango del segundoCIDR.

76

http://www.subnet-calculator.com/cidr.php


Para añadir un bloque de CIDR a su VPC, se aplican las siguientes reglas:

• El tamaño de bloque permitido oscila entre la máscara de subred /28 y /16.• El bloque de CIDR no se debe solapar con otro bloque de CIDR existente que esté asociado con la VPC.• Los rangos de las direcciones IPv4 que puede usar están sujetos a ciertas restricciones. Para obtener

más información, consulte Restricciones de asociación de bloques de CIDR IPv4 (p. 78).• No es posible aumentar o reducir el tamaño de un bloque de CIDR existente.• Hay una cuota en el número de bloques de CIDR que se pueden asociar con una VPC y el número de

rutas que se pueden agregar a una tabla de ruteo. No puede asociar un bloque de CIDR si el resultadosupera las cuotas. Para obtener más información, consulte Cuotas de Amazon VPC (p. 342).

• El bloque de CIDR no debe ser igual o mayor que el rango de CIDR de una ruta en cualquiera de lastablas de ruteo de VPC. Por ejemplo, en una VPC donde el bloque de CIDR principal es 10.2.0.0/16,desea asociar un bloque de CIDR secundario en el rango 10.0.0.0/16. Ya tiene una ruta con undestino de 10.0.0.0/24 a una gateway privada virtual, por tanto no puede asociar un bloque de CIDRdel mismo rango o superior. No obstante, puede asociar un bloque de CIDR de 10.0.0.0/25 o menor.

• Si ha habilitado la VPC para ClassicLink, puede asociar bloques de CIDR de los rangos 10.0.0.0/16 y10.1.0.0/16, pero no puede asociar ningún otro bloque de CIDR del rango 10.0.0.0/8.

• Se aplican las siguientes reglas al agregar bloques de CIDR IPv4 a una VPC de forma parte de unainterconexión de VPC:• Si la interconexión de VPC es active, puede agregar bloques de CIDR a una VPC siempre que no

se solapen con un bloque de CIDR de la VPC del mismo nivel.• Si la interconexión de VPC es pending-acceptance, el propietario de la VPC del solicitante no

puede agregar ningún bloque de CIDR a la VPC, independientemente de si se solapa con el bloque deCIDR de la VPC del aceptador. El propietario de la VPC del aceptador debe aceptar la interconexióno el propietario de la VPC del solicitante debe eliminar la solicitud de interconexión de VPC, agregar elbloque de CIDR y, a continuación, solicitar una nueva interconexión de VPC.

77


• Si la interconexión de VPC es pending-acceptance, el propietario de la VPC del aceptador puedeagregar bloques de CIDR a la VPC. Si un bloque de CIDR secundario se solapa con un bloquede CIDR de la VPC del solicitante, se produce un error en la interconexión de VPC y no se puedeaceptar.

• Si utiliza AWS Direct Connect para conectar con varias VPC a través de una gateway de Direct Connect,las VPC asociadas a la gateway no deben tener bloques de CIDR solapados. Si añade un bloque deCIDR a una de las VPC asociadas a la gateway de Direct Connect, asegúrese de que el nuevo bloquede CIDR no se solape con un bloque de CIDR existente de cualquier otra VPC asociada. Para obtenermás información, consulte Gateways de Direct Connect en la Guía del usuario de AWS Direct Connect.

• Cuando añade o elimina un bloque de CIDR, este puede pasar por varios estados: associating |associated | disassociating | disassociated | failing | failed. El bloque de CIDR está listopara usar cuando se encuentra en el estado associated.

En la siguiente tabla se proporciona información general de las asociaciones de bloques de CIDRpermitidas y restringidas, que dependen del rango de direcciones IPv4 en el que se encuentre el bloque deCIDR principal de la VPC.

Restricciones de asociación de bloques de CIDR IPv4

Rango de direcciones IP en elque se encuentra el bloque deCIDR de VPC principal

Asociaciones de bloques deCIDR restringidas

Asociaciones de bloques deCIDR permitidas

10.0.0.0/8 Bloques de CIDR de otros rangosRFC 1918* (172.16.0.0/12 y192.168.0.0/16).

Si su bloque de CIDR principalse encuentra en el rango10.0.0.0/15, no puede agregarun bloque de CIDR del rango10.0.0.0/16.

Un bloque de CIDR del rango198.19.0.0/16.

Cualquier otro CIDR delrango 10.0.0.0/8 que no estérestringido.

Cualquier bloque de IPv4direccionable públicamente (noRFC 1918), o un bloque de CIDRdel rango 100.64.0.0/10.

172.16.0.0/12 Bloques de CIDR de otrosrangos RFC 1918* (10.0.0.0/8 y192.168.0.0/16).



Cualquier otro CIDR del rango172.16.0.0/12 que no estérestringido.


192.168.0.0/16 Bloques de CIDR de otros rangosRFC 1918* (172.16.0.0/12 y10.0.0.0/8).


Cualquier otro bloque de CIDRdel rango 192.168.0.0/16.


198.19.0.0/16 Bloques de CIDR de rangos RFC1918*.

Cualquier bloque de IPv4direccionable públicamente (no

78

https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-gateways.html


Rango de direcciones IP en elque se encuentra el bloque deCIDR de VPC principal

Asociaciones de bloques deCIDR restringidas

Asociaciones de bloques deCIDR permitidas

RFC 1918), o un bloque de CIDRdel rango 100.64.0.0/10.

Bloque de CIDR direccionablepúblicamente (no RFC 1918),o un bloque de CIDR del rango100.64.0.0/10.

Bloques de CIDR de los rangosRFC 1918*.


Cualquier otro bloque de CIDRIPv4 direccionable públicamente(no RFC 1918), o un bloque deCIDR del rango 100.64.0.0/10.

*Los rangos de RFC 1918 son los rangos de direcciones IPv4 privadas que se especifican en RFC 1918.

Puede desvincular un bloque de CIDR que haya asociado con la VPC; sin embargo, no puede desvincularel bloque de CIDR con el que haya creado originalmente la VPC (el bloque de CIDR principal). Para ver elCIDR principal de su VPC en la consola de Amazon VPC, elija Your VPCs (Sus VPC), seleccione su VPC yanote la primera entrada en CIDR blocks (Bloques de CIDR). También puede utilizar el comando describe-vpcs:

aws ec2 describe-vpcs --vpc-id vpc-1a2b3c4d

En el resultado que se devuelve, el CIDR se devuelve en el elemento CidrBlock de nivel superior (elpenúltimo elemento del resultado de ejemplo siguiente).

{ "Vpcs": [ { "VpcId": "vpc-1a2b3c4d", "InstanceTenancy": "default", "Tags": [ { "Value": "MyVPC", "Key": "Name" } ], "CidrBlockAssociations": [ { "AssociationId": "vpc-cidr-assoc-3781aa5e", "CidrBlock": "10.0.0.0/16", "CidrBlockState": { "State": "associated" } }, { "AssociationId": "vpc-cidr-assoc-0280ab6b", "CidrBlock": "10.2.0.0/16", "CidrBlockState": { "State": "associated" } } ], "State": "available", "DhcpOptionsId": "dopt-e0fe0e88", "CidrBlock": "10.0.0.0/16", "IsDefault": false } ]}

79


https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpcs.html


Amazon Virtual Private Cloud Guía del usuarioTamaño de subred Y VPC para direcciones IPv6

Tamaño de subred Y VPC para direcciones IPv6Es posible asociar un único bloque de CIDR IPv6 a una VPC existente de su cuenta o al crear una nuevaVPC. El bloque de CIDR es una longitud de prefijo determinada de /56. Puede solicitar un bloque de CIDRIPv6 del grupo de direcciones IPv6 de Amazon.

Si ha asociado un bloque de CIDR IPv6 a su VPC, podrá asociar un bloque de CIDR IPv6 a una subredexistente en su VPC, o bien podrá crear una nueva subred. El bloque de CIDR IPv6 de una subred es unalongitud de prefijo determinada de /64.

Por ejemplo, puede crear una VPC y especificar que desea asociar un bloque de CIDR IPv6proporcionado por Amazon a la VPC. Amazon asigna el siguiente bloque de CIDR IPv6 a suVPC: 2001:db8:1234:1a00::/56. No puede elegir el intervalo de direcciones IP usted mismo.Puede crear una subred y asociar un bloque de CIDR IPv6 desde este rango. Por ejemplo,2001:db8:1234:1a00::/64.

Asimismo, puede anular la asociación de un bloque de CIDR IPv6 de una subred y anular la asociaciónde un bloque de CIDR IPv6 de una VPC. Tras anular la asociación de un bloque de CIDR IPv6 de unaVPC, no podrá esperar recibir el mismo CIDR si vuelve a asociar un bloque de CIDR IPv6 a su VPC másadelante.

Las cuatro primeras direcciones IPv6 y la última dirección IPv6 de cada bloque de CIDR de las subredesno se podrán utilizar y no se pueden asignar a ninguna instancia. Por ejemplo, en una subred con elbloque de CIDR 2001:db8:1234:1a00/64, estarán reservadas las cinco direcciones IP siguientes:

• 2001:db8:1234:1a00::

• 2001:db8:1234:1a00::1

• 2001:db8:1234:1a00::2

• 2001:db8:1234:1a00::3

• 2001:db8:1234:1a00:ffff:ffff:ffff:ffff

Direccionamiento de la subredCada subred debe estar asociada a una tabla de ruteo que, a su vez, especifica las rutas permitidas parael tráfico saliente de la subred. Cada subred que se crea se asocia automáticamente a la tabla de ruteoprincipal de la VPC. Es posible cambiar la asociación y el contenido de la tabla de ruteo principal. Paraobtener más información, consulte Tablas de ruteo (p. 212).

En el diagrama anterior, la tabla de ruteo asociada a la subred 1 direcciona todo el tráfico IPv4(0.0.0.0/0) e IPv6 (::/0) a un puerto de enlace a Internet (por ejemplo, igw-1a2b3c4d). Puesto quela instancia 1A tiene una dirección IP elástica IPv4 y la instancia 1B tiene una dirección IPv6, ambas estándisponibles desde Internet mediante IPv4 e IPv6, respectivamente.

Note

(Solo IPv4) El acceso a la dirección IPv4 elástica o la dirección IPv4 pública asociada a suinstancia se realiza a través del puerto de enlace a Internet de su VPC. El tráfico que pasa por laconexión de AWS Site-to-Site VPN entre su instancia y otra red atraviesa una gateway privadavirtual y no la gateway de Internet; por lo tanto, no obtiene acceso a la dirección IPv4 elástica ni ala dirección IPv4 pública.

La instancia 2A no puede tener acceso a Internet, pero sí puede obtener acceso a otras instancias dela VPC. También puede permitir que una instancia de su VPC inicie conexiones salientes a Internet

80

Amazon Virtual Private Cloud Guía del usuarioSeguridad de la subred

a través de IPv4 y bloquear las conexiones entrantes no deseadas procedentes de Internet medianteuna instancia o una gateway de conversión de direcciones de red (NAT). Puesto que el número dedirecciones IP elásticas que se puede asignar es limitado, se recomienda utilizar un dispositivo NAT sitiene más instancias que requieran dirección IP pública estática. Para obtener más información, consulteNAT (p. 242). Para iniciar comunicaciones de solo salida a Internet mediante IPv6, puede utilizar unpuerto de enlace a Internet de solo salida. Para obtener más información, consulte Gateways de Internetde solo salida (p. 239).

La tabla de ruteo asociada a la subred 3 direcciona todo el tráfico IPv4 (0.0.0.0/0) a una gatewayprivada virtual (por ejemplo, vgw-1a2b3c4d). La instancia 3A puede obtener acceso a los equipos de lared corporativa mediante la conexión de Site-to-Site VPN.

Seguridad de la subredAWS cuenta con dos características que puede usar para aumentar la seguridad de la VPC: los gruposde seguridad y las ACL de red. Los grupos de seguridad controlan el tráfico de entrada y salida de lasinstancias, mientras que las ACL de red controlan el tráfico de entrada y salida de las subredes. En lamayoría de los casos, los grupos de seguridad se ajustarán a sus necesidades. No obstante, puede usartambién las ACL de red si desea agregar un nivel de seguridad adicional en la VPC. Para obtener másinformación, consulte Privacidad del tráfico entre redes en Amazon VPC (p. 123).

Por diseño, cada subred debe estar asociada a una ACL de red. Cada subred que se crea se asociaautomáticamente a la ACL de red predeterminada de la VPC. Es posible cambiar la asociación yel contenido de la ACL de red predeterminada. Para obtener más información, consulte ACL dered (p. 175).

Puede crear un log de flujo en su VPC o subred para capturar el flujo de tráfico entrante y saliente delas interfaces de red de su VPC o subred. También es posible crear un log de flujo en una interfaz dered individual. Los registros de flujo se publican en CloudWatch Logs o Amazon S3. Para obtener másinformación, consulte Logs de flujo de VPC (p. 141).

Uso de VPC y subredesLos procedimientos siguientes describen la creación manual de VPC y subredes. También tendrá queañadir manualmente gateways y tablas de ruteo. De manera alternativa, puede utilizar el asistente deAmazon VPC para crear una VPC y sus subredes, gateways y tablas de ruteo en un solo paso. Paraobtener más información, consulte Ejemplos de VPC (p. 51).

Tareas• Creación de una VPC (p. 82)• Creación de una subred en la VPC (p. 83)• Asociación de un bloque de CIDR IPv4 secundario con su VPC (p. 84)• Asociación de un bloque de CIDR IPv6 a su VPC (p. 84)• Asociación de un bloque de CIDR IPv6 a su subred (p. 85)• Lanzamiento de una instancia en su subred (p. 85)• Eliminación de su subred (p. 86)• Desvinculación de un bloque de CIDR IPv4 de su VPC (p. 86)• Anulación de la asociación de un bloque de CIDR IPv6 a su VPC o subred (p. 87)• Eliminación de su VPC (p. 88)

81

Amazon Virtual Private Cloud Guía del usuarioCreación de una VPC

Creación de una VPCPuede crear una VPC vacía mediante la consola de Amazon VPC.

Note

Bring Your Own IP Addresses (BYOIP) para IPv6 solo está disponible en versión de vista previa.

Para crear una VPC con la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Your VPCs, Create VPC.3. Especifique los siguientes detalles de VPC según sea necesario y elija Create (Crear).

• Name tag: indique, de manera opcional, un nombre para su VPC. Esta acción creará una etiquetacon una clave de Name y el valor que especifique.

• IPv4 CIDR block: especifique un bloque de CIDR IPv4 para la VPC. Se recomienda especificar unbloque de CIDR de los rangos de direcciones IP privadas (no direccionables públicamente) tal comose especifica en RFC 1918. Por ejemplo, 10.0.0.0/16 o 192.168.0.0/16.

Note

Puede especificar un rango de direcciones IPv4 direccionables públicamente; sinembargo, actualmente solo se admite el acceso directo a Internet desde bloques de CIDRdireccionables públicamente en una VPC. Las instancias de Windows no se podrán iniciarcorrectamente si se lanzan en una VPC con rangos que oscilan desde 224.0.0.0 a255.255.255.255 (rangos de direcciones IP de clase D y clase E).

• IPv6 CIDR block (Bloque de CIDR IPv6): si lo desea, asocie un bloque de CIDR IPv6 a su VPCseleccionando una de las siguientes opciones:• Amazon-provided IPv6 CIDR block (Bloque de CIDR IPv6 proporcionado por Amazon): solicita un

bloque de CIDR IPv6 del grupo de direcciones IPv6 de Amazon.• IPv6 CIDR owned by me (CIDR IPv6 de mi propiedad: (BYOIP) Asigna un bloque de CIDR IPv6

de su grupo de direcciones IPv6. En Pool (Grupo), elija el grupo de direcciones IPv6 desde el quedesea asignar el bloque de CIDR IPv6.

• Tenancy (Propiedad): seleccione una opción de propiedad. La tenencia dedicada garantiza que lasinstancias se ejecutan en hardware de un solo propietario. Para obtener más información, consulteInstancias dedicadas en la Guía del usuario de Amazon EC2 para instancias de Linux.

También puede utilizar una herramienta de la línea de comandos.

Para crear una VPC con una herramienta de la línea de comandos

• create-vpc (AWS CLI)• New-EC2Vpc (Herramientas de AWS para Windows PowerShell)

Para describir una VPC con una herramienta de la línea de comandos

• describe-vpcs (AWS CLI)• Get-EC2Vpc (Herramientas de AWS para Windows PowerShell)

Para obtener más información acerca de las direcciones IP, consulte Direcciones IP en su VPC (p. 101).

Una vez creada la VPC, podrá crear las subredes. Para obtener más información, consulte Creación deuna subred en la VPC (p. 83).

82

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-byoip.html



https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpc.html

https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Vpc.html


https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Vpc.html

Amazon Virtual Private Cloud Guía del usuarioCreación de una subred en la VPC

Creación de una subred en la VPCPara agregar una nueva subred a su VPC, deberá especificar un bloque de CIDR IPv4 para la subred delrango de su VPC. Puede especificar la zona de disponibilidad en la que desea que se encuentre la subred.Puede tener varias subredes en la misma zona de disponibilidad.

También puede especificar un bloque de CIDR IPv6 para su subred si el bloque de CIDR IPv6 estáasociado a su VPC.

Para agregar una subred a su VPC con la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Subnets (Subredes), Create Subnet (Crear subred).3. Especifique los detalles de la subred según sea necesario y elija Create (Crear).

• Name tag: indique, de manera opcional, un nombre para su subred. Esta acción creará una etiquetacon una clave de Name y el valor que especifique.

• VPC: elija la VPC para la que va a crear la subred.• Availability Zone (Zona de disponibilidad): de forma opcional, elija la zona de disponibilidad o

zona local en la que residirá la subred, o bien deje el valor predeterminado No Preference (Sinpreferencias) para que AWS elija una zona de disponibilidad por usted.

Para obtener información acerca de las regiones que admiten zonas locales, consulte Regionesdisponibles en la Guía del usuario de Amazon EC2 para instancias de Linux.

• IPv4 CIDR block: especifique un bloque de CIDR IPv4 para su subred. Por ejemplo, 10.0.1.0/24.Para obtener más información, consulte Tamaño de subred Y VPC para direcciones IPv4 (p. 75).

• IPv6 CIDR block: (opcional) si ha asociado un bloque de CIDR IPv6 a su VPC, elija Specify acustom IPv6 CIDR. Especifique la pareja de valores hexadecimales de la subred, o bien deje el valorpredeterminado.

4. (Optional) Si es necesario, repita los pasos anteriores para crear más subredes en su VPC.


Para agregar una subred con una herramienta de la línea de comandos

• create-subnet (AWS CLI)• New-EC2Subnet (Herramientas de AWS para Windows PowerShell)

Para describir una subred con una herramienta de la línea de comandos

• describe-subnets (AWS CLI)• Get-EC2Subnet (Herramientas de AWS para Windows PowerShell)

Una vez creada la subred, podrá hacer lo siguiente:

• Configurar el direccionamiento. Para convertir su subred en una subred pública, debe adjuntar un puertode enlace a Internet a su VPC. Para obtener más información, consulte Creación y asociación de unpuerto de enlace a Internet (p. 236). A continuación, podrá crear una tabla de ruteo personalizada yagregar una ruta al puerto de enlace a Internet. Para obtener más información, consulte Crear una tablade ruteo personalizada (p. 236). Para obtener más opciones de direccionamiento, consulte Tablas deruteo (p. 212).

83




https://docs.aws.amazon.com/cli/latest/reference/ec2/create-subnet.html

https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Subnet.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-subnets.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Subnet.html

Amazon Virtual Private Cloud Guía del usuarioAsociación de un bloque de CIDR

IPv4 secundario con su VPC

• Modificar la configuración de la subred para especificar que todas las instancias que se lancen enla subred reciban una dirección IPv4 pública, una dirección IPv6 o ambas cosas. Para obtener másinformación, consulte Comportamiento de las direcciones IP de su subred (p. 104).

• Crear o modificar sus grupos de seguridad según sea necesario. Para obtener más información, consulteGrupos de seguridad de su VPC (p. 166).

• Crear o modificar las ACL de red según sea necesario. Para obtener más información, consulte ACL dered (p. 175).

• Compartir la subred con otras cuentas. Para obtener más información, consulte ??? (p. 89).

Asociación de un bloque de CIDR IPv4 secundario consu VPCPuede agregar otro bloque de CIDR IPv4 a su VPC. No se olvide consultar las restricciones (p. 76)aplicables.

Después de haber asociado un bloque de CIDR, el estado cambia a associating. El bloque de CIDRestá listo para usar cuando se encuentra en el estado associated.

Para agregar un bloque de CIDR a su VPC con la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Your VPCs.3. Seleccione la VPC y elija Actions, Edit CIDRs.4. Elija Add IPv4 CIDR y escriba el bloque de CIDR que se agregará, por ejemplo, 10.2.0.0/16.

Seleccione el icono de marca de verificación.5. Seleccione la opción Close.


Para agregar un bloque de CIDR con una herramienta de la línea de comandos

• associate-vpc-cidr-block (AWS CLI)• Register-EC2VpcCidrBlock (Herramientas de AWS para Windows PowerShell)

Después de haber agregado los bloques de CIDR IPv4 que necesita, puede crear las subredes. Paraobtener más información, consulte Creación de una subred en la VPC (p. 83).

Asociación de un bloque de CIDR IPv6 a su VPCEs posible asociar un bloque de CIDR IPv6 a cualquier VPC existente. La VPC no puede tener ningúnbloque de CIDR IPv6 asociado.

Note

Bring Your Own IP Addresses (BYOIP) para IPv6 solo está disponible en versión de vista previa.

Para asociar un bloque de CIDR IPv6 a una VPC con la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Your VPCs.3. Seleccione su VPC, elija Actions, Edit CIDRs.4. Elija Add IPv6 CIDR.

84


https://docs.aws.amazon.com/cli/latest/reference/ec2/associate-vpc-cidr-block.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Register-EC2VpcCidrBlock.html



Amazon Virtual Private Cloud Guía del usuarioAsociación de un bloque de CIDR IPv6 a su subred

5. Elija Add IPv6 CIDR.6. En IPv6 CIDR block (Bloque de CIDR IPv6), elija una de las siguientes opciones y, a continuación,

elija Select CIDR (Seleccionar CIDR):

• Amazon-provided IPv6 CIDR block (Bloque de CIDR IPv6 proporcionado por Amazon): solicita unbloque de CIDR IPv6 del grupo de direcciones IPv6 de Amazon.

• IPv6 CIDR owned by me (CIDR IPv6 de mi propiedad: (BYOIP) Asigna un bloque de CIDR IPv6de su grupo de direcciones IPv6. En Pool (Grupo), elija el grupo de direcciones IPv6 desde el quedesea asignar el bloque de CIDR IPv6.

7. Si seleccionó el bloque de CIDR IPv6 proporcionado por Amazon, en Network border group (Grupo deborde de red), seleccione el grupo desde el que AWS anuncia las direcciones IP.

8. Seleccione Select CIDR (Seleccionar CIDR).9. Seleccione la opción Close.


Para asociar un bloque de CIDR IPv6 a una VPC con una herramienta de la línea de comandos

• associate-vpc-cidr-block (AWS CLI)• Register-EC2VpcCidrBlock (Herramientas de AWS para Windows PowerShell)

Asociación de un bloque de CIDR IPv6 a su subredPuede asociar un bloque de CIDR IPv6 a una subred existente de su VPC. La subred no puede tenerningún bloque de CIDR IPv6 asociado.

Para asociar un bloque de CIDR IPv6 a una subred con la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Subnets.3. Seleccione su subred, elija Subnet Actions, Edit IPv6 CIDRs.4. Elija Add IPv6 CIDR. Especifique la pareja de valores hexadecimales para la subred (por ejemplo, 00)

y confirme la entrada seleccionando el icono de marca de verificación.5. Seleccione la opción Close.


Para asociar un bloque de CIDR IPv6 a una subred con una herramienta de la línea de comandos

• associate-subnet-cidr-block (AWS CLI)• Register-EC2SubnetCidrBlock (Herramientas de AWS para Windows PowerShell)

Lanzamiento de una instancia en su subredUna vez creada la subred y configurado el direccionamiento, podrá lanzar la instancia en su subredmediante la consola de Amazon EC2.

Para lanzar una instancia en su subred privada con la consola

1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel, elija Launch Instance.

85

https://docs.aws.amazon.com/cli/latest/reference/ec2/associate-vpc-cidr-block.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Register-EC2VpcCidrBlock.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/associate-subnet-cidr-block.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Register-EC2SubnetCidrBlock.html


Amazon Virtual Private Cloud Guía del usuarioEliminación de su subred

3. Siga las indicaciones del asistente. Seleccione una AMI y un tipo de instancia y, a continuación, elijaNext: Configure Instance Details.

Note

Si desea que su instancia se comunique mediante IPv6, debe seleccionar un tipo de instanciacompatible. Todos los tipos de instancia de la generación actual admiten direcciones IPv6.

4. En la página Configure Instance Details, asegúrese de haber seleccionado la VPC necesaria en lalista Network. A continuación, seleccione la subred en la que desea lanzar la instancia. Deje las demásopciones predeterminadas de la página y elija Next: Add Storage.

5. En las páginas siguientes del asistente, podrá configurar el almacenamiento de su instancia y añadiretiquetas. En la página Configure Security Group, elija uno de los grupos de seguridad existentes desu propiedad, o bien siga las instrucciones del asistente para crear un nuevo grupo de seguridad. ElijaReview and Launch cuando haya terminado.

6. Revise la configuración y elija Launch.7. Seleccione un par de claves de su propiedad o cree uno nuevo. A continuación, elija Launch Instances

cuando haya terminado.


Para lanzar una instancia en su subred privada con una herramienta de la línea de comandos

• run-instances (AWS CLI)• New-EC2Instance (Herramientas de AWS para Windows PowerShell)

Eliminación de su subredSi ya no necesita su subred, puede eliminarla. Para ello, antes deberá terminar las instancias de la subred.

Para eliminar su subred con la consola

1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. Termine todas las instancias de la subred. Para obtener más información, consulte Terminar una

instancia en la Guía del usuario de EC2.3. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.4. En el panel de navegación, elija Subnets.5. Seleccione la subred que desea eliminar y elija Actions (Acciones), Delete subnet (Eliminar subred).6. En el cuadro de diálogo Delete Subnet (Eliminar subred), elija Yes, Delete (Sí, eliminar).


Para eliminar una subred con una herramienta de la línea de comandos

• delete-subnet (AWS CLI)• Remove-EC2Subnet (Herramientas de AWS para Windows PowerShell)

Desvinculación de un bloque de CIDR IPv4 de su VPCSi su VPC tiene varios bloques de CIDR IPv4 asociados a ella, puede desvincular un bloque de CIDRIPv4 de la VPC. No se puede desvincular el bloque de CIDR IPv4 principal. Solo se puede desvincular unbloque de CIDR completo, es decir, no se puede desvincular un subconjunto de un bloque de CIDR o unrango fusionado de bloques de CIDR. Primero debe eliminar todas las subredes del bloque de CIDR.

86

https://docs.aws.amazon.com/cli/latest/reference/ec2/run-instances.html

https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Instance.html


https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/terminating-instances.html



https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-subnet.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2Subnet.html

Amazon Virtual Private Cloud Guía del usuarioAnulación de la asociación de un bloque

de CIDR IPv6 a su VPC o subred

Para eliminar un bloque de CIDR de una VPC con la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Your VPCs.3. Seleccione la VPC y elija Actions, Edit CIDRs.4. En VPC IPv4 CIDRs, elija el botón de eliminación (una cruz) correspondiente al bloque de CIDR que

se eliminará.5. Seleccione la opción Close.


Para eliminar un bloque de CIDR IPv4 de una VPC con una herramienta de la línea de comandos

• disassociate-vpc-cidr-block (AWS CLI)• Unregister-EC2VpcCidrBlock (Herramientas de AWS para Windows PowerShell)

Anulación de la asociación de un bloque de CIDR IPv6a su VPC o subredSi ya no desea que su VPC o subred admitan IPv6 pero desea seguir utilizando su VPC o su subred paracrear y comunicarse con recursos IPv4, puede anular la asociación del bloque de CIDR IPv6.

Para anular la asociación de un bloque de CIDR IPv6, primero deberá anular la asignación de lasdirecciones IPv6 asignadas a las instancias de su subred. Para obtener más información, consulteAnulación de la asignación de una dirección IPv6 de una instancia (p. 108).

Para desvincular un bloque de CIDR IPv6 de una subred con la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Subnets.3. Seleccione su subred, elija Actions (Acciones), Edit IPv6 CIDRs (Editar CIDR IPv6).4. Elimine el bloque de CIDR IPv6 de la subred seleccionando el icono con forma de equis.5. Seleccione la opción Close.

Para desvincular un bloque de CIDR IPv6 de una VPC con la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Your VPCs.3. Seleccione su VPC, elija Actions, Edit CIDRs.4. Elimine el bloque de CIDR IPv6 seleccionando el icono con forma de equis.5. Seleccione la opción Close.

Note

La anulación de la asociación de un bloque de CIDR IPv6 no elimina automáticamente las reglasdel grupo de seguridad, las reglas de ACL de red ni las rutas de las tablas de ruteo configuradaspara las redes IPv6. Por lo tanto, deberá modificar o eliminar manualmente dichas reglas o rutas.


87


https://docs.aws.amazon.com/cli/latest/reference/ec2/disassociate-vpc-cidr-block.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Unregister-EC2VpcCidrBlock.html



Amazon Virtual Private Cloud Guía del usuarioEliminación de su VPC

Para desvincular un bloque de CIDR IPv6 de una subred con una herramienta de la línea decomandos

• disassociate-subnet-cidr-block (AWS CLI)• Unregister-EC2SubnetCidrBlock (Herramientas de AWS para Windows PowerShell)

Para desvincular un bloque de CIDR IPv6 de una VPC con una herramienta de la línea decomandos

• disassociate-vpc-cidr-block (AWS CLI)• Unregister-EC2VpcCidrBlock (Herramientas de AWS para Windows PowerShell)

Eliminación de su VPCPuede eliminar su VPC en cualquier momento. Sin embargo, debe terminar todas las instancias de la VPCy eliminar primero las interconexiones de VPC. Al eliminar una VPC con la consola de VPC, también seeliminan todos sus componentes como, por ejemplo, subredes, grupos de seguridad, ACL de red, tablas deruteo, gateways de Internet y opciones de DHCP.

Si tiene una conexión de AWS Site-to-Site VPN, no es necesario eliminarla ni eliminar los demáscomponentes relacionados con la VPN (como, por ejemplo, la gateway de cliente y la gateway privadavirtual). Si tiene pensado utilizar la gateway de cliente con otra VPC, se recomienda conservar la conexiónde Site-to-Site VPN y las gateway. De lo contrario, su administrador de red deberá volver a configurar lagateway de cliente tras crear la nueva conexión de Site-to-Site VPN.

Para eliminar su VPC con la consola

1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. Termine todas las instancias de la VPC. Para obtener más información, consulte Terminar la instancia

en la Guía del usuario de Amazon EC2 para instancias de Linux.3. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.4. En el panel de navegación, elija Your VPCs (Sus VPC).5. Seleccione la VPC que desea eliminar y elija Actions, Delete VPC.6. Para eliminar la conexión de Site-to-Site VPN, seleccione la opción para ello; de lo contrario, deje la

opción desactivada. Elija Delete VPC (Eliminar VPC).

También puede utilizar una herramienta de la línea de comandos. Al eliminar una VPC con la líneade comandos, primero debe terminar todas las instancias y eliminar o desvincular todos los recursosasociados, incluidas subredes, grupos de seguridad personalizados, tablas de ruteo personalizadas,interconexiones de VPC y la gateway de Internet.

Para eliminar una VPC con una herramienta de la línea de comandos

• delete-vpc (AWS CLI)• Remove-EC2Vpc (Herramientas de AWS para Windows PowerShell)

Trabajar con VPC compartidasEl uso compartido de VPC permite que varias cuentas de AWS creen sus recursos de aplicación, comoinstancias Amazon EC2, bases de datos de Amazon Relational Database Service (RDS), clústeres deAmazon Redshift y funciones AWS Lambda, en nubes privadas de Amazon Virtual Private Clouds (VPC)

88

https://docs.aws.amazon.com/cli/latest/reference/ec2/disassociate-subnet-cidr-block.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Unregister-EC2SubnetCidrBlock.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/disassociate-vpc-cidr-block.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Unregister-EC2VpcCidrBlock.html




https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpc.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2Vpc.html

Amazon Virtual Private Cloud Guía del usuarioRequisitos previos para las VPC compartidas

compartidas y administradas de forma centralizada. En este modelo, la cuenta propietaria de la VPC (elpropietario) comparte una o varias subredes con otras cuentas (los participantes) que pertenecen a lamisma organización de AWS Organizations. Después de compartir una subred, los participantes puedenver, crear, modificar y eliminar los recursos de su aplicación en las subredes compartidas con ellos. Losparticipantes no pueden ver, modificar ni eliminar recursos que pertenezcan a otros participantes o alpropietario de la VPC.

Contenido• Requisitos previos para las VPC compartidas (p. 89)• Cómo compartir una subred (p. 89)• Dejar de compartir una subred compartida (p. 90)• Identificación del propietario de una subred compartida (p. 90)• Permisos para las subredes compartidas (p. 90)• Facturación y medición para el propietario y los participantes (p. 91)• Servicios no admitidos para las subredes compartidas (p. 91)• Limitaciones (p. 91)

Requisitos previos para las VPC compartidasDebe habilitar el uso compartido de recursos desde la cuenta maestra para su organización. Para obtenerinformación sobre cómo habilitar el uso compartido de recursos, consulte Habilitar el uso compartido conAWS Organizations en la Guía del usuario de AWS RAM.

Cómo compartir una subredPuede compartir subredes distintas de la predeterminada con otras cuentas en su organización. Paracompartir subredes, primero debe crear un recurso compartido con las subredes que se compartirán ylas cuentas de AWS, unidades organizativas o una organización entera con las que desee compartir lassubredes. Para obtener más información sobre la creación de un recurso compartido, consulte Crear unrecurso compartido en la Guía del usuario de AWS RAM.

Para compartir una subred con la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Subnets.3. Seleccione su subred y elija Actions (Acciones), Share subnet (Compartir subred).4. Seleccione su recurso compartido y elija Share subnet (Compartir subred).

Para compartir una subred con la AWS CLI

Utilice los comandos create-resource-share y associate-resource-share.

Correspondencia de subredes con distintas zonas dedisponibilidadPara garantizar que los recursos se distribuyen por todas las zonas de disponibilidad de una región,asignamos zonas de disponibilidad de manera independiente a nombres de cada cuenta. Por ejemplo, esposible que la zona de disponibilidad us-east-1a de su cuenta de AWS no se encuentre en la mismaubicación de us-east-1a que otra cuenta de AWS.

Para coordinar las zonas de disponibilidad entre cuentas para compartir VPC, debe usar el ID de AZ, quees un identificador único y constante de una zona de disponibilidad. Por ejemplo, use1-az1 es una de las

89

https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs

https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs

https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-create

https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-create


https://docs.aws.amazon.com/cli/latest/reference/ram/create-resource-share.html

https://docs.aws.amazon.com/cli/latest/reference/ram/associate-resource-share.html

Amazon Virtual Private Cloud Guía del usuarioDejar de compartir una subred compartida

zonas de disponibilidad de la región us-east-1. Los ID de zona de disponibilidad le permiten determinarla ubicación de los recursos de una cuenta en relación con los recursos de otra cuenta. Para obtener másinformación, consulte ID de zona de disponibilidad para sus recursos en la Guía del usuario de AWS RAM.

Dejar de compartir una subred compartidaEl propietario puede dejar de compartir una subred compartida con los participantes en cualquier momento.Cuando el propietario deja de compartir una subred compartida, se aplican las siguientes reglas:

• Los recursos existentes de los participantes siguen ejecutándose en la subred que se ha dejado decompartir.

• Los participantes ya no pueden crear nuevos recursos en la subred que se ha dejado de compartir.• Los participantes pueden modificar, describir y eliminar los recursos que están en la subred.• Si los participantes siguen teniendo recursos en la subred que se ha dejado de compartir, el propietario

no puede eliminar la subred compartida ni la VPC de la subred compartida. El propietario solo puedeeliminar la subred compartida o la VPC de la subred compartida una vez que todos los participanteshayan eliminado todos los recursos de la subred no compartida.

Para dejar de compartir una subred con la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Subnets.3. Seleccione su subred y elija Actions (Acciones), Share subnet (Compartir subred).4. Elija Actions (Acciones), Stop sharing (Dejar de compartir).

Para dejar de compartir una subred con la AWS CLI

Utilice el comando disassociate-resource-share.

Identificación del propietario de una subredcompartidaLos participantes pueden ver las subredes que se han compartido con ellos mediante la consola deAmazon VPC o la herramienta de línea de comandos.

Para identificar al propietario de una subred (consola)

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Subnets. La columna Owner (Propietario) muestra el propietario de la

subred.

Para identificar al propietario de una subred con la AWS CLI

Utilice los comandos describe-subnets y describe-vpcs, que incluyen el ID del propietario en la salida.

Permisos para las subredes compartidasPermisos del propietarioLos propietarios de la VPC son responsables de crear, administrar y eliminar todos los recursos de la VPC,incluidas las subredes, tablas de ruteo, ACL de red, interconexiones, puntos de enlace de la VPC, puntos

90

https://docs.aws.amazon.com/ram/latest/userguide/working-with-az-ids.html


https://docs.aws.amazon.com/cli/latest/reference/ram/disassociate-resource-share.html




Amazon Virtual Private Cloud Guía del usuarioFacturación y medición para el propietario y los participantes

de enlace PrivateLink, gateways de Internet, gateways NAT, gateways privadas virtuales y conexiones congateways en tránsito.

Los propietarios de la VPC no pueden modificar ni eliminar los recursos de los participantes, incluidoslos grupos de seguridad que crean los participantes. Los propietarios de la VPC pueden ver los detallesde todas las interfaces de red y los grupos de seguridad que están asociados a los recursos de losparticipantes para solucionar problemas y realizar auditorías. Los propietarios de la VPC pueden crearsuscripciones de registro de flujo en la VPC, la subred o la ENI para monitorizar el tráfico y solucionarproblemas.

Permisos de los participantesLos participantes que están en una VPC compartida son responsables de crear, administrar y eliminar susrecursos, incluidas las instancias Amazon EC2, las bases de datos de Amazon RDS y los balanceadoresde carga. Los participantes no pueden ver ni modificar los recursos que pertenezcan a otras cuentasparticipantes. Los participantes pueden ver los detalles de las tablas de ruteo y las ACL de red asociadasa las subredes compartidas con ellos. Sin embargo, no pueden modificar los recursos de nivel de VPC,incluidas las tablas de ruteo, las ACL de red y las subredes. Los participantes pueden hacer referencia alos grupos de seguridad que pertenecen a otros participantes o al propietario mediante el ID de grupo deseguridad. Los participantes solo pueden crear suscripciones de registro de flujo para las interfaces de lasque son propietarios.

Facturación y medición para el propietario y losparticipantesEn una VPC compartida, cada participante paga los recursos de su aplicación, incluidas las instanciasAmazon EC2, las bases de datos de Amazon Relational Database Service, los clústeres de AmazonRedshift y las funciones AWS Lambda. Los participantes también pagan los gastos de la transferenciade datos asociados a la transferencia de datos entre zonas de disponibilidad, la transferencia de datos através de interconexiones con VPC y la transferencia de datos a través de una gateway de AWS DirectConnect. Los propietarios de la VPC pagan los gastos por hora (si procede) y los cargos de procesamientoy por transferencia de datos a través de gateways NAT, gateways privadas virtuales, gateways de tránsito,puntos de enlace de la VPC y AWS PrivateLink. La transferencia de datos dentro de la misma zona dedisponibilidad (identificada de forma exclusiva mediante el AZ-ID) es gratuita independientemente de lapropiedad de los recursos de comunicación.

Servicios no admitidos para las subredes compartidasLos participantes no pueden crear recursos para los servicios siguientes en una subred compartida:

• Amazon FSx• AWS CloudHSM Classic• Puntos de enlace de solucionador de Route 53

LimitacionesSe aplican las siguientes limitaciones al uso compartido de VPC:

• Los propietarios solo pueden compartir subredes con otras cuentas o unidades organizativas que esténen la misma organización de AWS Organizations.

• Los propietarios no pueden compartir subredes que estén en una VPC predeterminada.• Los participantes no pueden lanzar recursos mediante grupos de seguridad que sean propiedad de otros

participantes o del propietario.

91

Amazon Virtual Private Cloud Guía del usuarioLimitaciones

• Los participantes no pueden lanzar recursos mediante el grupo de seguridad predeterminado de la VPCporque pertenece al propietario.

• Los propietarios no pueden lanzar recursos mediante grupos de seguridad que sean propiedad de otrosparticipantes.

• Las cuotas de servicio se aplican a cada cuenta. Para obtener más información sobre las cuotas deservicio, consulte Cuotas de servicio de AWS en Referencia general de Amazon Web Services.

• Las etiquetas de VPC y las etiquetas de los recursos de la VPC compartida no se comparten con losparticipantes.

• Cuando los participantes lanzan recursos en una subred compartida, deben asegurarse de adjuntar sugrupo de seguridad al recurso y no contar con el grupo de seguridad predeterminado. Los participantesno pueden utilizar el grupo de seguridad predeterminado ya que pertenece al propietario de la VPC.

92

https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html

Amazon Virtual Private Cloud Guía del usuarioComponentes de VPC predeterminados

VPC predeterminada y subredespredeterminadas

Si creó su cuenta de AWS después del 04/12/2013, solo admitirá EC2-VPC. En este caso, tiene una VPCpredeterminada en cada región de AWS. Una VPC predeterminada ya está lista para usarse, por lo que notiene que crear y configurar su propia VPC. Puede comenzar a lanzar inmediatamente instancias AmazonEC2 en la VPC predeterminada. También puede usar servicios como Elastic Load Balancing, Amazon RDSy Amazon EMR en la VPC predeterminada.

Una VPC predeterminada resulta adecuada para comenzar rápidamente y para lanzar instancias públicas,como un blog o un sitio web simple. Puede modificar los componentes de la VPC predeterminada segúnsea necesario. Si prefiere crear una VPC no predeterminada según sus requisitos específicos, porejemplo, con el rango de bloque de CIDR y tamaños de subred que prefiera, consulte las situaciones deejemplo (p. 51).

Contenido• Componentes de VPC predeterminados (p. 93)• Disponibilidad y plataformas compatibles (p. 95)• Visualización de la VPC y las subredes predeterminadas (p. 96)• Lanzamiento de una instancia EC2 en su VPC predeterminada (p. 97)• Eliminación de sus subredes predeterminadas y de la VPC predeterminada (p. 98)• Creación de una VPC predeterminada (p. 98)• Creación de una subred predeterminada (p. 99)

Componentes de VPC predeterminadosAl crear una VPC predeterminada, hacemos lo siguiente para configurarla para usted:

• Crear una VPC con un bloque de CIDR de IPv4 de tamaño /16 (172.31.0.0/16). Esto proporcionahasta 65 536 direcciones IPv4 privadas.

• Crear una subred predeterminada de tamaño /20 en cada zona de disponibilidad. Proporciona hasta4096 direcciones por subred, de las cuales unas cuantas están reservadas para nuestro uso.

• Crear un puerto de enlace a Internet (p. 233) y conectarlo con su VPC predeterminada.• Crear un grupo de seguridad predeterminado y asociarlo a su VPC predeterminada.• Crear una lista de control de acceso (ACL) de red predeterminada y asociarla a su VPC predeterminada.• Asociar las opciones de DHCP predeterminadas configuradas para su cuenta de AWS con su VPC

predeterminada.

Note

Amazon crea los recursos anteriores en nombre del cliente. Las políticas de IAM no se aplica aestas acciones porque el cliente no lleva a cabo estas acciones. Por ejemplo, si tiene una políticade IAM que deniega la capacidad de llamar a CreateInternetGateway y, a continuación, llama aCreateDefaultVpc, se sigue creando la gateway de Internet en la VPC predeterminada.

El siguiente gráfico muestra los componentes clave que configuramos para una VPC predeterminada.

93

Amazon Virtual Private Cloud Guía del usuarioSubredes predeterminadas

Puede usar una VPC predeterminada como lo haría con otras VPC:

• Agregue subredes no predeterminadas adicionales.• Modifique la tabla de ruteo principal.• Agregue tablas de ruteo adicionales.• Asocie grupos de seguridad adicionales.• Actualice las reglas del grupo de seguridad predeterminado.• Agregue conexiones de AWS Site-to-Site VPN.• Agregue más bloques de CIDR IPv4.

Puede utilizar una subred predeterminada al igual que usaría cualquier otra subred; agregue tablas deruteo personalizadas y establezca ACL de red. También puede especificar una subred predeterminadaespecífica al lanzar una instancia EC2.

De forma opcional, puede asociar un bloque de CIDR IPv6 con su VPC predeterminada. Para obtener másinformación, Uso de VPC y subredes (p. 81).

Subredes predeterminadasDe forma predeterminada, las subredes predeterminadas son subredes públicas, ya que la tabla de ruteoprincipal envía al puerto de enlace a Internet el tráfico de la subred que está destinado a Internet. Puede

94

Amazon Virtual Private Cloud Guía del usuarioDisponibilidad y plataformas compatibles

convertir una subred predeterminada en una subred privada eliminando la ruta del destino 0.0.0.0/0 alpuerto de enlace a Internet. Sin embargo, si hace esto, ninguna instancia EC2 que se esté ejecutando enesa subred podrá obtener acceso a Internet.

Las instancias que lance en una subred predeterminada reciben direcciones IPv4 públicas y una direcciónIPv4 privada, y nombres de host DNS públicos y privados. Las instancias que lance en una subred que nosea predeterminada en una VPC predeterminada no reciben una dirección IPv4 pública ni un nombre dehost DNS. Puede cambiar el comportamiento predeterminado de asignación de direcciones IP públicas desu subred. Para obtener más información, consulte Modificación del atributo de direcciones IPv4 públicasde su subred (p. 105).

De vez en cuando, puede que AWS añada una nueva zona de disponibilidad a una región. En lamayoría de los casos, crearemos automáticamente una nueva subred predeterminada en esta zonade disponibilidad para su VPC predeterminada en unos pocos días. Sin embargo, si ha hecho algunamodificación en su VPC predeterminada, no agregaremos una subred predeterminada nueva. Si una zonade disponibilidad no tienen una subred predeterminada, puede crearla. Para obtener más información,consulte Creación de una subred predeterminada (p. 99).

Disponibilidad y plataformas compatiblesSi creó su cuenta de AWS después del 04/12/2013, solo admitirá EC2-VPC. En este caso, hemos creadouna VPC predeterminada para usted en cada región de AWS. Por tanto, a menos que cree una VPC queno sea predeterminada y la especifique al lanzar una instancia, lanzaremos sus instancias en su VPCpredeterminada.

Si creó su cuenta de AWS antes del 18/03/2013, admite tanto EC2-Classic como EC2-VPC en las regionesque ha utilizado antes, y solo EC2-VPC en las regiones que no haya utilizado. En este caso, hemos creadouna VPC predeterminada en cada región en la que no haya creado ningún recurso de AWS. A menos quecree una VPC no predeterminada y lo especifique al lanzar una instancia en una región nueva, lanzaremosla instancia en su VPC predeterminada para dicha región. Sin embargo, si lanza una instancia en unaregión que haya utilizado antes, lanzaremos la instancia en EC2-Classic.

Si creó su cuenta de AWS entre 2013-03-18 y 2013-12-04, puede que solo admita EC2-VPC. Tambiénpuede admitir EC2-Classic y EC2-VPC en algunas de las regiones que haya usado. Para obtenerinformación acerca de cómo detectar la compatibilidad de la plataforma en cada región para sucuenta de AWS, consulte Detección de plataformas compatibles y comprobación de si tiene una VPCpredeterminada (p. 96). Para obtener información acerca de cuándo se ha activado cada región paralas VPC predeterminadas, consulte el anuncio acerca de la habilitación de regiones para el conjunto decaracterísticas de VPC predeterminadas en el foro de AWS acerca de Amazon VPC.

Si una cuenta de AWS solo admite EC2-VPC, las cuentas de IAM asociadas a esta cuenta de AWStambién admitirán únicamente EC2-VPC, y utilizaremos la misma VPC predeterminada de la cuenta deAWS.

Si su cuenta de AWS admite tanto EC2-Classic como EC2-VPC, puede crear una cuenta AWS o lanzarlas instancias en una región que no haya usado antes. Podría hacerlo para obtener los beneficios deusar EC2-VPC con la simplicidad de lanzar instancias en EC2-Classic. Si prefiere agregar una VPCpredeterminada en una región que no tenga una y admita EC2-Classic, consulte "Deseo disponer de unaVPC predeterminada para mi cuenta de EC2. ¿Es posible?" en Preguntas frecuentes acerca de VPCpredeterminadas.

Para obtener más información acerca de las plataformas EC2-Classic y EC2-VPC, consulte la secciónsobre plataformas compatibles.

95

https://forums.aws.amazon.com/ann.jspa?annID=1875#

https://forums.aws.amazon.com/ann.jspa?annID=1875#

http://aws.amazon.com/vpc/faqs/#Default_VPCs

http://aws.amazon.com/vpc/faqs/#Default_VPCs

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-supported-platforms.html

Amazon Virtual Private Cloud Guía del usuarioDetección de plataformas compatibles y

comprobación de si tiene una VPC predeterminada

Detección de plataformas compatibles y comprobaciónde si tiene una VPC predeterminadaPuede utilizar la consola de Amazon EC2 o la línea de comandos para determinar si su cuenta de AWSadmite ambas plataformas o si tiene una VPC predeterminada.

Para detectar la compatibilidad de la plataforma con la consola de Amazon EC2

1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En la barra de navegación, use el selector de regiones de la parte superior derecha para seleccionar

su región.3. En el panel de la consola de Amazon EC2, busque Supported Platforms (Plataformas admitidas) en

Account Attributes (Atributos de cuenta). Si hay dos valores, EC2 y VPC, puede lanzar instancias enambas plataformas. Si hay un solo valor, VPC, solo puede lanzar instancias en EC2-VPC.

Por ejemplo, lo siguiente indica que la cuenta admite solo la plataforma EC2-VPC, y tiene una VPCpredeterminada con el identificador vpc-1a2b3c4d.

Si elimina su VPC predeterminada, el valor de VPC predeterminada mostrado será None. Paraobtener más información, consulte Eliminación de sus subredes predeterminadas y de la VPCpredeterminada (p. 98).

Para detectar la compatibilidad de la plataforma con la línea de comandos

• describe-account-attributes (AWS CLI)• Get-EC2AccountAttribute (Herramientas de AWS para Windows PowerShell)

El atributo supported-platforms en la salida indica en qué plataformas puede lanzar instancias EC2.

Visualización de la VPC y las subredespredeterminadas

Puede ver la VPC y las subredes predeterminadas con la consola de Amazon VPC o la línea decomandos.

Para ver la VPC y las subredes predeterminadas con la consola de Amazon VPC

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Your VPCs.3. En la columna Default VPC, busque el valor Yes. Anote el ID de la VPC predeterminada.4. En el panel de navegación, elija Subnets.5. En la barra de búsqueda, escriba el ID de la VPC predeterminada. Las subredes devueltas son las que

se encuentran en su VPC predeterminada.

96


https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-account-attributes.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2AccountAttribute.html


Amazon Virtual Private Cloud Guía del usuarioLanzamiento de una instancia

EC2 en su VPC predeterminada

6. Para comprobar qué subredes son las predeterminadas, busque el valor Yes en la columna DefaultSubnet.

Para describir la VPC predeterminada con la línea de comandos

• Utilice describe-vpcs (AWS CLI)• Utilice Get-EC2Vpc (Herramientas de AWS para Windows PowerShell)

Use los comandos con el filtro isDefault y establezca el valor de filtro en true.

Para describir las subredes predeterminadas con la línea de comandos

• Utilice describe-subnets (AWS CLI)• Utilice Get-EC2Subnet (Herramientas de AWS para Windows PowerShell)

Use los comandos con el filtro vpc-id y establezca el valor de filtro en el ID de la VPC predeterminada.En el resultado, el campo DefaultForAz se establece en true para las subredes predeterminadas.

Lanzamiento de una instancia EC2 en su VPCpredeterminada

Al lanzar una instancia EC2 sin especificar una subred, esta se lanza automáticamente en una subredpredeterminada de la VPC predeterminada. De forma predeterminada, seleccionaremos una zonade disponibilidad por usted y lanzaremos la instancia en la subred correspondiente de dicha zonade disponibilidad. Como alternativa, puede seleccionar la zona de disponibilidad para su instanciaseleccionando su subred predeterminada correspondiente en la consola, o bien especificando la subred ola zona de disponibilidad en la AWS CLI.

Lanzamiento de una instancia EC2 mediante laconsolaPara lanzar una instancia EC2 en su VPC predeterminada

1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de EC2, elija Launch Instance.3. Siga las indicaciones del asistente. Seleccione una AMI, y elija un tipo de instancia. Puede aceptar

los valores predeterminados del resto del asistente; para ello, elija Review and Launch. Esto le llevarádirectamente a la página Review Instance Launch.

4. Revise la configuración. En la sección Instance Details, el valor predeterminado de Subnet es Nopreference (default subnet in any Availability Zone). Esto significa que la instancia se ha lanzado enla subred predeterminada de la zona de disponibilidad que seleccionamos. Como alternativa, puedeelegir Edit instance details y seleccionar la subred predeterminada de una zona de disponibilidadconcreta.

5. Elija Launch para seleccionar un par de claves y lanzar la instancia.

97


https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Vpc.html


https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Subnet.html


Amazon Virtual Private Cloud Guía del usuarioLanzamiento de una instancia EC2

mediante la línea de comandos

Lanzamiento de una instancia EC2 mediante la líneade comandosPuede utilizar uno de los siguientes comandos para lanzar una instancia EC2:


Para lanzar una instancia EC2 en su VPC predeterminada, utilice estos comandos sin especificar unasubred o una zona de disponibilidad.

Para lanzar una instancia EC2 en una subred predeterminada específica en su VPC predeterminada,especifique su ID de subred o su zona de disponibilidad.

Eliminación de sus subredes predeterminadas y dela VPC predeterminada

Puede eliminar una subred predeterminada o una VPC predeterminada de la misma forma quepuede eliminar cualquier otra subred o VPC. Para obtener más información, consulte Uso de VPC ysubredes (p. 81). Sin embargo, si elimina sus subredes predeterminadas o su VPC predeterminada, debeespecificar explícitamente una subred en otra VPC en la que lance la instancia, ya que no se puedenlanzar instancias en EC2-Classic. Si no tiene otra VPC, debe crear una VPC y una subred que no seanpredeterminadas. Para obtener más información, consulte Creación de una VPC (p. 82).

Si elimina la VPC predeterminada, puede crear otra. Para obtener más información, consulte Creación deuna VPC predeterminada (p. 98).

Si elimina una subred predeterminada, puede crear otra. Para obtener más información, consulte Creaciónde una subred predeterminada (p. 99). Como alternativa, puede crear una subred no predeterminadaen la VPC predeterminada y contactar con AWS Support para marcar la subred como predeterminada.Debe proporcionar los siguientes detalles: su ID de cuenta de AWS, la región y el ID de la subred. Paraasegurarse de que su nueva subred predeterminada se comporta según lo esperado, modifique elatributo de la subred para que asigne las direcciones IP públicas a instancias lanzadas en esa subred.Para obtener más información, consulte Modificación del atributo de direcciones IPv4 públicas de susubred (p. 105). Solo puede tener una subred predeterminada por zona de disponibilidad. No es posiblecrear una subred predeterminada en una VPC que no sea predeterminada.

Creación de una VPC predeterminadaSi elimina la VPC predeterminada, puede crear otra. No puede restaurar una VPC predeterminada anteriorque haya eliminado y no puede marcar una VPC no predeterminada existente como predeterminada. Si sucuenta admite EC2-Classic, no puede usar estos procedimientos para crea una VPC predeterminada enuna región que admite EC2-Classic.

Al crear una VPC predeterminada, se crea con los componentes (p. 93) estándar de una VPCpredeterminada, incluida una subred predeterminada en cada zona de disponibilidad. No puedeespecificar sus propios componentes. Es posible que los bloques de CIDR de subred de la nueva VPCpredeterminada no se mapeen a las mismas zonas de disponibilidad que la VPC predeterminada anterior.Por ejemplo, si la subred con el bloque de CIDR 172.31.0.0/20 se creó en us-east-2a en la VPCpredeterminada anterior, se puede crear en us-east-2b en la nueva VPC predeterminada.

98



Amazon Virtual Private Cloud Guía del usuarioCreación de una subred predeterminada

Si ya tiene una VPC predeterminada en la región, no puede crear otra.

Para crear una VPC predeterminada con la consola de Amazon VPC

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Your VPCs.3. Elija Actions, Create Default VPC.4. Seleccione Create. Cierre la pantalla de confirmación.

Para crear una VPC predeterminada con la línea de comandos

• Puede utilizar el comando create-default-vpc de la AWS CLI. Este comando no tiene parámetros deentrada.

aws ec2 create-default-vpc

{ "Vpc": { "VpcId": "vpc-3f139646", "InstanceTenancy": "default", "Tags": [], "Ipv6CidrBlockAssociationSet": [], "State": "pending", "DhcpOptionsId": "dopt-61079b07", "CidrBlock": "172.31.0.0/16", "IsDefault": true }}

También puede usar el comando New-EC2DefaultVpc de Herramientas para Windows PowerShell o laacción de la API CreateDefaultVpc de Amazon EC2.

Creación de una subred predeterminadaSi una zona de disponibilidad no tienen una subred predeterminada, puede crearla. Por ejemplo, puede serconveniente crear una subred predeterminada después de haber eliminado una anterior, o cuando AWS haagregado una nueva zona de disponibilidad y no ha creado automáticamente una subred predeterminadapara esa zona en su VPC predeterminada.

Cuando se crea una subred predeterminada, su tamaño es de un bloque de CIDR IPv4 de tamaño /20 enel espacio contiguo disponible más cercano de la VPC predeterminada. Se aplican las siguientes reglas:

• No puede especificar otro bloque de CIDR.• No es posible restaurar una subred predeterminada previamente eliminada.• Solo puede tener una subred predeterminada por zona de disponibilidad.• No es posible crear una subred predeterminada en una VPC que no sea predeterminada.

Si el espacio de direcciones de la VPC predeterminada no basta para crear un bloque de CIDR de tamaño/20, la solicitud fracasa. Si necesita agregar más espacio de direcciones, puede agregar un bloque deCIDR IPv4 a su VPC (p. 76).

Si ha asociado un bloque de CIDR IPv6 a su VPC predeterminada, la nueva subred predeterminada norecibirá automáticamente un bloque e CIDR IPv6. Sin embargo, puede asociarle un bloque de CIDR IPv6

99


https://docs.aws.amazon.com/cli/latest/reference/ec2/create-default-vpc.html

https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2DefaultVpc.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateDefaultVpc.html

Amazon Virtual Private Cloud Guía del usuarioCreación de una subred predeterminada

después de haberla creado. Para obtener más información, consulte Asociación de un bloque de CIDRIPv6 a su subred (p. 85).

Actualmente solo es posible crear una subred predeterminada con la AWS CLI, un SDK de AWS o la APIde Amazon EC2.

Para crear una subred predeterminada con la línea de comandos

• Use el comando create-default-subnet de la AWS CLI y especifique la zona de disponibilidad en la quese debe crear la subred.

aws ec2 create-default-subnet --availability-zone us-east-2a

{ "Subnet": { "AvailabilityZone": "us-east-2a", "Tags": [], "AvailableIpAddressCount": 4091, "DefaultForAz": true, "Ipv6CidrBlockAssociationSet": [], "VpcId": "vpc-1a2b3c4d", "State": "available", "MapPublicIpOnLaunch": true, "SubnetId": "subnet-1122aabb", "CidrBlock": "172.31.32.0/20", "AssignIpv6AddressOnCreation": false }}

Como alternativa, puede usar el comando CreateDefaultSubnet de la API de Amazon EC2.

100

https://docs.aws.amazon.com/cli/latest/reference/ec2/create-default-subnet.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateDefaultSubnet.html


Direcciones IP en su VPCLas direcciones IP permite que los recursos de su VPC se comuniquen entre sí y con otros recursos através de Internet. Amazon EC2 y Amazon VPC admiten los protocolos de direcciones IPv4 e IPv6.

De manera predeterminada, Amazon EC2 y Amazon VPC utilizan el protocolo de direcciones IPv4. Al crearuna VPC, debe asignarle un bloque de CIDR IPv4 (un rango de direcciones IPv4 privadas). No es posibleobtener acceso a las direcciones IPv4 privadas a través de Internet. Para conectar su instancia a travésde Internet o para habilitar la comunicación entre sus instancias y otros servicios de AWS con puntos deconexión públicos, puede asignar a su instancia una dirección IPv4 pública globalmente única.

De manera opcional, puede asociar un bloque de CIDR IPv6 a su VPC y sus subredes y asignardirecciones IPv6 desde dicho bloque a los recursos de su VPC. Las direcciones IPv6 son públicas y estándisponibles a través de Internet.

Note

Para asegurarse de que sus instancias pueden comunicarse con Internet, también deberáadjuntar un puerto de enlace a Internet a su VPC. Para obtener más información, consulte Puertosde enlace a Internet (p. 233).

Su VPC puede funcionar en modo de pila doble: esto implica que los recursos se pueden comunicarmediante IPv4, IPv6 o ambos. Las direcciones IPv4 e IPv6 son independientes entre sí. Por lo tanto, debeconfigurar el direccionamiento y la seguridad de su VPC de forma individual para IPv4 e IPv6.

En la tabla siguiente se resumen las diferencias entre IPv4 e IPv6 en Amazon EC2 y Amazon VPC.

Características y restricciones de IPv4 e IPv6

IPv4 IPv6

El formato es de 32 bits, 4 grupos de hasta 3 dígitosdecimales.

El formato es de 128 bits, 8 grupos de 4 dígitoshexadecimales.

Predeterminada y obligatoria para las VPC. No sepuede quitar.

Solo opcional.

El tamaño del bloque de CIDR de VPC puede serde /16 a /28.

El tamaño del bloque de CIDR de la VPC es fijode /56.

El tamaño del bloque de CIDR de la subred puedeser de /16 a /28.

El tamaño del bloque de CIDR de la subred es fijode /64.

Posibilidad de elegir el bloque de CIDR IPv4privado para su VPC.

El bloque de CIDR IPv6 para su VPC se eligedel grupo de direcciones IPv6 de Amazon. No esposible seleccionar un rango propio.

Existe una distinción entre las direcciones IPpúblicas y privadas. Para habilitar la comunicacióncon Internet, la dirección IPv4 pública se asignaa la dirección IPv4 privada principal medianteconversión de direcciones de red (NAT).

No se hace distinción entre las direcciones IPpúblicas y privadas. Las direcciones IPv6 sonpúblicas.

Compatible en todos los tipos de instancias. Se admite en todos los tipos de instancia degeneración actual y los tipos de instancia degeneración anterior C3, R3 e I2. Para obtener másinformación, consulte Tipos de instancias.

101

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-types.html

Amazon Virtual Private Cloud Guía del usuarioDirecciones IPv4 privadas

IPv4 IPv6

Compatible con EC2-Classic y con las conexionesde EC2-Classic con VPC mediante ClassicLink.

No compatible con EC2-Classic ni con lasconexiones de EC2-Classic con VPC medianteClassicLink.

Compatible con todas las AMI. Compatible automáticamente con las AMIconfiguradas para DHCPv6. Las versiones deAmazon Linux 2016.09.0 y posteriores, así comode Windows Server 2008 R2 y posteriores estánconfiguradas para DHCPv6. Para otras AMI, debeconfigurar manualmente su instancia (p. 116)para que reconozca las direcciones IPv6asignadas.

Una instancia recibe un nombre de host deDNS privado proporcionado por Amazon quecorresponde a su dirección IPv4 privada y, sicorresponde, un nombre de host DNS público quecorresponde a su dirección IPv4 pública o direcciónIP elástica.

No se admiten los nombres de host de DNSproporcionados por Amazon.

Compatible con las direcciones IPv4 elásticas. No compatible con las direcciones IPv6 elásticas.

Compatible con conexiones de AWS Site-to-SiteVPN y gateways de cliente, dispositivos NAT ypuntos de enlace de la VPC.

No compatible con conexiones de AWS Site-to-Site VPN y gateways de cliente, dispositivos NAT ypuntos de enlace de la VPC.

El tráfico IPv6 a través de gateway privada virtual a una conexión de AWS Direct Connect es compatible.Para obtener más información, consulte Guía del usuario de AWS Direct Connect.

Direcciones IPv4 privadasLas direcciones IPv4 privadas (también denominadas direcciones IP privadas en este tema) no estándisponibles a través de Internet y puede utilizarse para la comunicación entre las instancias de su VPC.Al lanzar una instancia en una VPC, se asigna una dirección IP privada principal del rango de direccionesIPv4 de la subred a la interfaz de red predeterminada (eth0) de la instancia. A cada instancia se leasigna también un nombre de host DNS privado (interno) que se resuelve en la dirección IP privadade la instancia. Si no especifica ninguna dirección IP privada principal, se seleccionará una direcciónIP disponible en el rango de la subred. Para obtener más información acerca de las interfaces de red,consulte Interfaces de redes elásticas en la Guía del usuario de Amazon EC2 para instancias de Linux.

Es posible asignar direcciones IP privadas adicionales, conocidas como direcciones IP privadassecundarias, a las instancias en ejecución en la VPC. A diferencia de la dirección IP privada principal, esposible volver a asignar una dirección IP privada secundaria de una interfaz de red a otra. La direcciónIP privada permanecerá asociada a la interfaz de red al detener y reiniciar la instancia. Asimismo, seliberará cuando se termine la instancia. Para obtener información acerca de las direcciones IP principalesy secundarias, consulte Varias direcciones IP en la Guía del usuario de Amazon EC2 para instancias deLinux.

Note

Las direcciones IP privadas son las direcciones IP que se encuentran en el rango del CIDRIPv4 de la VPC. La mayoría de los rangos de direcciones IP de la VPC se engloban en losrangos de direcciones IP privadas (no direccionables públicamente) especificados en RFC1918. Sin embargo, puede utilizar los bloques de CIDR direccionables públicamente para su

102

https://docs.aws.amazon.com/directconnect/latest/UserGuide/

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/MultipleIP.html

Amazon Virtual Private Cloud Guía del usuarioDirecciones IPv4 públicas

VPC. Independientemente del rango de direcciones IP de su VPC, no se admite el accesodirecto a Internet desde el bloque de CIDR de su VPC, incluido el bloque de CIDR públicamentedireccionable. Por ello, debe configurar el acceso a Internet a través de una gateway como, porejemplo, una gateway de Internet, una gateway privada virtual, una conexión de AWS Site-to-SiteVPN o AWS Direct Connect.

Direcciones IPv4 públicasTodas las subredes tienen un atributo que determina si una interfaz de red creada en la subred recibeautomáticamente una dirección IPv4 pública (también denominada dirección IP pública en este tema).Por lo tanto, al lanzar una instancia en una subred con este atributo habilitado, se asigna una dirección IPpública a la interfaz de red principal (eth0) que se crea para la instancia. La dirección IP pública se asignaa la dirección IP privada principal mediante conversión de direcciones de red (NAT).

Para controlar si su instancia recibe una dirección IP pública, haga lo siguiente:

• Modifique el atributo de direcciones IP públicas de su subred. Para obtener más información, consulteModificación del atributo de direcciones IPv4 públicas de su subred (p. 105).

• Habilite o deshabilite la característica de direcciones IP públicas durante el lanzamiento de la instancia.Esta acción anulará el atributo de direcciones IP públicas de su subred. Para obtener más información,consulte Asignación de una dirección IPv4 pública durante el lanzamiento de la instancia (p. 105).

La dirección IP pública se asigna desde el grupo de direcciones IP públicas de Amazon. Por lo tanto, no seasocia a su cuenta. Cuando se desasocia una dirección IP pública de su instancia, esta se libera de nuevoal grupo y deja de estar disponible para su utilización. Por lo tanto, no es posible asociar o desasociarmanualmente las direcciones IP públicas. En su lugar, en determinados casos, se libera la dirección IPpública desde su instancia, o bien se asigna una dirección nueva. Para obtener más información, consulteDirecciones IP públicas en la Guía del usuario de Amazon EC2 para instancias de Linux.

Si necesita asignar una dirección IP pública persistente a su cuenta con la posibilidad de asignarla oeliminarla de las instancias según sus necesidades, utilice una dirección IP elástica. Para obtener másinformación, consulte Direcciones IP elásticas (p. 281).

Si su VPC está habilitada para ofrecer compatibilidad con los nombres de host DNS, cada instanciaque reciba una dirección IP pública o una dirección IP elástica también recibirá un nombre de host DNSpúblico. El nombre de host DNS público se resuelve en la dirección IP pública de la instancia fuera de lared de la instancia y en una dirección IP privada de la instancia desde dentro de la red de la instancia. Paraobtener más información, consulte Utilización de DNS con su VPC (p. 276).

Direcciones IPv6Es posible asociar de manera opcional un bloque de CIDR IPv6 a su VPC y sus subredes. Para obtenermás información, consulte los siguientes temas:

• Asociación de un bloque de CIDR IPv6 a su VPC (p. 84)• Asociación de un bloque de CIDR IPv6 a su subred (p. 85)

Su instancia de la VPC recibirá una dirección IPv6 si se asocia un bloque de CIDR IPv6 a su VPC y susubred y si se cumple alguna de las condiciones siguientes:

• La subred está configurada para asignar automáticamente una dirección IPv6 a la interfaz de redprincipal de una instancia durante el lanzamiento.

103

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-instance-addressing.html#concepts-public-addresses

Amazon Virtual Private Cloud Guía del usuarioComportamiento de las direcciones IP de su subred

• Al asignar manualmente una dirección IPv6 a su instancia durante el lanzamiento.• Al asignar una dirección IPv6 a su instancia tras el lanzamiento.• Al asignar una dirección IPv6 a una interfaz de red de la misma subred y al adjuntar la interfaz de red a

su instancia tras el lanzamiento.

Cuando su instancia recibe una dirección IPv6 durante el lanzamiento, la dirección se asocia a la interfazde red principal (eth0) de la instancia. Es posible desasociar la dirección IPv6 de la interfaz de redprincipal. No se admite la utilización de nombres de host de DNS IPv6 con su instancia.

Tenga en cuenta que la dirección IPv6 persiste al detener e iniciar la instancia. Asimismo, se libera alterminar la instancia. No puede volver a asignar la dirección IPv6 mientras esté asignada a otra interfaz dered. Primero debe desasignarla.—

Puede asignar direcciones IPv6 adicionales a su instancia. Para ello, asígnelas a una interfaz de redadjunta a su instancia. El número de direcciones IPv6 que puede asignar a una interfaz de red, así comoel número de interfaces de red que puede adjuntar a una instancia varía según el tipo de instancia. Paraobtener más información, consulte Direcciones IP por interfaz de red por tipo de instancia en la Guía delusuario de Amazon EC2.

Las direcciones IPv6 son únicas de forma global y, por lo tanto, están disponibles a través de Internet.Es posible controlar si las instancias están disponibles a través de sus direcciones IPv6 controlando eldireccionamiento de su subred, o bien utilizando un grupo de seguridad y reglas de ACL de red. Paraobtener más información, consulte Privacidad del tráfico entre redes en Amazon VPC (p. 123).

Para obtener más información acerca de los rangos de direcciones IPv6 reservados, consulte IANA IPv6Special-Purpose Address Registry y RFC4291.

Comportamiento de las direcciones IP de su subredTodas las subredes tienen un atributo modificable que determina si se asigna a la interfaz de red creadaen dicha subred una dirección IPv4 pública y, si procede, una dirección IPv6. Esto incluye la interfaz de redprincipal (eth0) que se crea para una instancia al lanzar una instancia en dicha subred.

Independientemente del atributo de la subred, durante el lanzamiento podrá anular este parámetro parainstancias específicas. Para obtener más información, consulte Asignación de una dirección IPv4 públicadurante el lanzamiento de la instancia (p. 105) y Asignación de una dirección IPv6 durante el lanzamientode la instancia (p. 106).

Uso de direcciones IPEs posible modificar el comportamiento de las direcciones IP de su subred, asignar una dirección IPv4pública a su instancia durante el lanzamiento y asignar o desasignar direcciones IPv6 a su instancia.

Tareas• Modificación del atributo de direcciones IPv4 públicas de su subred (p. 105)• Modificación del atributo de direcciones IPv6 de su subred (p. 105)• Asignación de una dirección IPv4 pública durante el lanzamiento de la instancia (p. 105)• Asignación de una dirección IPv6 durante el lanzamiento de la instancia (p. 106)• Asignación de una dirección IPv6 a una instancia (p. 107)• Anulación de la asignación de una dirección IPv6 de una instancia (p. 108)• Información general de API y comandos (p. 108)

104

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html#AvailableIpPerENI

http://www.iana.org/assignments/iana-ipv6-special-registry/iana-ipv6-special-registry.xhtml

http://www.iana.org/assignments/iana-ipv6-special-registry/iana-ipv6-special-registry.xhtml


Amazon Virtual Private Cloud Guía del usuarioModificación del atributo de

direcciones IPv4 públicas de su subred

Modificación del atributo de direcciones IPv4 públicasde su subredDe forma predeterminada, las subredes no predeterminadas tienen el atributo de direcciones IPv4 públicasconfigurado como false, mientras que las subredes predeterminadas tienen este atributo configuradocomo true. Las subredes no predeterminadas creadas con el asistente para instancias de lanzamiento deAmazon EC2 son una excepción a esta configuración, ya que el asistente establece el atributo como true.Este atributo puede modificarse con la consola de Amazon VPC.

Para modificar el comportamiento de las direcciones IPv4 públicas de su subred

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Subnets.3. Seleccione su subred y elija Subnet Actions, Modify auto-assign IP settings.4. Si se activa la casilla de verificación Enable auto-assign public IPv4 address, se solicitará una

dirección IPv4 pública para todas las instancias que se lancen en la subred seleccionada. Active odesactive la casilla de verificación según sea necesario y, a continuación, elija Save.

Modificación del atributo de direcciones IPv6 de susubredDe forma predeterminada, todas las subredes tienen el atributo de direcciones IPv6 configurado comofalse. Este atributo puede modificarse con la consola de Amazon VPC. Si habilita el atributo dedirecciones IPv6 para su subred, las interfaces de red creadas en la subred recibirán una dirección IPv6del rango de la subred. Las instancias lanzadas en la subred recibirán una dirección IPv6 en la interfaz dered principal.

Su subred debe tener asociado un bloque de CIDR IPv6.

Note

Si habilita la característica de direcciones IPv6 para su subred, la interfaz de red o la instanciasolo recibirá una dirección IPv6 si se crean con la versión 2016-11-15 o posterior de la API deAmazon EC2. La consola de Amazon EC2 utiliza la versión de la API más reciente.

Para modificar el comportamiento de las direcciones IPv6 de su subred

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Subnets.3. Seleccione su subred y elija Subnet Actions, Modify auto-assign IP settings.4. Si se activa la casilla de verificación Enable auto-assign public IPv6 address, se solicitará una

dirección IPv6 para todas las interfaces de red que se creen en la subred seleccionada. Active odesactive la casilla de verificación según sea necesario y, a continuación, elija Save.

Asignación de una dirección IPv4 pública durante ellanzamiento de la instanciaEs posible controlar si durante el lanzamiento se asignará a la instancia de una subred predeterminada ono predeterminada una dirección IPv4 pública.

105



Amazon Virtual Private Cloud Guía del usuarioAsignación de una dirección IPv6

durante el lanzamiento de la instancia

Important

Tenga en cuenta que no es posible desasociar manualmente la dirección IPv4 pública de lainstancia tras el lanzamiento. En su lugar, esta se libera automáticamente en determinados casostras los cuales no se puede volver a utilizar. Si necesita una dirección IP pública persistente quepueda asociar o desasociar según sus necesidades, asocie una dirección IP elástica a la instanciatras el lanzamiento. Para obtener más información, consulte Direcciones IP elásticas (p. 281).

Para asignar una dirección IPv4 pública a una instancia durante el lanzamiento

1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. Elija Launch Instance.3. Elija una AMI, un tipo de instancia y, a continuación, elija Next: Configure Instance Details.4. En la página Configure Instance Details, seleccione una VPC de la lista Network. Aparecerá la lista

Auto-assign Public IP. Seleccione Enable o Disable para anular la configuración predeterminada de lasubred.

Important

No es posible asignar una dirección IPv4 pública si especifica más de una interfaz de red.Además, no podrá anular la configuración de la subred con la característica de asignaciónautomática de IPv4 pública si especifica una interfaz de red existente para eth0.

5. Siga el resto de pasos del asistente para lanzar su instancia.6. En la pantalla Instances, seleccione su instancia. En la pestaña Description, en el campo IPv4 Public

IP, podrá ver la dirección IP pública de su instancia. De manera alternativa, en el panel de navegación,elija Network Interfaces y seleccione la interfaz de red eth0 para su instancia. La dirección IP públicase muestra en el campo IPv4 Public IP.

Note

La dirección IPv4 pública se muestra como propiedad de la interfaz de red en la consola,aunque se asigna a la dirección IPv4 privada principal mediante NAT. Por lo tanto, ladirección IP pública no se mostrará si comprueba las propiedades de su interfaz de red en suinstancia como, por ejemplo, mediante ipconfig en una instancia de Windows, o medianteifconfig en una instancia de Linux. Para determinar la dirección IP pública de su instanciadesde la instancia, utilice los metadatos de la instancia. Para obtener más información,consulte Metadatos de instancia y datos de usuario.

Esta característica solo está disponible durante el lanzamiento. Sin embargo, independientemente desi asigna una dirección IPv4 pública a su instancia durante el lanzamiento, podrá asociar una direcciónIP elástica a su instancia tras el lanzamiento. Para obtener más información, consulte Direcciones IPelásticas (p. 281).

Asignación de una dirección IPv6 durante ellanzamiento de la instanciaEs posible asignar automáticamente una dirección IPv6 a su instancia durante el lanzamiento. Para ello,debe lanzar su instancia en una VPC y una subred que tenga un bloque de CIDR IPv6 asociado (p. 84). Ladirección IPv6 se asigna del rango de la subred y se asigna a la interfaz de red principal (eth0).

Para asignar automáticamente una dirección IPv6 a una instancia durante el lanzamiento

1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. Elija Launch Instance.

106


https://docs.aws.amazon.com/AWSEC2/latest/DeveloperGuide/ec2-instance-metadata.html


Amazon Virtual Private Cloud Guía del usuarioAsignación de una dirección IPv6 a una instancia

3. Seleccione una AMI y un tipo de instancia y, a continuación, elija Next: Configure Instance Details.

Note

Seleccione un tipo de instancia que admita direcciones IPv6.4. En la página Configure Instance Details, seleccione una VPC en Network y una subred en Subnet. En

Auto-assign IPv6 IP, elija Enable.5. Siga el resto de pasos del asistente para lanzar su instancia.

De manera alternativa, si desea asignar una dirección IPv6 específica desde el rango de subred a suinstancia durante el lanzamiento, puede asignar la dirección a la interfaz de red principal de su instancia.

Para asignar una dirección IPv6 específica a una instancia durante el lanzamiento

1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. Elija Launch Instance.3. Seleccione una AMI y un tipo de instancia y, a continuación, elija Next: Configure Instance Details.

Note

Seleccione un tipo de instancia que admita direcciones IPv6.4. En la página Configure Instance Details, seleccione una VPC en Network y una subred en Subnet.5. Vaya a la sección Network interfaces. Para la interfaz de red eth0, en IPv6 IPs, elija Add IP.6. Escriba una dirección IPv6 del rango de la subred.7. Siga el resto de pasos del asistente para lanzar su instancia.

Para obtener más información acerca de la asignación de múltiples direcciones IPv6 a su instancia duranteel lanzamiento, consulte Trabajar con varias direcciones IPv6 en la Guía del usuario de Amazon EC2 parainstancias de Linux.

Asignación de una dirección IPv6 a una instanciaSi su instancia se encuentra en una VPC y una subred con un bloque de CIDR IPv6 asociado (p. 84),podrá utilizar la consola de Amazon EC2 para asignar una dirección IPv6 a su instancia desde el rango dela subred.

Para asociar una dirección IPv6 a su instancia

1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, elija Instances y seleccione la instancia.3. Elija Actions (Acciones), Networking (Redes), Manage IP Addresses (Administrar direcciones IP).4. En IPv6 Addresses, elija Assign new IP. Puede especificar una dirección IPv6 del rango de la subred

o dejar el valor Auto-assign (Asignación automática) para que Amazon elija una dirección IPv6automáticamente.

5. Seleccione Save.

De manera alternativa, puede asignar una dirección IPv6 a una interfaz de red. Para obtener másinformación, consulte la sección sobre la Asignación de una dirección IPv6 en el tema Interfaces de redeselásticas en la Guía del usuario de Amazon EC2 para instancias de Linux.

107


https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/MultipleIP.html#working-with-multiple-ipv6


https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html#eni-assign-ipv6

Amazon Virtual Private Cloud Guía del usuarioAnulación de la asignación de una

dirección IPv6 de una instancia

Anulación de la asignación de una dirección IPv6 deuna instanciaSi ya no necesita dirección IPv6 para su instancia, puede anular su asociación de la instancia mediante laconsola de Amazon EC2.

Para anular la asociación de una dirección IPv6 de su instancia

1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, elija Instances y seleccione la instancia.3. Elija Actions (Acciones), Networking (Redes), Manage IP Addresses (Administrar direcciones IP).4. En IPv6 Addresses, elija Unassign para la dirección IPv6.5. Seleccione Save.

De manera alternativa, puede anular la asociación de una dirección IPv6 a una interfaz de red. Paraobtener más información, consulte Anulación de la asignación de una dirección IPv6 en el tema Interfacesde redes elásticas en la Guía del usuario de Amazon EC2 para instancias de Linux.

Información general de API y comandosPuede realizar las tareas descritas en esta página utilizando la línea de comandos o una API. Para obtenermás información acerca de las interfaces de la línea de comandos, junto con una lista de API disponibles,consulte Acceso a Amazon VPC (p. 1).

Asignación de una dirección IPv4 pública durante el lanzamiento

• Utilice la opción --associate-public-ip-address o --no-associate-public-ip-addresscon el comando run-instances (AWS CLI)

• Utilice el parámetro -AssociatePublicIp con el comando New-EC2Instance (Herramientas de AWSpara Windows PowerShell)

Asignación de una dirección IPv6 durante el lanzamiento

• Utilice la opción --ipv6-addresses con el comando run-instances (AWS CLI).• Utilice el parámetro -Ipv6Addresses con el comando New-EC2Instance (Herramientas de AWS para

Windows PowerShell)

Modificación del comportamiento de las direcciones IP de una subred

• modify-subnet-attribute (AWS CLI)• Edit-EC2SubnetAttribute (Herramientas de AWS para Windows PowerShell)

Asignación de una dirección IPv6 a una interfaz de red

• assign-ipv6-addresses (AWS CLI)• Register-EC2Ipv6AddressList (Herramientas de AWS para Windows PowerShell)

Anulación de la asignación de una dirección IPv6 a una interfaz de red

• unassign-ipv6-addresses (AWS CLI)

108


https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html#eni-unassign-ipv6





https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-subnet-attribute.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2SubnetAttribute.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/assign-ipv6-addresses.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Register-EC2Ipv6AddressList.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/unassign-ipv6-addresses.html

Amazon Virtual Private Cloud Guía del usuarioMigración a IPv6

• Unregister-EC2Ipv6AddressList (Herramientas de AWS para Windows PowerShell)

Migración a IPv6Si tiene una VPC existente que solo admite IPv4 y los recursos de su subred están configurados parautilizar solamente IPv4, puede habilitar la compatibilidad con IPv6 para su VPC y sus recursos. Su VPCpuede funcionar en modo de pila doble. Esto implica que los recursos se pueden comunicar mediante IPv4,IPv6 o ambos. Las comunicaciones IPv4 e IPv6 son independientes.

No puede deshabilitar la compatibilidad con IPv4 para su VPC y sus subredes, ya que este es el sistemade direccionamiento IP predeterminado para Amazon VPC y Amazon EC2.

Note

En esta información se presupone que hay una VPC con subredes públicas y privadas. Paraobtener información sobre cómo configurar una nueva VPC para usarla con IPv6, consulte thesection called “Información general de IPv6” (p. 23).

La tabla siguiente ofrece información general de los pasos que debe seguir para habilitar su VPC y sussubredes para utilizar IPv6.

Paso Notas

Paso 1: Asociación de un bloque de CIDR IPv6 asu VPC y sus subredes (p. 112)

Asocie un bloque de CIDR IPv6 proporcionado porAmazon a su VPC y a sus subredes.

Paso 2: Actualización de las tablas deruteo (p. 113)

Actualice sus tablas de ruteo para direccionar eltráfico IPv6. Para una subred pública, cree una rutaque direccione todo el tráfico IPv6 desde la subredal puerto de enlace a Internet. Para una subredprivada, cree una ruta que direccione todo el tráficoIPv6 entrante desde la subred a un gateway deInternet de solo salida.

Paso 3: Actualización de las reglas del grupo deseguridad (p. 113)

Actualice las reglas de su grupo de seguridad paraque incluyan reglas para direcciones IPv6. Estopermite el flujo de tráfico IPv6 entrante y salienteen las instancias. Si ha creado reglas de ACL dered personalizadas para controlar el flujo de tráficoentrante y saliente de su subred, debe incluirreglas para el tráfico IPv6.

Paso 4: Cambio del tipo de instancia (p. 114) Si su tipo de instancia no es compatible con IPv6,cambie el tipo de instancia.

Paso 5: Asignación de direcciones IPv6 a susinstancias (p. 115)

Asigne direcciones IPv6 a sus instancias desde elrango de direcciones IPv6 de su subred.

Paso 6: (opcional) Configuración de IPv6 en susinstancias (p. 116)

Si su instancia se ha lanzado desde una AMIque no está configurado para utilizar DHCPv6,deberá configurar manualmente su instanciapara reconocer una dirección IPv6 asignada a lainstancia.

Antes de migrar a la utilización de IPv6, asegúrese de leer las características de las direcciones IPv6 paraAmazon VPC: Características y restricciones de IPv4 e IPv6 (p. 101).

109

https://docs.aws.amazon.com/powershell/latest/reference/items/Unregister-EC2Ipv6AddressList.html

Amazon Virtual Private Cloud Guía del usuarioEjemplo: habilitación de IPv6 en una

VPC con una subred privada y pública

Contenido• Ejemplo: habilitación de IPv6 en una VPC con una subred privada y pública (p. 110)• Paso 1: Asociación de un bloque de CIDR IPv6 a su VPC y sus subredes (p. 112)• Paso 2: Actualización de las tablas de ruteo (p. 113)• Paso 3: Actualización de las reglas del grupo de seguridad (p. 113)• Paso 4: Cambio del tipo de instancia (p. 114)• Paso 5: Asignación de direcciones IPv6 a sus instancias (p. 115)• Paso 6: (opcional) Configuración de IPv6 en sus instancias (p. 116)

Ejemplo: habilitación de IPv6 en una VPC con unasubred privada y públicaEn este ejemplo, su VPC tiene una subred pública y privada. También dispone de una instancia de basede datos en su subred privada que tiene comunicación saliente a Internet mediante una gateway NAT ensu VPC. Asimismo, tiene un servidor web público en su subred pública con acceso a Internet mediante lagateway de Internet. El diagrama siguiente representa la arquitectura de su VPC.

110

Amazon Virtual Private Cloud Guía del usuarioEjemplo: habilitación de IPv6 en una

VPC con una subred privada y pública

El grupo de seguridad de su servidor web (sg-11aa22bb11aa22bb1) tiene las siguientes reglasentrantes:

Type Protocolo Rango de puerto Fuente Comentario

Todo el tráfico Todo Todos sg-33cc44dd33cc44dd3Permite el accesoentrante detodo el tráficode instanciasasociadas al grupode seguridadsg-33cc44dd33cc44dd3(instancia de labase de datos).

HTTP TCP 80 0.0.0.0/0 Permite el tráficoentrante desdeInternet medianteHTTP.

HTTPS TCP 443 0.0.0.0/0 Permite el tráficoentrante desdeInternet medianteHTTPS.

SSH TCP 22 203.0.113.123/32 Permite el accesoSSH entrantedesde su equipolocal. Por ejemplo,cuando necesitaconectarse a suinstancia pararealizar tareas deadministración.

El grupo de seguridad de su instancia de base de datos (sg-33cc44dd33cc44dd3) tiene la regla entrantesiguiente:

Tipo Protocolo Rango de puerto Fuente Comentario

MySQL TCP 3306 sg-11aa22bb11aa22bb1Permite el accesoentrante detráfico MySQLdesde instanciasasociadas al grupode seguridadsg-11aa22bb11aa22bb1(instancia delservidor web).

Ambos grupos de seguridad tienen la regla saliente predeterminada que permite todo el tráfico IPv4saliente y ninguna otra regla saliente.

El servidor web es un tipo de instancia t2.medium. El servidor de la base de datos es del tipo m3.large.

111

Amazon Virtual Private Cloud Guía del usuarioPaso 1: Asociación de un bloque deCIDR IPv6 a su VPC y sus subredes

Usted desea que su VPC y sus recursos admitan IPv6. Asimismo, desea que puedan funcionar en modode pila doble. En otras palabras, desea utilizar las direcciones IPv4 e IPv6 entre los recursos de su VPC ylos recursos a través de Internet.

Una vez completados los pasos, su VPC tendrá la configuración siguiente.

Paso 1: Asociación de un bloque de CIDR IPv6 a suVPC y sus subredesPuede asociar un bloque de CIDR IPv6 a su VPC y, a continuación, asociar un bloque de CIDR /64 dedicho rango a cada subred.

Para asociar un bloque de CIDR IPv6 a una VPC

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Your VPCs.3. Seleccione su VPC, elija Actions, Edit CIDRs.4. Elija Add IPv6 CIDR. Una vez añadido el bloque de CIDR IPv6, elija Close.

112


Amazon Virtual Private Cloud Guía del usuarioPaso 2: Actualización de las tablas de ruteo

Para asociar un bloque de CIDR IPv6 a una subred

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Subnets.3. Seleccione su subred, elija Subnet Actions, Edit IPv6 CIDRs.4. Elija Add IPv6 CIDR. Especifique la pareja de valores hexadecimales para la subred (por ejemplo, 00)

y confirme la entrada seleccionando el icono de marca de verificación.5. Seleccione la opción Close. Repita los pasos para las demás subredes de su VPC.

Para obtener más información, consulte Tamaño de subred Y VPC para direcciones IPv6 (p. 80).

Paso 2: Actualización de las tablas de ruteoPara una subred pública, debe actualizar la tabla de ruteo para habilitar instancias (tales como servidoresweb) para utilizar el puerto de enlace a Internet para tráfico IPv6.

Para una subred privada, debe actualizar la tabla de ruteo para habilitar instancias (tales como instanciasde base de datos) para utilizar una gateway de Internet de solo salida para tráfico IPv6.

Para actualizar la tabla de ruteo para una subred pública

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Route Tables y seleccione la tabla de ruteo asociada a la subred

pública.3. En la pestaña Routes, elija Edit.4. Elija Add another route. Especifique ::/0 en Destination (Destino), seleccione el ID de la gateway de

Internet en Target (Destino) y, a continuación, elija Save (Guardar).

Para actualizar la tabla de ruteo para una subred privada

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. Si usa un dispositivo NAT en su subred privada, no admite el tráfico IPv6. En lugar de ello, cree

un puerto de enlace a Internet de solo salida para que su subred privada permita la comunicaciónsaliente a Internet mediante IPv6 y para impedir las comunicaciones entrantes. El puerto de enlace aInternet de solo salida solo admite el tráfico IPv6. Para obtener más información, consulte Gatewaysde Internet de solo salida (p. 239).

3. En el panel de navegación, elija Route Tables y seleccione la tabla de ruteo asociada a la subredprivada.

4. En la pestaña Routes, elija Edit.5. Elija Add another route. En Destination (Destino), especifique ::/0. Para Target (Destino), seleccione

el ID de la gateway de Internet de solo salida y, a continuación, elija Save (Guardar).

Para obtener más información, consulte Opciones de direccionamiento (p. 219).

Paso 3: Actualización de las reglas del grupo deseguridadPara habilitar sus instancias de modo que puedan enviar y recibir tráfico por IPv6 debe actualizar las reglasdel grupo de seguridad para incluir reglas para direcciones IPv6.

113




Amazon Virtual Private Cloud Guía del usuarioPaso 4: Cambio del tipo de instancia

Por ejemplo, en el ejemplo anterior, puede actualizar el grupo de seguridad del servidor web(sg-11aa22bb11aa22bb1) para agregar reglas que permitan acceso entrante HTTP, HTTPS y SSHdesde direcciones IPv6. No es necesario que haga ningún cambio a las reglas entrantes del grupode seguridad de su base de datos; la regla que permite todas las comunicaciones desde el grupo deseguridad sg-11aa22bb11aa22bb1 incluye la comunicación IPv6 de manera predeterminada.

Para actualizar las reglas de su grupo de seguridad

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Security Groups y seleccione el grupo de seguridad de su servidor

web.3. En la pestaña Inbound Rules, elija Edit.4. Para cada regla, elija Add another rule y elija Save cuando haya terminado. Por ejemplo, para agregar

una regla que permita todo el tráfico HTTP por IPv6, para Type (Tipo), seleccione HTTP, y paraSource (Origen), escriba ::/0.

De forma predeterminada se ha añadido automáticamente a los grupos de seguridad una regla salienteque permite todo el tráfico IPv6 cuando se asocia un bloque de CIDR IPv6 a su VPC. Sin embargo,si ha modificado las reglas salientes originales de su grupo de seguridad, esta regla no se añadiráautomáticamente, por lo que deberá añadir las reglas salientes equivalentes para el tráfico IPv6. Paraobtener más información, consulte Grupos de seguridad de su VPC (p. 166).

Actualización de las reglas de ACL de redSi asocia un bloque de CIDR IPv6 a su VPC, se añadirán automáticamente reglas a la ACL de redpredeterminada para permitir el tráfico IPv6 siempre que no haya modificado las reglas predeterminadas.Si ha modificado la ACL de red predeterminada o si ha creado una ACL de red personalizada con reglaspara controlar el flujo de tráfico entrante y saliente de la subred, deberá añadir manualmente las reglaspara el tráfico IPv6. Para obtener más información, consulte Reglas de ACL de red recomendadas para suVPC (p. 191).

Paso 4: Cambio del tipo de instanciaTodos los tipos de instancia de la generación actual admiten IPv6. Para obtener más información, consulteTipos de instancias.

Si su tipo de instancia no es compatible con IPv6, deberá cambiar el tamaño de la instancia a un tipocompatible de instancia. En el ejemplo anterior, la instancia de la base de datos es del tipo m3.large,que no es compatible con IPv6. Por lo tanto, debe redimensionar la instancia con un tipo de instanciacompatible como, por ejemplo, m4.large.

Para redimensionar la instancia, tenga en cuenta las limitaciones de compatibilidad. Para obtener másinformación, consulte Compatibilidad con el redimensionamiento de instancias en la Guía del usuario deAmazon EC2 para instancias de Linux. En este escenario, si la instancia de la base de datos se lanzódesde una AMI que utiliza virtualización HVM, podrá redimensionarla al tipo de instancia m4.largeutilizando el procedimiento siguiente.

Important

Para redimensionar su instancia, debe detenerla. La detención y el inicio de la instancia modificala dirección IPv4 pública de la instancia, si es que dispone de alguna. Si tiene datos almacenadosen volúmenes de almacén de instancias, los datos se borrarán.

Para redimensionar su instancia

1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

114


https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-types.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-resize.html#resize-limitations


Amazon Virtual Private Cloud Guía del usuarioPaso 5: Asignación de direcciones IPv6 a sus instancias

2. En el panel de navegación, elija Instances y seleccione la instancia de la base de datos.3. Elija Actions, Instance State, Stop.4. En el cuadro de diálogo de confirmación, elija Yes, Stop.5. Con la instancia aún seleccionada, elija Actions, Instance Settings, Change Instance Type.6. En Instance Type (Tipo de instancia), elija el nuevo tipo de instancia y luego elija Apply (Aplicar).7. Para reiniciar la instancia detenida, seleccione la instancia y elija Actions, Instance State, Start. En el

cuadro de diálogo de confirmación, elija Yes, Start.

Si su instancia es una AMI con respaldo en el almacenamiento de la instancia, no podrá redimensionarla instancia con el procedimiento anterior. En su lugar, cree una AMI con respaldo en el almacenamientode la instancia desde su instancia y lance una nueva instancia desde su AMI utilizando un nuevo tipode instancia. Para obtener más información, consulte Creación de una AMI de Linux con respaldo en elalmacén de instancias en la Guía del usuario de Amazon EC2 para instancias de Linux y Creación de unaAMI desde una instancia con respaldo en el almacén de instancias en la Guía del usuario de Amazon EC2para instancias de Windows.

Es posible que no pueda migrar a un nuevo tipo de instancia si hay limitaciones de compatibilidad. Porejemplo, si su instancia se lanzó desde una AMI que utiliza virtualización de PV, el único tipo de instanciaque admite virtualización de PV e IPv6 es el tipo C3. Es posible que este tipo de instancia no se ajuste asus necesidades. En este caso, es posible que tenga que volver a instalar el software en una AMI HVMbásica y lanzar una nueva instancia.

Si lanza una instancia desde una nueva AMI, puede asignar una dirección IPv6 a su instancia durante ellanzamiento.

Paso 5: Asignación de direcciones IPv6 a susinstanciasTras comprobar que su tipo de instancia admite IPv6, podrá asignar una dirección IPv6 a su instanciamediante la consola de Amazon EC2. La dirección IPv6 se asigna a la interfaz de red principal (eth0) parala instancia.

Para asignar una dirección IPv6 a su instancia

1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, seleccione Instances (Instancias).3. Seleccione su instancia y elija Actions, Networking, Manage IP Addresses.4. En IPv6 Addresses, elija Assign new IP. Puede escribir una dirección IPv6 específica del rango de

su subred, o bien puede dejar el valor Auto-Assign predeterminado para que Amazon elija unadirección por usted.

5. Elija Yes, Update.

También, si lanza una instancia nueva (por ejemplo, si no pudo cambiar el tipo de instancia y creó unanueva AMI en su lugar), podrá asignar una dirección IPv6 durante el lanzamiento.

Para asignar una dirección IPv6 a una instancia durante el lanzamiento

1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. Seleccione su AMI y un tipo de instancia compatible con IPv6 y elija Next: Configure Instance Details.3. En la página Configure Instance Details, seleccione una VPC en Network y una subred en Subnet. En

Auto-assign IPv6 IP, seleccione Enable.4. Siga el resto de pasos del asistente para lanzar su instancia.

115

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/creating-an-ami-instance-store.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/creating-an-ami-instance-store.html

https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/Creating_InstanceStoreBacked_WinAMI.html

https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/Creating_InstanceStoreBacked_WinAMI.html



Amazon Virtual Private Cloud Guía del usuarioPaso 6: (opcional) Configuración de IPv6 en sus instancias

Puede conectarse a una instancia utilizando su dirección IPv6. Si se conecta desde un equipo local,asegúrese de que el equipo local tiene una dirección IPv6 y que está configurada para usar IPv6. Paraobtener más información, consulte Conexión con la instancia de Linux en la Guía del usuario de AmazonEC2 para instancias de Linux y Conexión con la instancia de Windows en la Guía del usuario de AmazonEC2 para instancias de Windows.

Paso 6: (opcional) Configuración de IPv6 en susinstanciasSi ha lanzado su instancia utilizando Amazon Linux 2016.09.0 o posterior, o bien con Windows Server2008 R2 o posterior, su instancia está configurada para IPv6 y no es necesario realizar ningún pasoadicional.

Si ha lanzado su instancia desde una AMI distinta, es posible que no esté configurada para DHCPv6, loque significa que las direcciones IPv6 que asigne a la instancia no se reconocerán automáticamente en lainterfaz de red principal. Para comprobar si la dirección IPv6 está configurada en su interfaz de red, utiliceel comando ifconfig en Linux o el comando ipconfig en Windows.

Puede configurar su instancia siguiendo los pasos que se describen a continuación. Necesitará conectarsea su instancia utilizando su dirección IPv4 pública. Para obtener más información, consulte Conexión conla instancia de Linux en la Guía del usuario de Amazon EC2 para instancias de Linux y Conexión con lainstancia de Windows en la Guía del usuario de Amazon EC2 para instancias de Windows.

Sistema operativo• Amazon Linux (p. 116)• Ubuntu (p. 117)• RHEL/CentOS (p. 119)• Windows (p. 120)

Amazon LinuxPara configurar DHCPv6 en Amazon Linux

1. Conecte su instancia utilizando la dirección IPv4 pública de la instancia.2. Obtenga los paquetes de software más recientes para su instancia:

sudo yum update -y

3. Con el editor de texto que desee, abra /etc/sysconfig/network-scripts/ifcfg-eth0 ylocalice la línea siguiente:

IPV6INIT=no

Sustituya dicha línea por lo siguiente:

IPV6INIT=yes

Añada las siguientes dos líneas y guarde sus cambios:

DHCPV6C=yesDHCPV6C_OPTIONS=-nw

4. Abra /etc/sysconfig/network, quite las líneas siguientes y guarde los cambios:

116








NETWORKING_IPV6=noIPV6INIT=noIPV6_ROUTER=noIPV6_AUTOCONF=noIPV6FORWARDING=noIPV6TO4INIT=noIPV6_CONTROL_RADVD=no

5. Abra /etc/hosts, sustituya los contenidos por los siguientes y guarde los cambios:

127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4::1 localhost6 localhost6.localdomain6

6. Reinicie su instancia. Vuelva a conectarse a su instancia y utilice el comando ifconfig paracomprobar que la dirección IPv6 se reconoce en la interfaz de red principal.

UbuntuPuede configurar su instancia de Ubuntu para que reconozca de forma dinámica cualquier dirección IPv6asignada a la interfaz de red. Si su instancia no tiene dirección IPv6, esta configuración hará que el tiempode inicio de su instancia se amplíe hasta 5 minutos.

Estos pasos deben realizarse como usuario raíz.

Ubuntu Server 16

Para configurar IPv6 en una instancia de Ubuntu Server 16 en ejecución

1. Conecte su instancia utilizando la dirección IPv4 pública de la instancia.2. Visualice el contenido del archivo /etc/network/interfaces.d/50-cloud-init.cfg:

cat /etc/network/interfaces.d/50-cloud-init.cfg

# This file is generated from information provided by# the datasource. Changes to it will not persist across an instance.# To disable cloud-init's network configuration capabilities, write a file# /etc/cloud/cloud.cfg.d/99-disable-network-config.cfg with the following:# network: {config: disabled}auto loiface lo inet loopback

auto eth0iface eth0 inet dhcp

Compruebe que el dispositivo de red de bucle invertido (lo) esté configurado y anote el nombre de lainterfaz de red. En este ejemplo, el nombre de la interfaz de red es eth0. Es posible que el nombrevaríe en función del tipo de instancia.

3. Cree el archivo /etc/network/interfaces.d/60-default-with-ipv6.cfg y añada la líneasiguiente. Si es necesario, sustituya eth0 por el nombre de la interfaz de red que recuperó en el pasoanterior.

iface eth0 inet6 dhcp

4. Reinicie su instancia o la interfaz de red. Para ello, ejecute el comando que se describe acontinuación. Si es necesario, sustituya eth0 por el nombre de su interfaz de red.

117


sudo ifdown eth0 ; sudo ifup eth0

5. Vuelva a conectarse a su instancia y utilice el comando ifconfig para comprobar que la direcciónIPv6 está configurada en la interfaz de red.

Para configurar IPv6 mediante datos de usuario

• Puede lanzar una nueva instancia de Ubuntu y asegurarse de que las direcciones IPv6 asignadas ala instancia se configuren automáticamente en la interfaz de red especificando los datos de usuariosiguientes durante el lanzamiento:

#!/bin/bashecho "iface eth0 inet6 dhcp" >> /etc/network/interfaces.d/60-default-with-ipv6.cfgdhclient -6

En este caso, no tiene que conectarse a la instancia para configurar la dirección IPv6.

Para obtener más información, consulte Ejecutar comandos en la instancia de Linux en el lanzamientoen la Guía del usuario de Amazon EC2 para instancias de Linux.

Ubuntu Server 14Si va a utilizar Ubuntu Server 14, debe incluir una solución a un problema conocido que se produce alreiniciar la interfaz de red de pila doble (al reiniciarse, se agota el tiempo de espera y no se puede obteneracceso a la instancia durante dicho periodo).

Estos pasos deben realizarse como usuario raíz.

Para configurar IPv6 en una instancia de Ubuntu Server 14 en ejecución

1. Conecte su instancia utilizando la dirección IPv4 pública de la instancia.2. Edite el archivo /etc/network/interfaces.d/eth0.cfg para que contenga lo siguiente:

auto loiface lo inet loopbackauto eth0iface eth0 inet dhcp up dhclient -6 $IFACE

3. Reinicie su instancia:

sudo reboot

4. Vuelva a conectarse a su instancia y utilice el comando ifconfig para comprobar que la direcciónIPv6 está configurada en la interfaz de red.

Inicio del cliente DHCPv6De manera alternativa, para mostrar la dirección IPv6 de la interfaz de red de inmediato sin tener querealizar ninguna configuración adicional, puede iniciar el cliente DHCPv6 de la instancia. Sin embargo, ladirección IPv6 no se mantiene en la interfaz de red tras el reinicio.

Para iniciar el cliente DHCPv6 en Ubuntu

1. Conecte su instancia utilizando la dirección IPv4 pública de la instancia.

118

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/user-data.html

https://bugs.launchpad.net/ubuntu/+source/ifupdown/+bug/1013597


2. Inicie el cliente DHCPv6:

sudo dhclient -6

3. Utilice el comando ifconfig para comprobar que la interfaz de red principal reconoce la direcciónIPv6.

RHEL/CentOSRHEL 7.4 y CentOS 7 y posteriores usan cloud-init para configurar su interfaz de red y generar el archivo/etc/sysconfig/network-scripts/ifcfg-eth0. Puede crear un archivo de configuración cloud-init personalizado para habilitar DHCPv6, que genera un archivo ifcfg-eth0 con configuraciones quehabilitan DHCPv6 después de cada reinicio.

Note

Un problema conocido hace que, si utiliza RHEL/CentOS 7.4 con la última versión de cloud-init-0.7.9, al realizar estos pasos puede que pierda la conectividad con su instancia tras reiniciar.Una alternativa es editar manualmente el archivo /etc/sysconfig/network-scripts/ifcfg-eth0.

Para configurar DHCPv7.4 en RHEL 7 o CentOS 6

1. Conecte su instancia utilizando la dirección IPv4 pública de la instancia.2. Con el editor de texto que desee, cree un archivo personalizado, por ejemplo:

/etc/cloud/cloud.cfg.d/99-custom-networking.cfg

3. Añada las siguientes líneas al archivo y guarde los cambios:

network: version: 1 config: - type: physical name: eth0 subnets: - type: dhcp - type: dhcp6

4. Reinicie su instancia.5. Vuelva a conectarse a su instancia y utilice el comando ifconfig para comprobar que la dirección

IPv6 está configurada en la interfaz de red.

Para RHEL versiones 7.3 y anteriores, puede utilizar el procedimiento siguiente para modificar el archivo /etc/sysconfig/network-scripts/ifcfg-eth0 directamente.

Para configurar DHCPv6 en RHEL 7.3 y anteriores

1. Conecte su instancia utilizando la dirección IPv4 pública de la instancia.2. Con el editor de texto que desee, abra /etc/sysconfig/network-scripts/ifcfg-eth0 y

localice la línea siguiente:

IPV6INIT="no"

Sustituya dicha línea por lo siguiente:

119

http://cloudinit.readthedocs.io/en/latest/index.html


IPV6INIT="yes"

Añada las siguientes dos líneas y guarde sus cambios:

DHCPV6C=yesNM_CONTROLLED=no

3. Abra /etc/sysconfig/network, añada o modifique la línea siguiente como se indica acontinuación y guarde los cambios:

NETWORKING_IPV6=yes

4. Reinicie las redes en su instancia ejecutando el comando siguiente:

sudo service network restart

Puede utilizar el comando ifconfig para comprobar que la interfaz de red principal reconoce ladirección IPv6.

Para configurar DHCPv6 en RHEL 6 o CentOS 6

1. Conecte su instancia utilizando la dirección IPv4 pública de la instancia.2. Siga los pasos del 2 al 4 del procedimiento anterior para configurar RHEL 7/CentOS 7.3. Si reinicia las redes y obtiene un error que indica que no se puede obtener la dirección IPv6.

abra /etc/sysconfig/network-scripts/ifup-eth y localice la siguiente línea (de formapredeterminada el contenido se encuentra en la línea 327):

if /sbin/dhclient "$DHCLIENTARGS"; then

Quite las comillas antes y después de $DHCLIENTARGS y guarde los cambios. Reinicie las redes ensu instancia:

sudo service network restart

WindowsUtilice los procedimientos siguientes para configurar IPv6 en Windows Server 2003 y Windows Server2008 SP2.

Para asegurarse de que el sistema prefiere IPv6 frente a IPv4, descargue la corrección Preferir IPv4acerca de IPv6 en las directivas de prefijo de la siguiente página de soporte de Microsoft: https://support.microsoft.com/en-us/help/929852/how-to-disable-ipv6-or-its-components-in-windows.

Para habilitar y configurar IPv6 en Windows Server 2003

1. Obtenga la dirección IPv6 de su instancia utilizando el comando de AWS CLI describe-instances oconsultando el campo IPv6 IPs (Direcciones IP IPv6) de la instancia en la consola de Amazon EC2.

2. Conecte su instancia utilizando la dirección IPv4 pública de la instancia.3. Desde su instancia, elija Inicio, Panel de control, Conexiones de red, Conexión de área local.4. Elija Propiedades y, a continuación, elija Instalar.

120

https://support.microsoft.com/en-us/help/929852/how-to-disable-ipv6-or-its-components-in-windows

https://support.microsoft.com/en-us/help/929852/how-to-disable-ipv6-or-its-components-in-windows

https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instances.html


5. Elija Protocolo y Agregar. En la lista Protocolo de red, elija Microsoft TCP/IP versión 6 y, acontinuación, elija Aceptar.

6. Abra el símbolo del sistema y el shell de red.

netsh

7. Cambie al contexto IPv6 de la interfaz.

interface ipv6

8. Añada la dirección IPv6 a la conexión de área local utilizando el comando siguiente. Sustituya el valorde la dirección IPv6 por la dirección IPv6 para su instancia.

add address "Local Area Connection" "ipv6-address"

Por ejemplo:

add address "Local Area Connection" "2001:db8:1234:1a00:1a01:2b:12:d08b"

9. Salga del shell de red.

exit

10. Utilice el comando ipconfig para comprobar que la conexión de área local reconoce la direcciónIPv6.

Para habilitar y configurar IPv6 en Windows Server 2008 SP2

1. Obtenga la dirección IPv6 de su instancia utilizando el comando de AWS CLI describe-instances oconsultando el campo IPv6 IPs (Direcciones IP IPv6) de la instancia en la consola de Amazon EC2.

2. Conecte su instancia de Windows utilizando la dirección IPv4 pública de la instancia.3. Elija Inicio, Panel de control.4. Abra Centro de redes y recursos compartidos y, a continuación, abra Conexiones de red.5. Haga clic con el botón derecho en Red de área local (para la interfaz de red) y elija Propiedades.6. Elija la casilla de verificación Protocolo de Internet versión 6 (TCP/IPv6) y elija Aceptar.7. Vuelva a abrir el cuadro de diálogo de propiedades de Red de área local. Elija Protocolo de Internet

versión 6 (TCP/IPv6) y elija Propiedades.8. Elija Usar la siguiente dirección IPv6: y haga lo siguiente:

• En Dirección IPV6, escriba la dirección IPv6 que obtuvo en el paso 1.• En Longitud del prefijo de subred, escriba 64.

9. Elija Aceptar y cierre el cuadro de diálogo de propiedades.10. Abra el símbolo del sistema. Utilice el comando ipconfig para comprobar que la conexión de área

local reconoce la dirección IPv6.

121


Amazon Virtual Private Cloud Guía del usuarioProtección de los datos

Seguridad en Amazon Virtual PrivateCloud

La seguridad en la nube de AWS es la mayor prioridad. Como cliente de AWS, se beneficiará de unaarquitectura de red y un centro de datos diseñados para satisfacer los requisitos de seguridad de lasorganizaciones más exigentes.

La seguridad es una responsabilidad compartida entre AWS y usted. El modelo de responsabilidadcompartida la describe como seguridad de la nube y seguridad en la nube:

• Seguridad de la nube – AWS es responsable de proteger la infraestructura que ejecuta servicios deAWS en la nube de AWS. AWS también proporciona servicios que puede utilizar de forma segura. Losauditores externos prueban y verifican periódicamente la eficacia de nuestra seguridad como parte delos Programas de conformidad de AWS . Para obtener información sobre los programas de conformidadque se aplican a Amazon Virtual Private Cloud, consulte Servicios de AWS en el ámbito del programa deconformidad.

• Seguridad en la nube – su responsabilidad viene determinada por el servicio de AWS que utilice.También es responsable de otros factores, incluida la confidencialidad de los datos, los requisitos de laempresa y la legislación y los reglamentos aplicables.

Esta documentación le ayuda a comprender cómo puede aplicar el modelo de responsabilidad compartidacuando se utiliza Amazon VPC. En los siguientes temas, aprenderá a configurar Amazon VPC parasatisfacer sus objetivos de seguridad y conformidad. También aprenderá a utilizar otros servicios de AWSque le ayudarán a monitorizar y proteger sus recursos de Amazon VPC.

Temas• Protección de datos en Amazon Virtual Private Cloud (p. 122)• Identity and Access Management para Amazon VPC (p. 125)• Registro y monitorización para Amazon VPC (p. 141)• Resiliencia en Amazon Virtual Private Cloud (p. 165)• Validación de la conformidad para Amazon Virtual Private Cloud (p. 166)• Grupos de seguridad de su VPC (p. 166)• ACL de red (p. 175)• Prácticas recomendadas de seguridad de la VPC (p. 190)

Protección de datos en Amazon Virtual PrivateCloud

Amazon Virtual Private Cloud cumple los requisitos del modelo de responsabilidad compartida de AWS,que incluye reglamentos y directrices para la protección de los datos. AWS es responsable de protegerla infraestructura global que ejecuta todos los servicios de AWS. AWS mantiene el control de los datosalojados en esta infraestructura, incluidos los controles de configuración de la seguridad para el tratamientodel contenido y los datos personales de los clientes. Los clientes de AWS y los socios de APN, que actúan

122

http://aws.amazon.com/compliance/shared-responsibility-model/


http://aws.amazon.com/compliance/programs/

http://aws.amazon.com/compliance/services-in-scope/



Amazon Virtual Private Cloud Guía del usuarioPrivacidad del tráfico entre redes

como controladores o procesadores de datos, son responsables de todos los datos personales quecolocan en la nube de AWS.

Para fines de protección de datos, le recomendamos proteger las credenciales de la cuenta de AWS yconfigurar cuentas de usuario individuales con AWS Identity and Access Management (IAM), de modo quea cada usuario se le concedan únicamente los permisos necesarios para llevar a cabo su trabajo. Tambiénle recomendamos proteger sus datos de las siguientes formas:

• Utilice la autenticación multifactor (MFA) con cada cuenta.• Utilice SSL/TLS para comunicarse con los recursos de AWS.• Configure la API y el registro de actividad del usuario con AWS CloudTrail.• Utilice las soluciones de cifrado de AWS, junto con todos los controles de seguridad predeterminados

dentro de los servicios de AWS.• Utilice los servicios de seguridad administrados avanzados como, por ejemplo, Amazon Macie, que

ayudan a detectar y proteger los datos personales almacenados en Amazon S3.

Le recomendamos encarecidamente que nunca introduzca información de identificación confidencial,como, por ejemplo, números de cuenta de sus clientes, en los campos de formato libre, como el campoName (Nombre). No debe especificar esta información cuando trabaje con Amazon VPC u otros serviciosde AWS a través de la consola, la API, la AWS CLI de AWS o los SDK de AWS. Cualquier dato queescriba en Amazon VPC o en otros servicios se puede incluir en los registros de diagnóstico. Cuandoproporcione una URL a un servidor externo, no incluya información de credenciales en la URL para validarla solicitud para ese servidor.

Para obtener más información sobre la protección de datos, consulte la entrada de blog relativa al modelode responsabilidad compartida de AWS y GDPR en el blog de seguridad de AWS.

Privacidad del tráfico entre redes en Amazon VPCAmazon Virtual Private Cloud ofrece características que puede utilizar para aumentar y monitorear laseguridad de su nube virtual privada (VPC):

• Grupos de seguridad: los grupos de seguridad actúan como firewall para las instancias Amazon EC2asociadas al controlar el tráfico entrante y saliente en el ámbito de la instancia. Cuando lanza unainstancia, puede asociarla a uno o varios grupos de seguridad que haya creado. Cada instancia desu VPC podría pertenecer a un conjunto distinto de grupos de seguridad. Si no especifica ningúngrupo de seguridad al lanzar una instancia, esta se asocia automáticamente al grupo de seguridadpredeterminado de la VPC. Para obtener más información, consulte Grupos de seguridad de suVPC (p. 166).

• Listas de control de acceso (ACL) de red: las ACL de red actúan como firewall para las subredesasociadas y controlan el tráfico entrante y saliente en el ámbito de la subred. Para obtener másinformación, consulte ACL de red (p. 175).

• Registros de flujo: los registros de flujo capturan información acerca del tráfico IP entrante y salientede las interfaces de red en su VPC. Puede crear un registro de flujo para una VPC, una subred o unainterfaz de red individual. Los datos del registro de flujo se publican en CloudWatch Logs o AmazonS3 y pueden ayudarle a diagnosticar reglas de ACL de red y de grupos de seguridad excesivamenterestrictivas o permisivas. Para obtener más información, consulte Logs de flujo de VPC (p. 141).

• Replicación del tráfico: puede copiar el tráfico de red desde una interfaz de red elástica de una instanciade Amazon EC2. A continuación, puede enviar el tráfico a dispositivos de supervisión y seguridad fuerade banda. Para obtener más información, consulte la guía de replicación del tráfico.

Puede utilizar AWS Identity and Access Management (IAM) para controlar quién de su organización tienepermiso para crear y administrar grupos de seguridad, ACL de red y registros de flujo. Por ejemplo, puede

123

http://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/

http://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/

https://docs.aws.amazon.com/vpc/latest/mirroring/

Amazon Virtual Private Cloud Guía del usuarioPrivacidad del tráfico entre redes

conceder ese permiso a sus administradores de red, pero no dar permiso al personal que solo necesitalanzar instancias. Para obtener más información, consulte Identity and Access Management para AmazonVPC (p. 125).

Los grupos de seguridad y las ACL de red de Amazon no filtran el tráfico entrante o saliente de lasdirecciones de enlace local (169.254.0.0/16) o direcciones IPv4 reservadas de AWS (estas son lascuatro primeras direcciones IPv4 de la subred, incluida la dirección del servidor DNS de Amazon para laVPC). De forma similar, los logs de flujo no capturan el tráfico IP entrante o saliente de estas direcciones.Estas direcciones son compatibles con lo siguiente:

• Servicios de nombres de dominio (DNS)• Protocolo de configuración dinámica de host (DHCP)• Metadatos de la instancia de Amazon EC2• Servicio de administración de claves (KMS): administración de licencias para las instancias de Windows• Enrutamiento en la subred

Puede implementar soluciones adicionales de firewall en sus instancias para bloquear la comunicación dered con direcciones de enlace local.

Comparación de grupos de seguridad y ACL de redLa siguiente tabla resume las diferencias básicas entre grupos de seguridad y ACL de red.

Security group (Grupo de seguridad) ACL de red

Opera en el nivel de la instancia Opera en el nivel de la subred

Solo admite reglas de permiso Admite reglas de permiso y de denegación

Es con estado: el tráfico de retorno se admiteautomáticamente, independientemente de lasreglas

Es sin estado: las reglas deben permitir de formaexplícita el tráfico de retorno

Evaluamos todas las normas antes de decidir sipermitir el tráfico

Procesamos las reglas por orden numérico aldecidir si permitir el tráfico

Se aplica a una instancia únicamente si alguienespecifica el grupo de seguridad al lanzar lainstancia, o asocia el grupo de seguridad a lainstancia más adelante

Se aplica automáticamente a todas las instanciasde las subredes con las que se ha asociado (por lotanto, proporciona una capa de defensa adicionalsi las reglas del grupo de seguridad son demasiadopermisivas)

El siguiente diagrama muestra las capas de seguridad proporcionadas por los grupos de seguridad y lasACL de red. Por ejemplo, el tráfico de un puerto de enlace a Internet se dirige a la subred correspondientemediante las rutas de la tabla de ruteo. Las reglas de la ACL de red que se asocian a la subred controlanel tráfico que se permite en la subred. Las reglas del grupo de seguridad que se asocian a una instanciacontrolan el tráfico que se permite en la instancia.

124

Amazon Virtual Private Cloud Guía del usuarioIdentity and Access Management

Puede proteger sus instancias utilizando sólo grupos de seguridad. Sin embargo, puede añadir ACL dered como una capa adicional de defensa. Para ver un ejemplo, consulte Ejemplo: control del acceso a lasinstancias en una subred (p. 186).

Identity and Access Management para AmazonVPC

AWS Identity and Access Management (IAM) es un servicio de AWS que ayuda a un administrador acontrolar de forma segura el acceso a los recursos de AWS. Los administradores de IAM controlan quiénpuede ser autenticado (iniciar sesión) y estar autorizado (tener permisos) para utilizar los recursos deAmazon VPC. IAM es un servicio de AWS que se puede utilizar sin costo adicional.

Temas• Público (p. 126)• Autenticación con identidades (p. 126)• Administración de acceso mediante políticas (p. 128)• Funcionamiento de Amazon VPC con IAM (p. 129)• Ejemplos de políticas de Amazon VPC (p. 133)• Solución de problemas de identidad y acceso en Amazon VPC (p. 139)

125

Amazon Virtual Private Cloud Guía del usuarioPúblico

PúblicoLa forma en que utilice AWS Identity and Access Management (IAM) difiere, en función del trabajo querealice en Amazon VPC.

Usuario de servicio: si utiliza el servicio Amazon VPC para realizar su trabajo, su administrador leproporciona las credenciales y los permisos que necesita. A medida que utilice más características deAmazon VPC para realizar su trabajo, es posible que necesite permisos adicionales. Entender cómo seadministra el acceso puede ayudarle a solicitar los permisos correctos a su administrador. Si no puedeacceder a una característica en Amazon VPC, consulte Solución de problemas de identidad y acceso enAmazon VPC (p. 139).

Administrador de servicio: si está a cargo de los recursos de Amazon VPC en su empresa, probablementetenga acceso completo a Amazon VPC. Su trabajo consiste en determinar qué a características y recursosde Amazon VPC deben acceder sus empleados. Envíe solicitudes a su administrador de IAM para cambiarlos permisos de los usuarios de su servicio. Revise la información de esta página para conocer losconceptos básicos de IAM. Para obtener más información sobre cómo su empresa puede utilizar IAM conAmazon VPC, consulte Funcionamiento de Amazon VPC con IAM (p. 129).

Administrator de IAM: si es un administrador de IAM, es posible que quiera conocer información sobrecómo escribir políticas para administrar el acceso a Amazon VPC. Para ver ejemplos de políticas, consulteEjemplos de políticas de Amazon VPC (p. 133).

Autenticación con identidadesLa autenticación es la manera de iniciar sesión en AWS mediante credenciales de identidad. Para obtenermás información acerca del inicio de sesión con la Consola de administración de AWS, consulte Laconsola de IAM y la página de inicio de sesión en la Guía del usuario de IAM.

Debe estar autenticado (haber iniciado sesión en AWS) como Usuario de la cuenta raíz de AWS, usuariode IAM o asumiendo un rol de IAM. También puede utilizar la autenticación de inicio de sesión único desu empresa o incluso iniciar sesión con Google o Facebook. En estos casos, su administrador habráconfigurado previamente la federación de identidad mediante roles de IAM. Cuando obtiene acceso a AWSmediante credenciales de otra empresa, asume un rol indirectamente.

Para iniciar sesión directamente en la Consola de administración de AWS, use su contraseña con sucorreo electrónico usuario raíz o su nombre de usuario de IAM. Puede obtener acceso a AWS medianteprogramación utilizando sus claves de acceso usuario raíz o de usuario de IAM. AWS proporciona SDK yherramientas de línea de comandos para firmar criptográficamente su solicitud con sus credenciales. Si noutiliza las herramientas de AWS, debe firmar usted mismo la solicitud. Para ello, utilice Signature Version4, un protocolo para autenticar solicitudes de API de entrada. Para obtener más información acerca de laautenticación de solicitudes, consulte Proceso de firma Signature Version 4 en la AWS General Reference.

Independientemente del método de autenticación que utilice, es posible que también deba proporcionarinformación de seguridad adicional. Por ejemplo, AWS le recomienda el uso de la autenticación multifactor(MFA) para aumentar la seguridad de su cuenta. Para obtener más información, consulte Uso de Multi-Factor Authentication (MFA) en AWS en la Guía del usuario de IAM.

Usuario raíz de la cuenta de AWSCuando se crea por primera vez una cuenta de AWS, se comienza con una única identidad de inicio desesión que tiene acceso completo a todos los servicios y recursos de AWS de la cuenta. Esta identidadrecibe el nombre de AWS de la cuenta de usuario raíz y se obtiene acceso a ella iniciando sesión con ladirección de correo electrónico y la contraseña que utilizó para crear la cuenta. Le recomendamos queno utilice usuario raíz en sus tareas cotidianas, ni siquiera en las tareas administrativas. En lugar de ello,es mejor ceñirse a la práctica recomendada de utilizar exclusivamente usuario raíz para crear el primerusuario de IAM. A continuación, guarde las credenciales de usuario raíz en un lugar seguro y utilícelasúnicamente para algunas tareas de administración de cuentas y servicios.

126

https://docs.aws.amazon.com/IAM/latest/UserGuide/console.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/console.html

https://console.aws.amazon.com/

https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html


https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#create-iam-users

https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#create-iam-users

Amazon Virtual Private Cloud Guía del usuarioAutenticación con identidades

Usuarios y grupos de IAMUn usuario de IAM es una entidad de la cuenta de AWS que dispone de permisos específicos para unasola persona o aplicación. Un usuario de IAM puede tener credenciales a largo plazo, como un nombrede usuario y una contraseña o un conjunto de claves de acceso. Para obtener más información acerca decómo generar claves de acceso, consulte Administración de las claves de acceso de los usuarios de IAMen la Guía del usuario de IAM. Al generar claves de acceso para un usuario de IAM, asegúrese de ver yguardar de forma segura el par de claves. No puede recuperar la clave de acceso secreta en el futuro. Ensu lugar, debe generar un nuevo par de claves de acceso.

Un grupo de IAM es una identidad que especifica un conjunto de usuarios de IAM. No puede iniciar sesióncomo grupo. Puede usar los grupos para especificar permisos para varios usuarios a la vez. Los gruposfacilitan la administración de los permisos de grandes conjuntos de usuarios. Por ejemplo, podría tener ungrupo cuyo nombre fuese Administradores de IAM y conceder permisos a dicho grupo para administrar losrecursos de IAM.

Los usuarios son diferentes de los roles. Un usuario se asocia exclusivamente a una persona o aplicación,pero la intención es que cualquier usuario pueda asumir un rol que necesite. Los usuarios tienencredenciales permanentes a largo plazo y los roles proporcionan credenciales temporales. Para obtenermás información, consulte Cuándo crear un usuario de IAM (en lugar de un rol) en la Guía del usuario deIAM.

Roles de IAMUn rol de IAM es una entidad de la cuenta de AWS que dispone de permisos específicos. Es similar aun usuario de IAM, pero no está asociado a una determinada persona. Puede asumir temporalmente unrol de IAM en la Consola de administración de AWS cambiando de roles. Puede asumir un rol llamandoa una operación de la AWS CLI o de la API de AWS, o utilizando una URL personalizada. Para obtenermás información acerca de los métodos para el uso de roles, consulte Uso de roles de IAM en la Guía delusuario de IAM.

Los roles de IAM con credenciales temporales son útiles en las siguientes situaciones:

• Permisos de usuario temporales de IAM: un usuario de IAM puede asumir un rol de IAM para recibirtemporalmente permisos distintos que le permitan realizar una tarea concreta.

• Acceso de usuario federado: En lugar de crear un usuario de IAM, puede utilizar identidades existentesde AWS Directory Service, del directorio de usuarios de la empresa o de un proveedor de identidadesweb. A estas identidades se les llama usuarios federados. AWS asigna una función a un usuariofederado cuando se solicita acceso a través de un proveedor de identidad. Para obtener másinformación acerca de los usuarios federados, consulte Usuarios federados y roles en la Guía delusuario de IAM.

• Acceso entre cuentas: puede utilizar un rol de IAM para permitir que alguien (una entidad principal deconfianza) de otra cuenta obtenga acceso a los recursos de su cuenta. Los roles son la forma principalde conceder acceso entre cuentas. Sin embargo, con algunos servicios de AWS, puede asociar unapolítica directamente a un recurso (en lugar de utilizar un rol como proxy). Para obtener informaciónacerca de la diferencia entre los roles y las políticas basadas en recursos para el acceso entre cuentas,consulte Cómo los roles de IAM difieren de las políticas basadas en recursos en la Guía del usuario deIAM.

• Acceso a servicios de AWS: Un rol de servicio es un rol de IAM que un servicio asume para realizaracciones en su cuenta en su nombre. Al configurar algunos de los entornos de los servicios de AWS,debe definir un rol que el servicio asumirá. Este rol de servicio debe incluir todos los permisos queson necesarios para que el servicio pueda acceder a los recursos de AWS que necesita. Los roles deservicio varían de servicio a servicio, pero muchos le permiten elegir sus permisos, siempre y cuandose cumplan los requisitos documentados para dicho servicio. Los roles de servicio ofrecen acceso solodentro de su cuenta y no se pueden utilizar para otorgar acceso a servicios en otras cuentas. Puedecrear, modificar y eliminar un rol de servicio desde IAM. Por ejemplo, puede crear un rol que permitaa Amazon Redshift tener acceso a un bucket de Amazon S3 en su nombre y, a continuación, cargar

127

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_which-to-choose

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_access-management.html#intro-access-roles

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_compare-resource-policies.html

Amazon Virtual Private Cloud Guía del usuarioAdministración de acceso mediante políticas

los datos de ese bucket en un clúster de Amazon Redshift. Para obtener más información, consulteCreación de un rol para delegar permisos a un servicio de AWS en la Guía del usuario de IAM.

• Aplicaciones que se ejecutan en Amazon EC2: Puede utilizar un rol de IAM para administrarcredenciales temporales para las aplicaciones que se ejecutan en una instancia EC2 y realizansolicitudes de la AWS CLI o la API de AWS. Es preferible hacerlo de este modo a almacenar claves deacceso en la instancia EC2. Para asignar un rol de AWS a una instancia EC2 y ponerla a disposición detodas las aplicaciones, cree un perfil de instancia asociado a la misma. Un perfil de instancia contiene elrol y permite a los programas que se ejecutan en la instancia EC2 obtener credenciales temporales. Paraobtener más información, consulte Uso de un rol de IAM para conceder permisos a aplicaciones que seejecutan en instancias Amazon EC2 en la Guía del usuario de IAM.

Para obtener información acerca del uso de los roles de IAM, consulte Cuándo crear un rol de IAM (en vezde un usuario) en la Guía del usuario de IAM.

Administración de acceso mediante políticasPara controlar el acceso en AWS, se crean políticas y se asocian a identidades de IAM o recursos deAWS. Una política es un objeto de AWS que, cuando se asocia a una identidad o un recurso, definesus permisos. AWS evalúa estas políticas cuando una entidad principal (usuario raíz, usuario de IAM orol de IAM) realiza una solicitud. Los permisos en las políticas determinan si la solicitud se permite o sedeniega. Las mayoría de las políticas se almacenan en AWS como documentos JSON. Para obtenermás información acerca de la estructura y el contenido de los documentos de política JSON, consulteInformación general de las políticas de JSON en la Guía del usuario de IAM.

Un administrador de IAM puede utilizar las políticas para especificar quién tiene acceso a los recursos deAWS y qué acciones se pueden realizar en dichos recursos. Cada entidad de IAM (usuario o rol) comienzasin permisos. En otras palabras, de forma predeterminada, los usuarios no pueden hacer nada, ni siquieracambiar sus propias contraseñas. Para conceder permiso a un usuario para hacer algo, el administradordebe asociarle una política de permisos. O bien el administrador puede añadir al usuario a un grupo quetenga los permisos necesarios. Cuando el administrador concede permisos a un grupo, todos los usuariosde ese grupo obtienen los permisos.

Las políticas de IAM definen permisos para una acción independientemente del método que se utilicepara realizar la operación. Por ejemplo, suponga que dispone de una política que permite la accióniam:GetRole. Un usuario con dicha política puede obtener información del usuario de la Consola deadministración de AWS, la AWS CLI o la API de AWS.

Políticas basadas en la identidadLas políticas basadas en identidad son documentos de políticas de permisos JSON que puede asociara una identidad, como por ejemplo un usuario, un rol o un grupo de IAM. Estas políticas controlan quéacciones puede realizar dicha identidad, en qué recursos y en qué condiciones. Para obtener másinformación acerca de cómo crear una política basada en identidad, consulte Creación de políticas de IAMen la Guía del usuario de IAM.

Las políticas basadas en identidad pueden clasificarse además como políticas insertadas o políticasadministradas. Las políticas insertadas se integran directamente en un único usuario, grupo o rol. Laspolíticas administradas son políticas independientes que puede asociar a varios usuarios, grupos y rolesde su cuenta de AWS. Las políticas administradas incluyen las políticas administradas por AWS y laspolíticas administradas por el cliente. Para obtener más información acerca de cómo elegir una políticaadministrada o una política insertada, consulte Elegir entre políticas administradas y políticas insertadas enla Guía del usuario de IAM.

Políticas basadas en recursosLas políticas basadas en recursos son documentos de política JSON que puede asociar a un recursocomo, por ejemplo, un bucket de Amazon S3. Los administradores de servicios pueden utilizar estas

128

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_which-to-choose_role

https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_which-to-choose_role

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#choosing-managed-or-inline

Amazon Virtual Private Cloud Guía del usuarioFuncionamiento de Amazon VPC con IAM

políticas para definir qué acciones puede realizar un principal especificado (miembro de cuenta, usuario orol) en dicho recurso y bajo qué condiciones. Las políticas basadas en recursos son políticas insertadas.No existen políticas basadas en recursos que sean administradas.

Listas de control de acceso (ACL)Las listas de control de acceso (ACL) son un tipo de política que controlan qué entidades principales(cuentas, miembros, usuarios o roles) tienen permisos para obtener acceso a un recurso. Las ACL sonsimilares a las políticas basadas en recursos, aunque no utilizan el formato de documento de políticaJSON. Amazon S3, AWS WAF y Amazon VPC son ejemplos de servicios que admiten ACL. Para obtenermás información sobre las ACL, consulte Información general de las Access Control Lists (ACL, Listas decontrol de acceso) en la Guía para desarrolladores de Amazon Simple Storage Service.

Otros tipos de políticasAWS admite otros tipos de políticas menos frecuentes. Estos tipos de políticas pueden establecer elmáximo de permisos que los tipos de políticas más frecuentes le otorgan.

• Límites de permisos: un límite de permisos es una característica avanzada que le permite definir lospermisos máximos que una política basada en identidad puede conceder a una entidad de IAM (usuarioo rol de IAM). Puede establecer un límite de permisos para una identidad. Los permisos resultantes sonla intersección de las políticas basadas en identidades de la entidad y los límites de sus permisos. Laspolíticas basadas en recursos que especifiquen el usuario o rol en el campo Principal no estaránrestringidas por el límite de permisos. Una denegación explícita en cualquiera de estas políticas anularáel permiso. Para obtener más información acerca de los límites de permisos, consulte see Límites depermisos para las entidades de IAM en la Guía del usuario de IAM.

• Políticas de control de servicios (SCP): las SCP son políticas de JSON que especifican los permisosmáximos para una organización o unidad organizativa (OU) en AWS Organizations. AWS Organizationses un servicio que le permite agrupar y administrar de forma centralizada varias cuentas de AWSque posee su negocio. Si habilita todas las funciones en una organización, entonces podrá aplicarpolíticas de control de servicio (SCP) a una o todas sus cuentas. Una SCP limita los permisos para lasentidades de las cuentas de miembros, incluido cada Usuario de la cuenta raíz de AWS. Para obtenermás información acerca de Organizaciones y las SCP, consulte Funcionamiento de las SCP en la Guíadel usuario de AWS Organizations.

• Políticas de sesión: las políticas de sesión son políticas avanzadas que se pasan como parámetrocuando se crea una sesión temporal mediante programación para un rol o un usuario federado. Lospermisos de la sesión resultantes son la intersección de las políticas basadas en identidades del rol y laspolíticas de la sesión. Los permisos también pueden proceder de una política basada en recursos. Unadenegación explícita en cualquiera de estas políticas anulará el permiso. Para obtener más información,consulte Políticas de sesión en la Guía del usuario de IAM.

Varios tipos de políticasCuando se aplican varios tipos de políticas a una solicitud, los permisos resultantes son más complicadosde entender. Para obtener información acerca de cómo AWS determina si permitir una solicitud cuandohay varios tipos de políticas implicados, consulte Lógica de evaluación de políticas en la Guía del usuariode IAM.

Funcionamiento de Amazon VPC con IAMAntes de utilizar IAM para administrar el acceso a Amazon VPC, debe saber qué características deIAM están disponibles para utilizarse con Amazon VPC. Para obtener una perspectiva general de cómoAmazon VPC y otros servicios de AWS funcionan con IAM, consulte Servicios de AWS que funcionan conIAM en la Guía del usuario de IAM.

129

https://docs.aws.amazon.com/AmazonS3/latest/dev/acl-overview.html


https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html

https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_about-scps.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html


Temas• Acciones (p. 130)• Recursos (p. 130)• Claves de condición (p. 131)• Políticas de Amazon VPC basadas en recursos (p. 132)• Autorización basada en etiquetas (p. 132)• Roles de IAM (p. 132)

Con las políticas basadas en identidad de IAM, puede especificar acciones permitidas o denegadas. Paraalgunas acciones, puede especificar los recursos y las condiciones en las que se permiten o denieganlas acciones. Amazon VPC admite acciones, claves de condiciones y recursos específicos. Para obtenermás información acerca de los elementos que utiliza en una política de JSON, consulte Referencia de loselementos de las políticas de JSON de IAM en la Guía del usuario de IAM.

AccionesEl elemento Action de una política basada en la identidad de IAM describe la acción o las accionesespecíficas que la política permitirá o denegará. Las acciones de la política generalmente tienen el mismonombre que la operación de API de AWS asociada. La acción se utiliza en una política para otorgarpermisos para realizar la operación asociada.

Amazon VPC comparte su espacio de nombres de la API con Amazon EC2. Las acciones de políticas deAmazon VPC incluyen el siguiente prefijo antes de la acción: ec2:. Por ejemplo, para conceder a alguienpermiso para crear una VPC con la operación de la API CreateVpc de Amazon EC2, incluya la acciónec2:CreateVpc en su política. Las instrucciones de la política deben incluir un elemento Action o unelemento NotAction.

Para especificar varias acciones en una única instrucción, sepárelas con comas como se muestra en elsiguiente ejemplo.

"Action": [ "ec2:action1", "ec2:action2"]

Puede utilizar caracteres comodín para especificar varias acciones (*). Por ejemplo, para especificar todaslas acciones que comiencen con la palabra Describe, incluya la siguiente acción.

"Action": "ec2:Describe*"

Para ver una lista de acciones de Amazon VPC, consulte Acciones, recursos y claves de condición deAmazon EC2 en la Guía del usuario de IAM.

RecursosEl elemento Resource especifica el objeto u objetos a los que se aplica la acción. Las instrucciones debencontener un elemento Resource o NotResource. Especifique un recurso con un ARN o el caráctercomodín (*) para indicar que la instrucción se aplica a todos los recursos.

Important

Actualmente, no todas las acciones de la API de Amazon EC2 admiten los permisos de nivel derecurso. Si una acción de la API de Amazon EC2 no admite este tipo de permisos de nivel de

130

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonec2.html



recurso, puede conceder permisos a los usuarios para que la utilicen, pero tendrá que usar un *(asterisco) para el elemento de recurso de la instrucción de la política. Para obtener informaciónacerca de con qué acciones puede especificar el ARN de cada recurso, consulte Accionesdefinidas por Amazon EC2.

El recurso de VPC tiene el ARN que se muestra en el ejemplo siguiente.

arn:${Partition}:ec2:${Region}:${Account}:vpc/${VpcId}

Para obtener más información acerca del formato de los ARN, consulte Nombres de recursos de Amazon(ARN).

Por ejemplo, para especificar la VPC vpc-1234567890abcdef0 en su instrucción, utilice el ARN que semuestra en el ejemplo siguiente.

"Resource": "arn:aws:ec2:us-east-1:123456789012:vpc/vpc-1234567890abcdef0"

Para especificar todas las VPC que pertenecen a una cuenta específica, utilice el carácter comodín (*).

"Resource": "arn:aws:ec2:us-east-1:123456789012:vpc/*"

Algunas acciones de Amazon VPC, como las empleadas para la creación de recursos, no se pueden llevara cabo en un recurso específico. En dichos casos, debe utilizar el carácter comodín (*).

"Resource": "*"

En muchas acciones de la API de Amazon EC2 se utilizan varios recursos. Para especificar variosrecursos en una única instrucción, separe los ARN con comas.

"Resource": [ "resource1", "resource2"]

Para ver una lista de tipos de recursos de Amazon VPC y sus ARN, consulte Recursos definidos porAmazon EC2 en la Guía del usuario de IAM.

Claves de condiciónEl elemento Condition (o bloque de Condition) permite especificar condiciones en las que entra envigor una instrucción. El elemento Condition es opcional. Puede crear expresiones condicionales queutilizan operadores de condición, tales como igual o menor que, para que coincida la condición de lapolítica con valores de la solicitud.

Si especifica varios elementos de Condition en una instrucción o varias claves en un único elemento deCondition, AWS las evalúa mediante una operación AND lógica. Si especifica varios valores para unaúnica clave de condición, AWS evalúa la condición con una operación lógica OR. Se deben cumplir todaslas condiciones antes de que se concedan los permisos de la instrucción.

También puede utilizar variables de marcador de posición al especificar condiciones. Por ejemplo, puedeconceder un permiso de usuario de IAM para acceder a un recurso solo si está etiquetado con su nombrede usuario de IAM. Para obtener más información, consulte Elementos de la política de IAM: Variables yetiquetas en la Guía del usuario de IAM.

131

https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonec2.html#amazonec2-actions-as-permissions


https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html

https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonec2.html#amazonec2-resources-for-iam-policies

https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonec2.html#amazonec2-resources-for-iam-policies

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html


Amazon VPC define su propio conjunto de claves de condición y también admite el uso de algunas clavesde condición globales. Para ver todas las claves de condición globales de AWS, consulte Claves decontexto de condición globales de AWS en la Guía del usuario de IAM.

Todas las acciones de Amazon EC2 admiten las claves de condición aws:RequestedRegion yec2:Region. Para obtener más información, consulte Ejemplo: restricción del acceso a una regiónespecífica.

Para ver una lista de claves de condición de Amazon VPC, consulte Claves de condición de Amazon EC2en la Guía del usuario de IAM. Para obtener más información acerca de las acciones y los recursos con losque puede utilizar una clave de condición, consulte Acciones definidas por Amazon EC2.

Políticas de Amazon VPC basadas en recursosLas políticas basadas en recursos son documentos de política JSON que especifican qué acciones puederealizar una entidad principal especificada en el recurso de Amazon VPC y en qué condiciones.

Para hacer posible el acceso entre cuentas, puede especificar toda una cuenta o entidades de IAM deotra cuenta como la entidad principal de la política basada en recursos. Añadir a una política basada enrecursos una entidad principal entre cuentas es solo una parte del establecimiento de una relación deconfianza. Cuando el principal y el recurso se encuentran en cuentas de AWS diferentes, también debeconceder a la entidad principal permiso para obtener acceso al recurso. Conceda permiso asociando ala entidad una política basada en identidades. Sin embargo, si la política basada en recursos concedeel acceso a una entidad principal de la misma cuenta, no es necesaria una política basada en identidadadicional. Para obtener más información, consulte Cómo los roles de IAM difieren de las políticas basadasen recursos en la Guía del usuario de IAM.

Autorización basada en etiquetasPuede adjuntar etiquetas a los recursos de Amazon VPC o transferirlas en una solicitud. Para controlar elacceso según las etiquetas, debe proporcionar información de las etiquetas en el elemento de condición deuna política mediante las claves de condición ec2:ResourceTag/key-name, aws:RequestTag/key-name o aws:TagKeys. Para obtener más información, consulte Permisos de nivel de recursos paraetiquetar en la Guía de usuario de Amazon EC2.

Para ver un ejemplo de política basada en la identidad para limitar el acceso a un recurso basado en lasetiquetas de dicho recurso, consulte Lanzamiento de instancias en una VPC específica (p. 138).

Roles de IAMUn rol de IAM es una entidad de la cuenta de AWS que dispone de permisos específicos.

Uso de credenciales temporales

Puede utilizar credenciales temporales para iniciar sesión con federación, asumir un rol de IAM o asumir unrol de acceso entre cuentas. Las credenciales de seguridad temporales se obtienen mediante una llamadaa operaciones de la API de AWS STS, como AssumeRole o GetFederationToken.

Amazon VPC admite el uso de credenciales temporales.

Roles vinculados a servicios

Los roles vinculados a servicios permiten a los servicios de AWS obtener acceso a los recursos de otrosservicios para completar una acción en su nombre. Los roles vinculados a servicios aparecen en la cuentade IAM y son propiedad del servicio. Un administrador de IAM puede ver, pero no editar, los permisos delos roles vinculados a servicios.

132

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ExamplePolicies_EC2.html#iam-example-region

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ExamplePolicies_EC2.html#iam-example-region

https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonec2.html#amazonec2-policy-keys


https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html



https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-supported-iam-actions-resources.html#supported-iam-actions-tagging

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-supported-iam-actions-resources.html#supported-iam-actions-tagging

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html

https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html

https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role

Amazon Virtual Private Cloud Guía del usuarioEjemplos de política

Las gateways de tránsito admiten roles vinculados a servicios.

Roles de servicio

Esta característica permite que un servicio asuma un rol de servicio en nombre de usted. Este rol permiteque el servicio obtenga acceso a los recursos de otros servicios para completar una acción en su nombre.Los roles de servicio aparecen en su cuenta de IAM y son propiedad de la cuenta. Esto significa que unadministrador de IAM puede cambiar los permisos de este rol. Sin embargo, hacerlo podría deteriorar lafuncionalidad del servicio.

La Amazon VPC admite roles de servicio para registros de flujo. Al crear un registro de flujo, debe elegir unrol que permita al servicio de registros de flujo acceder a CloudWatch Logs. Para obtener más información,consulte Funciones de IAM para publicar registros de flujo en CloudWatch Logs (p. 152).

Ejemplos de políticas de Amazon VPCDe forma predeterminada, los usuarios y roles de IAM no tienen permiso para crear ni modificar losrecursos de VPC. Tampoco pueden realizar tareas mediante la Consola de administración de AWS, laAWS CLI, o la API de AWS. Un administrador de IAM debe crear políticas de IAM que concedan permisosa los usuarios y a los roles para realizar operaciones de la API concretas en los recursos especificadosque necesiten. El administrador debe adjuntar esas políticas a los usuarios o grupos de IAM que necesitenesos permisos.

Para obtener más información acerca de cómo crear una política basada en identidad de IAM con estosdocumentos de políticas de JSON de ejemplo, consulte Creación de políticas en la pestaña JSON en laGuía del usuario de IAM.

Temas• Prácticas recomendadas relativas a políticas (p. 133)• Visualización de la consola de Amazon VPC (p. 134)• Permitir a los usuarios ver sus propios permisos (p. 135)• Crear una VPC con una subred pública (p. 136)• Modificar y eliminar recursos de VPC (p. 136)• Administración de grupos de seguridad (p. 137)• Lanzamiento de instancias en una subred específica (p. 138)• Lanzamiento de instancias en una VPC específica (p. 138)• Ejemplos de políticas de Amazon VPC adicionales (p. 139)

Prácticas recomendadas relativas a políticasLas políticas basadas en identidad son muy eficaces. Determinan si alguien puede crear, acceder oeliminar los recursos de Amazon VPC de su cuenta. Estas acciones pueden generar costes adicionalespara su cuenta de AWS. Siga estas directrices y recomendaciones al crear o editar políticas basadas enidentidad:

• Introducción sobre el uso de políticas administradas de AWS: para comenzar a utilizar Amazon VPCrápidamente, utilice las políticas administradas de AWS para proporcionar a los empleados los permisosnecesarios. Estas políticas ya están disponibles en su cuenta y las mantiene y actualiza AWS. Paraobtener más información, consulte Introducción sobre el uso de permisos con políticas administradas deAWS en la Guía del usuario de IAM.

• Conceder privilegios mínimos: al crear políticas personalizadas, conceda solo los permisos necesariospara llevar a cabo una tarea. Comience con un conjunto mínimo de permisos y conceda permisosadicionales según sea necesario. Por lo general, es más seguro que comenzar con permisos que son

133

https://docs.aws.amazon.com/vpc/latest/tgw/tgw-service-linked-roles.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor

https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies

https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies


demasiado tolerantes e intentar hacerlos más severos más adelante. Para obtener más información,consulte Conceder privilegios mínimos en la Guía del usuario de IAM.

• Habilitar MFA para operaciones confidenciales: para mayor seguridad, obligue a los usuarios deIAM a que utilicen la autenticación multifactor (MFA) para acceder a recursos u operaciones de APIconfidenciales. Para obtener más información, consulte Uso de Multi-Factor Authentication (MFA) enAWS en la Guía del usuario de IAM.

• Utilizar condiciones de política para mayor seguridad: en la medida en que sea práctico, defina lascondiciones en las que sus políticas basadas en identidad permitan el acceso a un recurso. Por ejemplo,puede escribir condiciones para especificar un rango de direcciones IP permitidas desde el que debeproceder una solicitud. También puede escribir condiciones para permitir solicitudes solo en un intervalode hora o fecha especificado o para solicitar el uso de SSL o MFA. Para obtener más información,consulte Elementos de la política de JSON de IAM: condición en la Guía del usuario de IAM.

Visualización de la consola de Amazon VPCPara acceder a la consola de Amazon VPC, debe tener un conjunto mínimo de permisos. Estos permisosdeben permitirle mostrar y consultar los detalles sobre los recursos de Amazon VPC de su cuenta de AWS.Si crea una política basada en identidad que sea más restrictiva que el mínimo de permisos necesarios,la consola no funcionará del modo esperado para las entidades (usuarios o roles de IAM) que tengan esapolítica.

La siguiente política concede permiso de usuario para enumerar los recursos de la consola de VPC, perono para crearlos, actualizarlos ni eliminarlos.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeAccountAttributes", "ec2:DescribeAddresses", "ec2:DescribeClassicLinkInstances", "ec2:DescribeClientVpnEndpoints", "ec2:DescribeCustomerGateways", "ec2:DescribeDhcpOptions", "ec2:DescribeEgressOnlyInternetGateways", "ec2:DescribeFlowLogs", "ec2:DescribeInternetGateways", "ec2:DescribeMovingAddresses", "ec2:DescribeNatGateways", "ec2:DescribeNetworkAcls", "ec2:DescribeNetworkInterfaceAttribute", "ec2:DescribeNetworkInterfacePermissions", "ec2:DescribeNetworkInterfaces", "ec2:DescribePrefixLists", "ec2:DescribeRouteTables", "ec2:DescribeSecurityGroupReferences", "ec2:DescribeSecurityGroups", "ec2:DescribeStaleSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeTags", "ec2:DescribeTrafficMirrorFilters", "ec2:DescribeTrafficMirrorSessions", "ec2:DescribeTrafficMirrorTargets", "ec2:DescribeTransitGateways", "ec2:DescribeTransitGatewayVpcAttachments", "ec2:DescribeTransitGatewayRouteTables", "ec2:DescribeVpcAttribute", "ec2:DescribeVpcClassicLink",

134

https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege



https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html


"ec2:DescribeVpcClassicLinkDnsSupport", "ec2:DescribeVpcEndpoints", "ec2:DescribeVpcEndpointConnectionNotifications", "ec2:DescribeVpcEndpointConnections", "ec2:DescribeVpcEndpointServiceConfigurations", "ec2:DescribeVpcEndpointServicePermissions", "ec2:DescribeVpcEndpointServices", "ec2:DescribeVpcPeeringConnections", "ec2:DescribeVpcs", "ec2:DescribeVpnConnections", "ec2:DescribeVpnGateways" ], "Resource": "*" } ]}

No es necesario que conceda permisos mínimos para la consola a los usuarios que solo realizan llamadasa la AWS CLI o a la API de AWS. En su lugar, para dichos usuarios, permita únicamente el acceso a lasacciones que coincidan con la operación de API que tienen que realizar.

Permitir a los usuarios ver sus propios permisosEn este ejemplo, se muestra cómo podría crear una política que permita a los usuarios de IAM ver laspolíticas administradas e insertadas que se asocian a la identidad de sus usuarios. Esta política incluyepermisos para llevar a cabo esta acción en la consola o mediante programación con la AWS CLI o la APIde AWS.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": [ "arn:aws:iam::*:user/${aws:username}" ] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }

135


Crear una VPC con una subred públicaEl siguiente ejemplo permite a los usuarios crear VPC, subredes, tablas de ruteo y gateways de Internet.Los usuarios también pueden adjuntar una gateway de Internet a una VPC y crear rutas en las tablas deruteo. La acción ec2:ModifyVpcAttribute permite a los usuarios habilitar los nombres de host de DNSpara la VPC, para que cada instancia lanzada en una VPC reciba un nombre de host de DNS.

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ec2:CreateVpc", "ec2:CreateSubnet", "ec2:DescribeAvailabilityZones", "ec2:CreateRouteTable", "ec2:CreateRoute", "ec2:CreateInternetGateway", "ec2:AttachInternetGateway", "ec2:AssociateRouteTable", "ec2:ModifyVpcAttribute" ], "Resource": "*" } ]}

La política anterior también permite a los usuarios crear una VPC mediante la primera opción deconfiguración del asistente de VPC de la consola de Amazon VPC. Para ver el asistente de VPC, losusuarios también deben tener permiso para utilizar ec2:DescribeVpcEndpointServices. Estogarantiza que la sección de puntos de enlace de la VPC del asistente de VPC se cargue correctamente.

Modificar y eliminar recursos de VPCEs posible que desee controlar los recursos de VPC que los usuarios pueden modificar o eliminar. Porejemplo, la siguiente política permite a los usuarios utilizar y eliminar tablas de ruteo con la etiquetaPurpose=Test. La política también especifica que los usuarios solo pueden eliminar gateways de Internetcon la etiqueta Purpose=Test. Los usuarios no pueden utilizar tablas de ruteo ni gateways de Internetque no tengan esta etiqueta.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:DeleteInternetGateway", "Resource": "arn:aws:ec2:*:*:internet-gateway/*", "Condition": { "StringEquals": { "ec2:ResourceTag/Purpose": "Test" } } }, { "Effect": "Allow", "Action": [ "ec2:DeleteRouteTable", "ec2:CreateRoute", "ec2:ReplaceRoute", "ec2:DeleteRoute" ], "Resource": "arn:aws:ec2:*:*:route-table/*", "Condition": { "StringEquals": { "ec2:ResourceTag/Purpose": "Test" } }

136


} ]}

Administración de grupos de seguridadLa siguiente política concede a los usuarios permiso para crear y eliminar reglas entrantes y salientes decualquier grupo de seguridad de una VPC específica. Esto se consigue al aplicar en la política una clavede condición (ec2:Vpc) para el recurso del grupo de seguridad de las acciones Authorize y Revoke.

La segunda instrucción concede a los usuarios permisos para describir todos los grupos de seguridad.Esto permite a los usuarios ver las reglas de los grupos de seguridad para modificarlas.

{"Version": "2012-10-17", "Statement":[{ "Effect":"Allow", "Action": [ "ec2:AuthorizeSecurityGroupIngress", "ec2:AuthorizeSecurityGroupEgress", "ec2:RevokeSecurityGroupIngress", "ec2:RevokeSecurityGroupEgress"], "Resource": "arn:aws:ec2:region:account:security-group/*", "Condition": { "StringEquals": { "ec2:Vpc": "arn:aws:ec2:region:account:vpc/vpc-11223344556677889" } } }, { "Effect": "Allow", "Action": "ec2:DescribeSecurityGroups", "Resource": "*" } ]}

Para ver los grupos de seguridad en la página Security Groups (Grupos de seguridad) de la consola deAmazon VPC, los usuarios deben tener permiso para utilizar la acción ec2:DescribeSecurityGroups.Para poder utilizar la página Create security group (Crear grupo de seguridad), los usuarios deben tenerpermiso para utilizar las acciones ec2:DescribeVpcs y ec2:CreateSecurityGroup.

La siguiente política permite a los usuarios ver y crear grupos de seguridad. También lespermite añadir y eliminar reglas de entrada y salida en cualquier grupo de seguridad asociado avpc-11223344556677889.

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ec2:DescribeSecurityGroups", "ec2:DescribeVpcs", "ec2:CreateSecurityGroup" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:DeleteSecurityGroup", "ec2:AuthorizeSecurityGroupIngress", "ec2:AuthorizeSecurityGroupEgress", "ec2:RevokeSecurityGroupIngress", "ec2:RevokeSecurityGroupEgress" ],

137


"Resource": "arn:aws:ec2:*:*:security-group/*", "Condition":{ "ArnEquals": { "ec2:Vpc": "arn:aws:ec2:*:*:vpc/vpc-11223344556677889" } } } ]}

Para permitir que los usuarios cambien el grupo de seguridad asociado a una instancia, añadala acción ec2:ModifyInstanceAttribute a la política. Como alternativa, para permitirque los usuarios cambien los grupos de seguridad de una interfaz de red, añada la acciónec2:ModifyNetworkInterfaceAttribute a la política.

Lanzamiento de instancias en una subred específicaLa siguiente política concede a los usuarios permiso para lanzar instancias en una subred específica, asícomo para utilizar un grupo de seguridad determinado en la solicitud. Esto se consigue al especificar elARN de subnet-11223344556677889 y el ARN de sg-11223344551122334 en la política. De estemodo, si los usuarios intentan lanzar una instancia en una subred distinta o si tratan de utilizar otro grupode seguridad, se producirá un error en la solicitud (a no ser que otra política o instrucción conceda a losusuarios permiso para realizar tales acciones).

La política también concede permiso para utilizar el recurso de interfaz de red. Al realizar el lanzamientoen una subred, la solicitud RunInstances creará una interfaz de red principal de manera predeterminada,por lo que el usuario necesitará permiso para crear este recurso cuando lance la instancia.

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "ec2:RunInstances", "Resource": [ "arn:aws:ec2:region::image/ami-*", "arn:aws:ec2:region:account:instance/*", "arn:aws:ec2:region:account:subnet/subnet-11223344556677889", "arn:aws:ec2:region:account:network-interface/*", "arn:aws:ec2:region:account:volume/*", "arn:aws:ec2:region:account:key-pair/*", "arn:aws:ec2:region:account:security-group/sg-11223344551122334" ] } ]}

Lanzamiento de instancias en una VPC específicaLa siguiente política concede a los usuarios permiso para lanzar instancias en cualquier subred de unaVPC específica. Esto se consigue al aplicar en la política una clave de condición (ec2:Vpc) para elrecurso de la subred.

La política también concede a los usuarios permiso para lanzar instancias utilizando solo AMI que tenganla etiqueta "department=dev".

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "ec2:RunInstances",

138

Amazon Virtual Private Cloud Guía del usuarioSolución de problemas

"Resource": "arn:aws:ec2:region:account:subnet/*", "Condition": { "StringEquals": { "ec2:Vpc": "arn:aws:ec2:region:account:vpc/vpc-11223344556677889" } } }, { "Effect": "Allow", "Action": "ec2:RunInstances", "Resource": "arn:aws:ec2:region::image/ami-*", "Condition": { "StringEquals": { "ec2:ResourceTag/department": "dev" } } }, { "Effect": "Allow", "Action": "ec2:RunInstances", "Resource": [ "arn:aws:ec2:region:account:instance/*", "arn:aws:ec2:region:account:volume/*", "arn:aws:ec2:region:account:network-interface/*", "arn:aws:ec2:region:account:key-pair/*", "arn:aws:ec2:region:account:security-group/*" ] } ]}

Ejemplos de políticas de Amazon VPC adicionalesPuede encontrar ejemplos de políticas de IAM adicionales relacionadas con la Amazon VPC en lossiguientes temas:

• ClassicLink• Replicación de tráfico• Gateways de tránsito• Puntos de conexión de la VPC (p. 287)• Políticas de punto de enlace de la VPC (p. 317)• Interconexión de VPC

Solución de problemas de identidad y acceso enAmazon VPCUtilice la siguiente información para diagnosticar y solucionar los problemas comunes que puedan surgircuando se trabaja con Amazon VPC e IAM.

Temas• No tengo autorización para realizar una acción en Amazon VPC (p. 140)• No tengo autorización para realizar la operación iam:PassRole (p. 140)• Quiero ver mis claves de acceso (p. 140)• Soy administrador y deseo permitir que otros obtengan acceso a Amazon VPC (p. 141)• Quiero permitir a personas externas a mi cuenta de AWS el acceso a mis recursos de Amazon

VPC (p. 141)

139

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/vpc-classiclink.html#iam-example-classiclink

https://docs.aws.amazon.com/vpc/latest/mirroring/traffic-mirroring-security.html

https://docs.aws.amazon.com/vpc/latest/tgw/transit-gateway-authentication-access-control.html#tgw-example-iam-policies

https://docs.aws.amazon.com/vpc/latest/peering/security-iam.html

Amazon Virtual Private Cloud Guía del usuarioSolución de problemas

No tengo autorización para realizar una acción en Amazon VPCSi la Consola de administración de AWS le indica que no está autorizado para llevar a cabo una acción,debe ponerse en contacto con su administrador para recibir ayuda. Su administrador es la persona que lefacilitó su nombre de usuario y contraseña.

En el siguiente ejemplo, el error se produce cuando el usuario mateojackson de IAM intenta utilizar laconsola para ver detalles sobre una subred, pero no tiene permisos ec2:DescribeSubnets.

User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: ec2:DescribeSubnets on resource: subnet-id

En este caso, Mateo pide a su administrador que actualice sus políticas de forma que pueda obteneracceso a la subred.

No tengo autorización para realizar la operación iam:PassRoleSi recibe un error que indica que no está autorizado para llevar a cabo la acción iam:PassRole, debeponerse en contacto con su administrador para recibir ayuda. Su administrador es la persona que le facilitósu nombre de usuario y contraseña. Pida a la persona que actualice sus políticas de forma que puedatransferir un rol a Amazon VPC.

Algunos servicios de AWS le permiten transferir un rol existente a dicho servicio en lugar de crear un nuevorol de servicio o uno vinculado al servicio. Para ello, debe tener permisos para transferir el rol al servicio.

En el siguiente ejemplo, el error se produce cuando un usuario de IAM denominado marymajor intentautilizar la consola para realizar una acción en Amazon VPC. Sin embargo, la acción requiere que el serviciocuente con permisos otorgados por un rol de servicio. Mary no tiene permisos para transferir el rol alservicio.

User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole

En este caso, Mary pide a su administrador que actualice sus políticas para que pueda realizar la accióniam:PassRole.

Quiero ver mis claves de accesoDespués de crear sus claves de acceso de usuario de IAM, puede ver su ID de clave de acceso encualquier momento. Sin embargo, no puede volver a ver su clave de acceso secreta. Si pierde la clave deacceso secreta, debe crear un nuevo par de claves de acceso.

Las claves de acceso se componen de dos partes: un ID de clave de acceso (por ejemplo,AKIAIOSFODNN7EXAMPLE) y una clave de acceso secreta (por ejemplo, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY). El ID de clave de acceso y la clave de acceso secreta se utilizan juntos, como unnombre de usuario y contraseña, para autenticar sus solicitudes. Administre sus claves de acceso con elmismo nivel de seguridad que para el nombre de usuario y la contraseña.

Important

No proporcione las claves de acceso a terceras personas, ni siquiera para que le ayuden a buscarel ID de usuario canónico. Si lo hace, podría conceder a otra persona acceso permanente a sucuenta.

Cuando cree un par de claves de acceso, se le pide que guarde el ID de clave de acceso y la clave deacceso secreta en un lugar seguro. La clave de acceso secreta solo está disponible en el momento de sucreación. Si pierde la clave de acceso secreta, debe añadir nuevas claves de acceso a su usuario de IAM.Puede tener un máximo de dos claves de acceso. Si ya cuenta con dos, debe eliminar un par de clavesantes de crear uno nuevo. Para ver las instrucciones, consulte Administración de las claves de acceso enla Guía del usuario de IAM.

140

https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html#FindingCanonicalId

https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html#FindingCanonicalId

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_CreateAccessKey

Amazon Virtual Private Cloud Guía del usuarioRegistro y monitorización

Soy administrador y deseo permitir que otros obtengan acceso aAmazon VPCPara permitir que otros obtengan acceso a Amazon VPC, debe crear una entidad de IAM (usuario o rol)para la persona o aplicación que necesita acceso. Esta persona utilizará las credenciales de la entidadpara obtener acceso a AWS. A continuación, debe asociar una política a la entidad que le conceda lospermisos correctos en Amazon VPC.

Para comenzar de inmediato, consulte Creación del primer grupo y usuario delegado de IAM en la Guía delusuario de IAM.

Quiero permitir a personas externas a mi cuenta de AWS elacceso a mis recursos de Amazon VPCPuede crear un rol que los usuarios de otras cuentas o las personas externas a la organización puedanutilizar para acceder a sus recursos. Puede especificar una persona de confianza para que asuma el rol.En el caso de los servicios que admitan las políticas basadas en recursos o las listas de control de acceso(ACL), puede utilizar dichas políticas para conceder a las personas acceso a sus recursos.

Para obtener más información, consulte lo siguiente:

• Para obtener información acerca de si Amazon VPC admite estas características, consulteFuncionamiento de Amazon VPC con IAM (p. 129).

• Para aprender cómo proporcionar acceso a sus recursos en cuentas de AWS de su propiedad, consulteProporcionar acceso a un usuario de IAM a otra cuenta de AWS de la que es propietario en la Guía delusuario de IAM.

• Para obtener información acerca de cómo ofrecer acceso a sus recursos a cuentas de AWS de terceros,consulte Proporcionar acceso a las cuentas de AWS propiedad de terceros en la Guía del usuario deIAM.

• Para obtener información acerca de cómo ofrecer acceso a la identidad federada, consulte Proporcionaracceso a usuarios autenticados externamente (identidad federada) en la Guía del usuario de IAM.

• Para obtener información acerca de la diferencia entre utilizar los roles y las políticas basadas enrecursos para el acceso entre cuentas, consulte Cómo los roles de IAM difieren de las políticas basadasen recursos en la Guía del usuario de IAM.

Registro y monitorización para Amazon VPCPuede utilizar las siguientes herramientas de monitorización automatizada para vigilar VPC e informarcuando haya algún problema:

• Registros de flujo: los registros de flujo capturan información acerca del tráfico IP entrante y salientede las interfaces de red en su VPC. Puede crear un registro de flujo para una VPC, una subred o unainterfaz de red individual. Los datos del registro de flujo se publican en CloudWatch Logs o AmazonS3, y pueden ayudarle a diagnosticar reglas de ACL de red y de grupos de seguridad excesivamenterestrictivas o excesivamente permisivas. Para obtener más información, consulte Logs de flujo deVPC (p. 141).

Logs de flujo de VPCLos logs de flujo de VPC son una característica que permite capturar información acerca del tráfico IPque entra y sale de las interfaces de red en la VPC. Los datos del registro de flujo se pueden publicar enAmazon CloudWatch Logs y Amazon S3. Una vez creado un log de flujo, puede recuperarlo y ver susdatos en el destino elegido.

141

https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-delegated-user.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html



Amazon Virtual Private Cloud Guía del usuarioLogs de flujo de VPC

Los logs de flujo pueden ayudarle en una serie de tareas, tales como:

• Diagnosticar reglas de grupo de seguridad muy restrictivas• Monitorizar el tráfico que llega a su instancia• Determinar la dirección del tráfico hacia y desde las interfaces de red

Para ver ejemplos, consulte Ejemplos de registros de logs de flujo (p. 146).

Los datos de registro de flujo se recopilan fuera de la ruta del tráfico de red y, por lo tanto, no afectan alrendimiento ni a la latencia de la red. Puede crear o eliminar registros de flujo sin ningún riesgo de impactoen el rendimiento de la red.

Se aplican cargos de CloudWatch Logs cuando se usan logs de flujo, tanto si se envían a CloudWatchLogs como a Amazon S3. Para obtener más información, consulte los precios de Amazon CloudWatch.

Contenido• Conceptos básicos de los logs de flujo (p. 142)• Registros de logs de flujo (p. 143)• Ejemplos de registros de logs de flujo (p. 146)• Limitaciones de los logs de flujo (p. 150)• Publicación de logs de flujo en CloudWatch Logs (p. 151)• Publicación de logs de flujo en Amazon S3 (p. 155)• Uso de logs de flujo (p. 160)• Solución de problemas (p. 163)

Conceptos básicos de los logs de flujoPuede crear un log de flujo para una VPC, una subred o una interfaz de red. Si crea un log de flujo parauna subred o VPC, se supervisará cada interfaz de red de la VPC o la subred.

Los datos de logs de flujo de una interfaz de red monitoreada se registran como registros de logs de flujo,que son eventos de registro que constan de campos que describen el flujo de tráfico. Para obtener másinformación, consulte Registros de logs de flujo (p. 143).

Para crear un log de flujo, especifique:

• El recurso para el que desea crear el log de flujo• El tipo de tráfico que capturar (tráfico aceptado, tráfico rechazado o todo el tráfico)• Los destinos a los que desea publicar los datos de log de flujo

Tras haber creado un log de flujo, pueden transcurrir varios minutos hasta que se empiecen a recopilardatos y a publicarse en los destinos elegidos. Los logs de flujo no capturan los flujos de logs en tiempo realde las interfaces de red. Para obtener más información, consulte Creación de un log de flujo (p. 161).

Si lanza más instancias en su subred después de haber creado un log de flujo para su subred o VPC, secreará un nuevo flujo de registros (para CloudWatch Logs) o un objeto de archivo de registro (para AmazonS3) para cada interfaz de red. Esto ocurre en cuanto se registre tráfico de red para esa interfaz de red.

Puede crear registros de flujo para interfaces de red creadas por otros servicios de AWS, tales como:

• Elastic Load Balancing• Amazon RDS• Amazon ElastiCache

142

https://aws.amazon.com/cloudwatch/pricing


• Amazon Redshift• Amazon WorkSpaces• Gateways NAT• Gateways de tránsito

Con independencia del tipo de interfaz de red, debe utilizar la consola de Amazon EC2 o la API de AmazonEC2 para crear un log de flujo para una interfaz de red.

Si ya no necesita un log de flujo, puede eliminarlo. Al eliminar un registro de flujo, se deshabilita elservicio del registro de flujo para el recurso, y no se crearán nuevos registros de flujo ni se publicarán enCloudWatch Logs o Amazon S3. La eliminación del log de flujo no eliminará los logs de flujo existentesni los flujos de logs (para CloudWatch Logs) o los objetos de archivos de log (para Amazon S3) de unainterfaz de red. Para eliminar un flujo de logs existente, utilice la consola de CloudWatch Logs. Paraeliminar objetos de archivos log, utilice la consola de Amazon S3. Tras haber eliminad un log de flujo,puede que se necesiten varios minutos para que se dejen de recopilar los datos. Para obtener másinformación, consulte Eliminación de un log de flujo (p. 162).

Registros de logs de flujoUn registro de log de flujo representa un flujo de red en su VPC. De forma predeterminada, cada registrocaptura un flujo de tráfico de protocolo de Internet (IP) de red que tiene lugar en una ventana de captura.La ventana de captura es un período de hasta 10 minutos durante el que se capturan todos los flujos dedatos. El tiempo total que se tarda en capturar, procesar y publicar los datos es el período de agregación.El período de agregación puede tardar hasta 15 minutos.

De forma predeterminada, el registro incluye valores para los distintos componentes del flujo de IP, incluidoel origen, el destino y el protocolo.

Al crear un log de flujo, puede utilizar el formato predeterminado para el registro del log de flujo o puedeespecificar un formato personalizado (solo Amazon S3).

Formato predeterminadoDe forma predeterminada, el formato de línea de log de un registro de logs de flujo es una cadenaseparada por espacios que tiene el siguiente conjunto de campos en el orden siguiente.

<version> <account-id> <interface-id> <srcaddr> <dstaddr> <srcport> <dstport> <protocol> <packets> <bytes> <start> <end> <action> <log-status>

Para obtener más información acerca de los campos, consulte Campos disponibles (p. 144). El formatopredeterminado solo captura un subconjunto de todos los campos disponibles para un registro de logsde flujo. Para capturar todos los campos disponibles o un subconjunto de campos distinto, especifique unformato personalizado. No puede personalizar o cambiar el formato predeterminado.

El formato predeterminado se admite para logs de flujo que publican en CloudWatch Logs o Amazon S3.

Formato personalizadoOpcionalmente puede especificar un formato personalizado para el registro de logs de flujo. Un formatopersonalizado es donde se especifica qué campos se devolverán en el log de flujo y el orden en quedeben aparecer. Esto le permite crear logs de flujo que sean específicos para sus necesidades y omitir loscampos que no resulten relevantes en su caso. Un formato personalizado también puede ayudar a reducirla necesidad de procesos separados para extraer información específica de logs de flujo publicados.Puede especificar cualquier número de campos de log de flujo disponibles, pero debe especificar al menosuno.

El formato predeterminado se admite para logs de flujo que solo publican en Amazon S3.

143


Campos disponiblesLa tabla siguiente describe todos los campos disponibles para un registro de logs de flujo.

Important

Un log de flujo que publica en CloudWatch Logs solo admite el formato predeterminado.

Campo Descripción Destino de log deflujo

version La versión de los logs de flujo de VPC. Si utiliza el formatopredeterminado, la versión es 2. Si especifica un formatopersonalizado, la versión es 3.

CloudWatch Logso bien AmazonS3

account-id El ID de cuenta de AWS el log de flujo. CloudWatch Logso bien AmazonS3

interface-id El ID de la interfaz de red para la que se registra el tráfico. CloudWatch Logso bien AmazonS3

srcaddr La dirección de origen para tráfico entrante o la dirección IPv4o IPv6 de la interfaz de red para tráfico saliente en la interfazde red. La dirección IPv4 de la interfaz de red es siempre sudirección IPv4 privada. Véase también pkt-srcaddr.


dstaddr La dirección de destino para tráfico saliente o la dirección IPv4o IPv6 de la interfaz de red para tráfico entrante en la interfazde red. La dirección IPv4 de la interfaz de red es siempre sudirección IPv4 privada. Véase también pkt-dstaddr.


srcport El puerto de origen del tráfico. CloudWatch Logso bien AmazonS3

dstport El puerto de destino del tráfico. CloudWatch Logso bien AmazonS3

protocol El número de protocolo IANA del tráfico. Para obtener másinformación, consulte Assigned Internet Protocol Numbers.


packets El número de paquetes transferidos durante el flujo. CloudWatch Logso bien AmazonS3

bytes El número de bytes transferidos durante el flujo. CloudWatch Logso bien AmazonS3

start La hora, en segundos Unix, de inicio del flujo. CloudWatch Logso bien AmazonS3

end La hora, en segundos Unix, de finalización del flujo. CloudWatch Logso bien AmazonS3

144

http://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml



action La acción asociada al tráfico:

• ACCEPT: los grupos de seguridad o las ACL de red hanpermitido el tráfico registrado.

• REJECT: los grupos de seguridad o las ACL de red no hanpermitido el tráfico registrado.


log-status El estado de registro del log de flujo:

• OK: los datos se registran normalmente en los destinoselegidos.

• NODATA: no ha habido tráfico de red entrante ni saliente de lainterfaz de red durante la ventana de captura.

• SKIPDATA: algunos registros de logs de flujo se han omitidodurante la ventana de captura. Esto puede deberse a unarestricción de capacidad interna, o a un error interno.


vpc-id El ID de la VPC que contiene la interfaz de red para la que seregistra el tráfico.

Solo Amazon S3

subnet-id El ID de la subred que contiene la interfaz de red para la que seregistra el tráfico.

Solo Amazon S3

instance-id El ID de la instancia que está asociado a la interfaz de red parala que se registra el tráfico, si la instancia es de su propiedad.Devuelve un símbolo «-» para una interfaz de red administradapor el solicitante; por ejemplo, la interfaz de red para unagateway de NAT.

Solo Amazon S3

tcp-flags El valor de máscara de bits de las siguientes marcas TCP:

• SYN: 2• SYN-ACK: 18• FIN: 1• RST: 4

ACK se notifica solo cuando va acompañado de SYN.

Se aplica OR en las marcas TCP durante la ventana de captura.Para conexiones breves, las marcas se pueden establecer enla misma línea en el registro de logs de flujo, por ejemplo 19para SYN-ACK y FIN y 3 para SYN y FIN. Para ver un ejemplo,consulte Secuencia de marca TCP (p. 148).

Solo Amazon S3

type El tipo de tráfico: IPv4, IPv6 o EFA. Para obtener másinformación sobre Elastic Fabric Adapter (EFA), consulte ElasticFabric Adapter.

Solo Amazon S3

145

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/requester-managed-eni.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/requester-managed-eni.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/efa.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/efa.html



pkt-srcaddr La dirección IP de origen (original) del nivel de paquete deltráfico. Utilice este campo con el campo srcaddr para distinguirentre la dirección IP de una capa intermedia a través de la quefluye el tráfico y la dirección IP de origen original del tráfico. Porejemplo, cuando el tráfico fluye a través de una interfaz de redpara una gateway NAT (p. 149), o si la dirección IP de un poden Amazon EKS es distinta de la dirección IP de la interfaz dered del nodo de instancia en el que se ejecuta el pod.

Solo Amazon S3

pkt-dstaddr La dirección IP de destino (original) del nivel de paquete para eltráfico. Utilice este campo con el campo dstaddr para distinguirentre la dirección IP de una capa intermedia a través de la quefluye el tráfico y la dirección IP de destino final del tráfico. Porejemplo, cuando el tráfico fluye a través de una interfaz de redpara una gateway NAT (p. 149), o si la dirección IP de un poden Amazon EKS es distinta de la dirección IP de la interfaz dered del nodo de instancia en el que se ejecuta el pod.

Solo Amazon S3

Note

Si un campo no es aplicable para un registro específico, el registro mostrará un símbolo '-' paraesa entrada.

Ejemplos de registros de logs de flujoA continuación se muestran ejemplos de registros de logs de flujo que capturan flujos de tráficoespecíficos.

Para obtener información sobre el formato de registro de flujo, consulte Registros de logs de flujo.

Contenido• Tráfico aceptado y rechazado (p. 146)• Registros sin datos y omitidos (p. 147)• Reglas de grupos de seguridad y ACL de red (p. 147)• Tráfico IPv6 (p. 147)• Secuencia de marca TCP (p. 148)• Tráfico a través de una gateway NAT (p. 149)• Tráfico a través de una gateway de tránsito (p. 150)

Tráfico aceptado y rechazado

A continuación se muestran ejemplos de registros de logs de flujo predeterminados que se publican enCloudWatch Logs o Amazon S3.

En este ejemplo, se ha permitido el tráfico SSH (puerto de destino 22, protocolo TCP) a la interfaz de redeni-1235b8ca123456789 en la cuenta 123456789010.

2 123456789010 eni-1235b8ca123456789 172.31.16.139 172.31.16.21 20641 22 6 20 4249 1418530010 1418530070 ACCEPT OK

146

https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html#flow-log-records


En este ejemplo, se ha rechazado el tráfico RDP (puerto de destino 3389, protocolo TCP) a la interfaz dered eni-1235b8ca123456789 en la cuenta 123456789010.

2 123456789010 eni-1235b8ca123456789 172.31.9.69 172.31.9.12 49761 3389 6 20 4249 1418530010 1418530070 REJECT OK

Registros sin datos y omitidosA continuación se muestran ejemplos de registros de logs de flujo predeterminados que se publican enCloudWatch Logs o Amazon S3.

En este ejemplo, no se han registrado datos durante la ventana de captura.

2 123456789010 eni-1235b8ca123456789 - - - - - - - 1431280876 1431280934 - NODATA

En este ejemplo, se han omitido los registros durante la ventana de captura.

2 123456789010 eni-11111111aaaaaaaaa - - - - - - - 1431280876 1431280934 - SKIPDATA

Reglas de grupos de seguridad y ACL de redSi va a utilizar logs de flujo para diagnosticar reglas excesivamente restrictivas o permisivas de grupos deseguridad o ACL de red, tenga en cuenta el estado de estos recursos. Los grupos de seguridad son conestado: esto significa que las respuestas al tráfico permitido también están permitidas, incluso si las reglasde su grupo de seguridad no lo permiten. Por otro lado, las ACL de red son sin estado, y por lo tanto lasrespuestas al tráfico permitido están sujetas a las reglas de la ACL de red.

Por ejemplo, supongamos que utiliza el comando ping desde su equipo doméstico (la dirección IP es203.0.113.12) hasta su instancia (la dirección IP privada de la interfaz de red es 172.31.16.139). Lasreglas entrantes del grupo de seguridad permiten el tráfico ICMP, pero las reglas salientes no permiten eltráfico ICMP. Dado que los grupos de seguridad son grupos con estado, se permite el ping de respuestade su instancia. Su ACL de red permite el tráfico ICMP entrante, pero no permite el tráfico ICMP saliente.Puesto que las ACL de red son sin estado, se descarta el ping de respuesta y no llegará a su equipodoméstico. En un log de flujo predeterminado, esto se muestra como dos registros de logs de flujo:

• Un registro de ACCEPT para el ping de origen que han permitido tanto la ACL de red como el grupo deseguridad, y que por tanto puede llegar a su instancia.

• Un registro de REJECT para el ping de respuesta que ha denegado la ACL de red.

2 123456789010 eni-1235b8ca123456789 203.0.113.12 172.31.16.139 0 0 1 4 336 1432917027 1432917142 ACCEPT OK

2 123456789010 eni-1235b8ca123456789 172.31.16.139 203.0.113.12 0 0 1 4 336 1432917094 1432917142 REJECT OK

Si su ACL de red permite el tráfico ICMP saliente, el log de flujo muestra dos registros ACCEPT (uno parael ping de origen y otro para el ping de respuesta). Si su grupo de seguridad deniega el tráfico ICMPentrante, el log de flujo mostrará un único recurso REJECT, ya que el tráfico no tiene permiso para llegar asu instancia.

Tráfico IPv6A continuación se muestra un ejemplo de un registro de logs de flujo predeterminado que se hapublicado en CloudWatch Logs o Amazon S3. En el ejemplo, se ha permitido el tráfico SSH (puerto

147


22) desde la dirección IPv6 2001:db8:1234:a100:8d6e:3477:df66:f105 a la interfaz de redeni-1235b8ca123456789 en la cuenta 123456789010.

2 123456789010 eni-1235b8ca123456789 2001:db8:1234:a100:8d6e:3477:df66:f105 2001:db8:1234:a102:3304:8879:34cf:4071 34892 22 6 54 8855 1477913708 1477913820 ACCEPT OK

Secuencia de marca TCPA continuación se muestra un ejemplo de un log de flujo personalizado que captura los campos siguientesen el orden que se indica seguidamente.

version vpc-id subnet-id instance-id interface-id account-id type srcaddr dstaddr srcport dstport pkt-srcaddr pkt-dstaddr protocol bytes packets start end action tcp-flags log-status

Note

Los logs de flujo personalizados solo se pueden publicar en Amazon S3.

El campo tcp-flags puede ayudarle a identificar la dirección del tráfico, por ejemplo, el servidor queinició la conexión. En los registros siguientes (empezando a las 7:47:55 PM y terminando a las 7:48:53PM), un cliente inició dos conexiones a un servidor que se ejecuta en el puerto 5001. El servidor recibiódos marcas SYN (2) del cliente desde puertos de origen distintos en el cliente (43416 y 43418). Para cadaSYN, se envió una marca SYN-ACK desde el servidor al cliente (18) en el puerto correspondiente.

3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 52.213.180.42 10.0.0.62 43416 5001 52.213.180.42 10.0.0.62 6 568 8 1566848875 1566848933 ACCEPT 2 OK3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 10.0.0.62 52.213.180.42 5001 43416 10.0.0.62 52.213.180.42 6 376 7 1566848875 1566848933 ACCEPT 18 OK3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 52.213.180.42 10.0.0.62 43418 5001 52.213.180.42 10.0.0.62 6 100701 70 1566848875 1566848933 ACCEPT 2 OK3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 10.0.0.62 52.213.180.42 5001 43418 10.0.0.62 52.213.180.42 6 632 12 1566848875 1566848933 ACCEPT 18 OK

En la segunda ventana de captura, una de las conexiones que se estableció durante el flujo anteriorahora está cerrada. El cliente envió una marca FIN (1) al servidor para la conexión en el puerto 43418. Elservidor envió una marca FIN al cliente en el puerto 43418.

3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 10.0.0.62 52.213.180.42 5001 43418 10.0.0.62 52.213.180.42 6 63388 1219 1566848933 1566849113 ACCEPT 1 OK3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 52.213.180.42 10.0.0.62 43418 5001 52.213.180.42 10.0.0.62 6 23294588 15774 1566848933 1566849113 ACCEPT 1 OK

Para conexiones breves (por ejemplo, unos cuantos segundos) que se abren y cierran en una únicaventana de captura, las marcas podrían estar definidas en la misma línea en el registro de logs de flujopara el flujo de tráfico en la misma dirección. En el ejemplo siguiente, la conexión se establece y terminaen la misma ventana de captura. En la primera línea, el valor de la marca TCP es 3, que indica que seenvió SYN y un mensaje FIN desde el cliente al servidor. En la segunda línea, el valor de la marca TCP es19, que indica que se envió SYN-ACK y un mensaje FIN desde el servidor al cliente

3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 52.213.180.42 10.0.0.62 43638 5001 52.213.180.42 10.0.0.62 6 1260 17 1566933133 1566933193 ACCEPT 3 OK

148


3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 10.0.0.62 52.213.180.42 5001 43638 10.0.0.62 52.213.180.42 6 967 14 1566933133 1566933193 ACCEPT 19 OK

Tráfico a través de una gateway NAT

En este ejemplo, una instancia en una subred privada accede a Internet a través de una gateway NAT queestá en una subred pública.

El siguiente log de flujo personalizado para la interfaz de red de gateway de NAT captura los campossiguientes en el orden siguiente.

instance-id interface-id srcaddr dstaddr pkt-srcaddr pkt-dstaddr

Note


El log de flujo muestra el flujo de tráfico desde la dirección IP de la instancia (10.0.1.5) a través de lainterfaz de red de la gateway de NAT a un host en Internet (203.0.113.5). La interfaz de red de gatewayde NAT es una interfaz de red administrada por el solicitante, por tanto, el registro de logs de flujo muestraun símbolo «-» para el campo instance-id. La línea siguiente muestra tráfico desde la instancia deorigen a la interfaz de red de la gateway de NAT. Los valores de los campos dstaddr y pkt-dstaddrson distintos. El campo dstaddr muestra la dirección IP privada de la interfaz de red de la gateway deNAT y el campo pkt-dstaddr muestra la dirección IP de destino final del host en Internet.

- eni-1235b8ca123456789 10.0.1.5 10.0.0.220 10.0.1.5 203.0.113.5

Las dos líneas siguientes muestra el tráfico desde la interfaz red de gateway de NAT al host de destino enInternet y el tráfico de respuesta desde el host a la interfaz de red de la gateway de NAT.

- eni-1235b8ca123456789 10.0.0.220 203.0.113.5 10.0.0.220 203.0.113.5- eni-1235b8ca123456789 203.0.113.5 10.0.0.220 203.0.113.5 10.0.0.220

La línea siguiente muestra tráfico de respuesta desde la interfaz de red de la gateway de NAT a lainstancia de origen. Los valores para los campos srcaddr y pkt-srcaddr son distintos. El camposrcaddr muestra la dirección IP privada de la interfaz de red de la gateway de NAT y el campo pkt-srcaddr muestra la dirección IP del host en Internet.

- eni-1235b8ca123456789 10.0.0.220 10.0.1.5 203.0.113.5 10.0.1.5

Puede crear otro log de flujo personalizado utilizando el mismo conjunto de campos que con anterioridad.Puede crear el log de flujo para la interfaz de red para la instancia en la subred privada. En este caso,el campo instance-id devuelve el ID de la instancia que está asociado a la interfaz de red y no hayninguna diferencia entre los campos dstaddr y pkt-dstaddr y los campos srcaddr y pkt-srcaddr.A diferencia de la interfaz de red para la gateway de NAT, esta interfaz de red no es una interfaz de redintermedia para el tráfico.

i-01234567890123456 eni-1111aaaa2222bbbb3 10.0.1.5 203.0.113.5 10.0.1.5 203.0.113.5 #Traffic from the source instance to host on the interneti-01234567890123456 eni-1111aaaa2222bbbb3 203.0.113.5 10.0.1.5 203.0.113.5 10.0.1.5 #Response traffic from host on the internet to the source instance

149


Tráfico a través de una gateway de tránsito

En este ejemplo, un cliente en una VPC A se conecta a un servidor web en VPC B a través de unatransit gateway. El cliente y el servidor están en zonas de disponibilidad distintas. Por tanto, el tráficollega al servidor en la VPC B utilizando eni-11111111111111111 y sale de la VPC B utilizandoeni-22222222222222222.

Puede crear un log de flujo personalizado para VPC B con el formato siguiente.

version interface-id account-id vpc-id subnet-id instance-id srcaddr dstaddr srcport dstport protocol tcp-flags type pkt-srcaddr pkt-dstaddr action log-status

Note


Las líneas siguientes de los registros de logs de flujo muestran el flujo de tráfico en la interfaz de red parael servidor web. La primera línea es el tráfico de solicitudes del cliente y la última línea es el tráfico derespuesta del servidor web.

3 eni-33333333333333333 123456789010 vpc-abcdefab012345678 subnet-22222222bbbbbbbbb i-01234567890123456 10.20.33.164 10.40.2.236 39812 80 6 3 IPv4 10.20.33.164 10.40.2.236 ACCEPT OK...3 eni-33333333333333333 123456789010 vpc-abcdefab012345678 subnet-22222222bbbbbbbbb i-01234567890123456 10.40.2.236 10.20.33.164 80 39812 6 19 IPv4 10.40.2.236 10.20.33.164 ACCEPT OK

La línea siguiente es el tráfico de solicitudes en eni-11111111111111111, una interfaz de redadministrada por solicitante para transit gateway en la subred subnet-11111111aaaaaaaaa. El registrode logs de flujo por tanto muestra un símbolo «-» para el campo instance-id. El campo srcaddrmuestra la dirección IP privada de la interfaz de red de transit gateway y el campo pkt-srcaddr muestrala dirección IP de origen del cliente en la VPC A.

3 eni-11111111111111111 123456789010 vpc-abcdefab012345678 subnet-11111111aaaaaaaaa - 10.40.1.175 10.40.2.236 39812 80 6 3 IPv4 10.20.33.164 10.40.2.236 ACCEPT OK

La línea siguiente es el tráfico de respuesta en eni-22222222222222222, una interfaz de redadministrada por solicitante para la transit gateway en la subred subnet-22222222bbbbbbbbb. Elcampo dstaddr muestra la dirección IP privada de la interfaz de red de transit gateway y el campo pkt-dstaddr muestra la dirección IP del cliente en la VPC A.

3 eni-22222222222222222 123456789010 vpc-abcdefab012345678 subnet-22222222bbbbbbbbb - 10.40.2.236 10.40.2.31 80 39812 6 19 IPv4 10.40.2.236 10.20.33.164 ACCEPT OK

Limitaciones de los logs de flujoPara utilizar los logs de flujo, debe conocer las siguientes limitaciones:

• No se pueden habilitar logs de flujo para interfaces de red que se encuentren en la plataforma EC2-Classic. Esto incluye las instancias de EC2-Classic vinculadas a una VPC a través de ClassicLink.

• No se pueden habilitar los logs de flujo para VPC interconectadas con su VPC a menos que la VPC delmismo nivel se encuentre en su cuenta.

• No se puede etiquetar un log de flujo.

150


• Después de haber creado un log de flujo, no puede cambiar su configuración o el formato del registrode logs de flujo. Por ejemplo, no puede asociar un rol de IAM distinto con el log de flujo o añadir o quitarcampos en el registro del log de flujo. En su lugar, puede eliminar el log de flujo y crear uno nuevo con laconfiguración necesaria.

• Ninguna de las acciones de API del log de flujo (ec2:*FlowLogs) admite lo permisos de nivel derecursos. Para crear una política de IAM para controlar el uso de acciones de API de los logs de flujo,debe conceder a los usuarios permisos de uso de todos los recursos para la acción; para ello, utiliceen su instrucción el carácter comodín * para el elemento del recurso. Para obtener más información,consulte Identity and Access Management para Amazon VPC (p. 125).

• Si su interfaz de red tiene varias direcciones IPv4 y el tráfico se envía a una dirección IPv4 privadasecundaria, el log de flujo mostrará la dirección IPv4 privada principal en el campo dstaddr. Paracapturar la dirección IP de destino original, cree un log de flujo con el campo pkt-dstaddr.

• Si el tráfico se envía a una interfaz de red y el destino no es ninguna de las direcciones IP de la interfazde red, el log de flujo muestra la dirección IPv4 privada principal en el campo dstaddr. Para capturar ladirección IP de destino original, cree un log de flujo con el campo pkt-dstaddr.

• Si el tráfico se envía a una interfaz de red y el origen no es ninguna de las direcciones IP de la interfazde red, el log de flujo muestra la dirección IPv4 privada principal en el campo srcaddr. Para capturar ladirección IP de origen original, cree un log de flujo con el campo pkt-srcaddr.

• Si el tráfico se envía a una interfaz de red o desde una interfaz de red, los campos srcaddr y dstaddren el log de flujo muestran siempre la dirección IPv4 privada principal, con independencia del origen odestino del paquete. Para capturar el origen o destino del paquete, cree un log de flujo con los campospkt-srcaddr y pkt-dstaddr.

• No puede especificar un formato personalizado para registros de logs de flujo que se publican enCloudWatch Logs.

• Si crea un log de flujo en una región introducida después del 20 de marzo de 2019 (una región deelección) como, por ejemplo, Asia Pacífico (Hong Kong) o Medio Oriente (Baréin), el bucket de AmazonS3 de destino debe estar en la misma región que el log de flujo.

• Si crea un log de flujo en una región introducida antes del 20 de marzo de 2019, el bucket de Amazon S3de destino debe estar en la misma región que el log de flujo o en otra región introducida antes del 20 demarzo de 2019. No puede especificar un bucket de Amazon S3 que esté en una región de elección.

Los logs de flujo no capturan todo el tráfico IP. Los siguientes tipos de tráfico no se registran:

• Tráfico generado por instancias al contactar con el servidor DNS de Amazon. Si utiliza su propio servidorDNS, sí se registrará el tráfico a ese servidor DNS.

• Tráfico generado por una instancia de Windows para la activación de licencia de Windows para Amazon.• Tráfico entrante y saliente de 169.254.169.254 para metadatos de instancias.• Tráfico entrante y saliente de 169.254.169.123 para el servicio Amazon Time Sync.• Tráfico DHCP.• Tráfico a la dirección IP reservada para el router VPC predeterminado. Para obtener más información,

consulte Tamaño de subred y VPC (p. 75).• El tráfico entre una interfaz de red del punto de enlace y una interfaz de red de Balanceador de

carga de red. Para obtener más información, consulte Servicios de punto de enlace de la VPC (AWSPrivateLink) (p. 319).

Publicación de logs de flujo en CloudWatch LogsLos logs de flujo pueden publicar datos de logs de flujo directamente en Amazon CloudWatch.

En CloudWatch Logs, los datos de logs de flujo se publican en un grupo de logs y cada interfaz de redtiene un flujo único de logs en el grupo de logs. Los flujos de logs contienen registros de logs de flujo.

151

https://docs.aws.amazon.com/general/latest/gr/rande-manage.html

https://docs.aws.amazon.com/general/latest/gr/rande-manage.html


Puede crear varios logs de flujo que publiquen datos en el mismo grupo de logs. Si la misma interfazde red está presente en uno o varios logs de flujo en el mismo grupo de logs, tendrá un flujo de logscombinado. Si ha especificado que un log de flujo debe capturar el tráfico rechazado y otro log de flujodebe capturar el tráfico aceptado, el flujo de logs combinado capturará todo el tráfico. Para obtener másinformación, consulte Registros de logs de flujo (p. 143).

Contenido• Funciones de IAM para publicar registros de flujo en CloudWatch Logs (p. 152)• Creación de un log de flujo que se publica en CloudWatch Logs (p. 153)• Procesamiento de registros de flujo en CloudWatch Logs (p. 154)

Funciones de IAM para publicar registros de flujo en CloudWatch Logs

La función de IAM asociada a su registro de flujo debe tener permisos suficientes para publicar registrosde flujo en el grupo de registros especificado en CloudWatch Logs. La política de IAM adjuntada a su rol deIAM debe incluir al menos los siguientes permisos.

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents", "logs:DescribeLogGroups", "logs:DescribeLogStreams" ], "Effect": "Allow", "Resource": "*" } ]}

Asegúrese también de que el rol tiene una relación de confianza que permite al servicio de logs de flujoasumir ese rol.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "vpc-flow-logs.amazonaws.com" }, "Action": "sts:AssumeRole" } ]}

Los usuarios también deben tener permisos para utilizar la acción iam:PassRole para el rol de IAM queestá asociado al log de flujo:

{ "Version": "2012-10-17", "Statement": [ {

152


"Effect": "Allow", "Action": ["iam:PassRole"], "Resource": "arn:aws:iam::account-id:role/flow-log-role-name" } ]}

Puede actualizar una función existente o utilizar el procedimiento siguiente para crear una nueva función yutilizarla con los logs de flujo.

Creación de un rol de registros de flujo

Para crear una función de IAM para logs de flujo

1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.2. En el panel de navegación, elija Roles, Create role.3. Elija EC2 como servicio para usar esta función. En Use case (Caso de uso), elija EC2. Elija Next:

Permissions (Siguiente: Permisos).4. En la página Attach permissions policies (Asociar políticas de permisos), elija Next: Review (Siguiente:

Revisar). Elija Next: Review (Siguiente: Revisar).5. Escriba un nombre para el rol (por ejemplo, Flow-Logs-Role) y, opcionalmente, especifique una

descripción. Elija Create role (Crear rol).6. Seleccione el nombre de su función. En Permissions (Permisos), elija Add inline policy (Añadir política

insertada), JSON.7. Copie la primera política de Funciones de IAM para publicar registros de flujo en CloudWatch

Logs (p. 152) y péguela en la ventana. Elija Review policy (Revisar política).8. Escriba un nombre para la política y elija Create policy (Crear política).9. Seleccione el nombre de su función. En Trust relationships (Relaciones de confianza), seleccione Edit

trust relationship (Editar relación de confianza). En el documento de la política existente, cambie elservicio de ec2.amazonaws.com a vpc-flow-logs.amazonaws.com. Elija Update Trust Policy.

10. En la página Summary (Resumen), tome nota del ARN de la función. Necesita este ARN para crear supropio log de flujo.

Creación de un log de flujo que se publica en CloudWatch Logs

Puede crear registros de flujo para sus VPC, subredes o interfaces de red.

Note

No puede especificar un formato personalizado para el registro de logs de flujo para un log de flujoque publica en CloudWatch Logs.

Para crear un log de flujo para una interfaz de red utilizando la consola

1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, elija Network Interfaces.3. Seleccione una o varias interfaces de red y elija Actions (Acciones), Create flow log (Crear registro de

flujo).4. En Filter (Filtro), especifique el tipo de datos de tráfico IP que desea registrar. Elija All (Todo) para

registrar el tráfico aceptado y rechazado, Rejected (Rechazado) para registrar únicamente el tráficorechazado o Accepted (Aceptado) para registrar solo el tráfico aceptado.

5. En Destination (Destino), elija Send to CloudWatch Logs (Enviar a CloudWatch Logs).

153

https://console.aws.amazon.com/iam/



6. Para Destination log group (Grupo de logs de destino), escriba el nombre de un grupo de logs enCloudWatch Logs donde se van a publicar los logs de flujo. Si especifica el nombre de un grupo delogs que no existe, intentamos crear el grupo de logs por usted.

7. En IAM role (Función de IAM), especifique el nombre de la función que tiene permisos para publicarregistros en CloudWatch Logs.

8. Seleccione Create.

Para crear un log de flujo para una VPC o una subred utilizando la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Your VPCs (Sus VPC) o Subnets (Subredes).3. Seleccione una o varias VPC o subredes y, a continuación, elija Actions (Acciones), Create flow log

(Crear registro de flujo).4. En Filter (Filtro), especifique el tipo de datos de tráfico IP que desea registrar. Elija All (Todo) para


5. En Destination (Destino), elija Send to CloudWatch Logs (Enviar a CloudWatch Logs).6. Para Destination log group (Grupo de logs de destino), escriba el nombre de un grupo de logs en

CloudWatch Logs donde se van a publicar los logs de flujo. Si especifica el nombre de un grupo delogs que no existe, intentamos crear el grupo de logs por usted.

7. En IAM role (Función de IAM), especifique el nombre de la función de IAM que tiene permisos parapublicar registros en CloudWatch Logs.


Para crear un log de flujo que publica en CloudWatch Logs utilizando una herramienta de línea decomandos

Utilice uno de los siguientes comandos.

• create-flow-logs (AWS CLI)• New-EC2FlowLogs (Herramientas de AWS para Windows PowerShell)• CreateFlowLogs (API de consulta de Amazon EC2)

El siguiente ejemplo de la AWS CLI crea un log de flujo que captura todo el tráfico aceptado para la subredsubnet-1a2b3c4d. Los logs de flujo se envían a un grupo de log en CloudWatch Logs denominado my-flow-logs, en la cuenta 123456789101, utilizando el rol de IAM publishFlowLogs.

aws ec2 create-flow-logs --resource-type Subnet --resource-ids subnet-1a2b3c4d --traffic-type ACCEPT --log-group-name my-flow-logs --deliver-logs-permission-arn arn:aws:iam::123456789101:role/publishFlowLogs

Procesamiento de registros de flujo en CloudWatch Logs

Puede trabajar con los registros de logs de flujo al igual que con los demás eventos de logs recopiladospor CloudWatch Logs. Para obtener más información acerca de la monitorización de datos de registros yfiltros de métricas, consulte Búsqueda y filtrado de datos de registros en la Guía del usuario de AmazonCloudWatch.

Ejemplo: Creación de un filtro de métrica de CloudWatch y de una alarma para un log de flujo

En este ejemplo, tiene un log de flujo para eni-1a2b3c4d. Desea crear una alarma que le avise si hahabido 10 o más intentos rechazados para conectar con su instancia a través del puerto TCP 22 (SSH) en

154


https://docs.aws.amazon.com/cli/latest/reference/ec2/create-flow-logs.html

https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2FlowLogs.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateFlowLogs.html

https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/MonitoringLogData.html


un periodo de 1 hora. En primer lugar, debe crear un filtro de métrica que coincida con el patrón de tráficopara el que va a crear la alarma. A continuación, puede crear una alarma para el filtro de métrica.

Para crear un filtro de métrico para el tráfico SSH rechazado y una alarma para el filtro

1. Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.2. En el panel de navegación, elija Logs.3. Elija el valor Metric Filters (Filtros de métricas) asociado para el grupo de registros de su registro de

flujo y, a continuación, elija Add Metric Filter (Añadir filtro de métricas).4. En Filter Pattern (Patrón de filtro), escriba lo siguiente.

[version, account, eni, source, destination, srcport, destport="22", protocol="6", packets, bytes, windowstart, windowend, action="REJECT", flowlogstatus]

5. En Select Log Data to Test (Seleccionar datos de registro para probar), seleccione el flujo de logs parasu interfaz de red. (Opcional) Para ver las líneas de los datos de log que coinciden con el patrón defiltro, elija Test Pattern (Probar patrón). Cuando haya terminado, elija Assign Metric.

6. Proporcione un espacio de nombres y un nombre de métrica, y asegúrese de que el valor de lamétrica está establecido en 1. Cuando haya acabado, elija Create Filter.

7. En el panel de navegación, elija Alarms, Create Alarm.8. En la sección Custom Metrics, elija el espacio de nombres para el filtro de métrica que ha creado.

Puede que la nueva métrica tarde unos minutos en mostrarse en la consola.9. Seleccione el nombre de métrica que ha creado y elija Next (Siguiente).10. Escriba un nombre y la descripción de la alarma. En los campos is (es), elija >= y escriba 10. En el

campo for (durante), deje el valor predeterminado 1 para los periodos consecutivos.11. En Period (Periodo), seleccione 1 Hour (1 hora). En Statistic (Estadística), elija Sum (Suma). La

estadística Sum le asegura que está capturando el número total de puntos de datos para el periodoespecificado.

12. En la sección Actions (Acciones), puede elegir enviar una notificación a una lista existente. O puedecrear una nueva lista y escribir las direcciones de correo electrónico que deben recibir una notificacióncuando se dispare la alarma. Cuando haya terminado, elija Create Alarm.

Publicación de logs de flujo en Amazon S3Los registros de flujo pueden publicar datos de registros de flujo en Amazon S3.

Cuando se publica en Amazon S3, los datos de registro de flujo se publican en un bucket de Amazon S3existente que especifique. Los registros de logs de flujo de todas las interfaces de red monitoreadas sepublican en una serie de objetos de archivos log que se almacenan en el bucket. Si el log de flujo capturadatos de una VPC, se publican los registros de logs de flujo de todas las interfaces de red de la VPCseleccionada. Para obtener más información, consulte Registros de logs de flujo (p. 143).

Para crear un bucket de Amazon S3 para usarlo con los registros de flujo, consulte la sección Crear unbucket en la Guía de introducción a Amazon Simple Storage Service.

Contenido• Archivos log de flujo (p. 156)• Política de IAM para entidades principales de IAM que publican registros de flujo en Amazon

S3 (p. 156)• Permisos del bucket de Amazon S3 para logs de flujo (p. 157)

155

https://console.aws.amazon.com/cloudwatch/

https://docs.aws.amazon.com/AmazonS3/latest/gsg/CreatingABucket.html

https://docs.aws.amazon.com/AmazonS3/latest/gsg/CreatingABucket.html


• Política de claves CMK necesarias para usar con buckets de SSE-KMS (p. 158)• Permisos de archivos log de Amazon S3 (p. 158)• Creación de un log de flujo que se publica en Amazon S3 (p. 159)• Procesamiento de registros de flujo en Amazon S3 (p. 160)

Archivos log de flujo

Los logs de flujo recopilan registros de logs de flujo, los consolidan en archivos log y, a continuación, sepublican los archivos de log en el bucket de Amazon S3 a intervalos de cinco minutos. Cada archivo logcontiene registros de logs de flujo del tráfico IP registrado en los cinco minutos anteriores.

El tamaño de archivo máximo de un archivo log es de 75 MB. Si el archivo log alcanza el límite de tamañode archivo en el periodo de cinco minutos, el log de flujo deja de añadirle registros de logs de flujo. Acontinuación, publica el log de flujo en el bucket de Amazon S3 y crea un nuevo archivo de registro.

Los archivos log se guardan en el bucket de Amazon S3 especificado con una estructura de carpetasque viene determinada por el ID del log de flujo, la región y la fecha en que se crearon. La estructura decarpetas del bucket usa el siguiente formato.

bucket_ARN/optional_folder/AWSLogs/aws_account_id/vpcflowlogs/region/year/month/day/log_file_name.log.gz

Asimismo, el nombre del archivo log viene determinado por el ID del log de flujo, la región y la fecha y horaen que se creó. Los nombres de archivo utilizan el formato siguiente.

aws_account_id_vpcflowlogs_region_flow_log_id_timestamp_hash.log.gz

Note

La marca de tiempo utiliza el formato YYYYMMDDTHHmmZ.

Por ejemplo, a continuación se muestra la estructura de carpeta y el nombre de archivo de un archivo delog para un log de flujo creado por la cuenta de AWS 123456789012, para un recurso en la región us-east-1, el June 20, 2018 a las 16:20 UTC. Incluye registros de logs de flujo para 16:15:00 para16:19:59.

arn:aws:s3:::my-flow-log-bucket/AWSLogs/123456789012/vpcflowlogs/us-east-1/2018/06/20/123456789012_vpcflowlogs_us-east-1_fl-1234abcd_20180620T1620Z_fe123456.log.gz

Política de IAM para entidades principales de IAM que publican registros de flujoen Amazon S3

Una entidad principal de IAM en su cuenta, como un usuario de IAM, debe tener permisos suficientes parapublicar registros de flujo en el bucket de Amazon S3. Esto incluye permisos para trabajar con acciones delogs: específicas para crear y publicar los registros de flujo. La política de IAM debe incluir los permisossiguientes.

{ "Version": "2012-10-17", "Statement": [ {

156


"Effect": "Allow", "Action": [ "logs:CreateLogDelivery", "logs:DeleteLogDelivery" ], "Resource": "*" } ]}

Permisos del bucket de Amazon S3 para logs de flujo

De forma predeterminada, los buckets de Amazon S3 y los objetos que contienen son privados. Solo elpropietario del bucket puede tener acceso al bucket y a los objetos almacenados en él. Sin embargo, elpropietario del bucket puede conceder acceso a otros recursos y usuarios escribiendo una política deacceso.

Si el usuario que va a crear el log de flujo es el propietario del bucket, se asocia automáticamente lasiguiente política al bucket para conceder al log de flujo permiso para publicar logs en él.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSLogDeliveryWrite", "Effect": "Allow", "Principal": {"Service": "delivery.logs.amazonaws.com"}, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::bucket_name/optional_folder/AWSLogs/account_id/*", "Condition": {"StringEquals": {"s3:x-amz-acl": "bucket-owner-full-control"}} }, { "Sid": "AWSLogDeliveryAclCheck", "Effect": "Allow", "Principal": {"Service": "delivery.logs.amazonaws.com"}, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::bucket_name" } ]}

Si el usuario que va a crear el log de flujo no es el propietario del bucket o no tiene los permisosGetBucketPolicy y PutBucketPolicy para el bucket, se produce un error al crear el log de flujo. Eneste caso, el propietario del bucket debe añadir manualmente la política anterior al bucket y especificar elID de cuenta de AWS del creador del log de flujo. Para obtener más información, consulte ¿Cómo agregouna política de bucket en S3? en la Guía del usuario de la consola de Amazon Simple Storage Service. Siel bucket recibe logs de flujo de varias cuentas, añada un entrada del elemento Resource a la instrucciónAWSLogDeliveryWrite de la política para cada cuenta. Por ejemplo, la siguiente política de bucketpermite a las cuentas de AWS 123123123123 y 456456456456 publicar logs de flujo en una carpetadenominada flow-logs en un bucket llamado log-bucket.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSLogDeliveryWrite", "Effect": "Allow", "Principal": {"Service": "delivery.logs.amazonaws.com"}, "Action": "s3:PutObject", "Resource": [

157

https://docs.aws.amazon.com/AmazonS3/latest/user-guide/add-bucket-policy.html

https://docs.aws.amazon.com/AmazonS3/latest/user-guide/add-bucket-policy.html


"arn:aws:s3:::log-bucket/flow-logs/AWSLogs/123123123123/*", "arn:aws:s3:::log-bucket/flow-logs/AWSLogs/456456456456/*" ], "Condition": {"StringEquals": {"s3:x-amz-acl": "bucket-owner-full-control"}} }, { "Sid": "AWSLogDeliveryAclCheck", "Effect": "Allow", "Principal": {"Service": "delivery.logs.amazonaws.com"}, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::log-bucket" } ]}

Note

Le recomendamos que conceda los permisos AWSLogDeliveryAclCheck y AWSLogDeliveryWritea la entidad principal del servicio de entrega de logs, en lugar de a los distintos ARN de la cuentade AWS.

Política de claves CMK necesarias para usar con buckets de SSE-KMS

Si habilitó el cifrado en el servidor para su bucket de Amazon S3 utilizando claves administradas por AWSKMS (SSE-KMS) con una clave maestra de cliente (CMK) administrada por el cliente, debe agregar losiguiente a la política de claves de su CMK de modo que los registros de flujo puedan escribir archivos deregistro en el bucket.

Note

Agregue estos elementos a la política para su CMK, no la política para su bucket.

{ "Sid": "Allow VPC Flow Logs to use the key", "Effect": "Allow", "Principal": { "Service": [ "delivery.logs.amazonaws.com" ] }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*"}

Permisos de archivos log de Amazon S3

Además de las políticas de bucket necesarias, Amazon S3 utiliza listas de control de acceso (ACL)para administrar el acceso a los archivos log creados por un log de flujo. De forma predeterminada, elpropietario del bucket tiene los permisos FULL_CONTROL en cada archivo log. El propietario de la entregade logs, si es diferente del propietario del bucket, no tiene permisos. La cuenta de entrega de logs tienelos permisos READ y WRITE. Para obtener más información, consulte Información general de las AccessControl Lists (ACL, Listas de control de acceso) en la Guía para desarrolladores de Amazon SimpleStorage Service.

158




Creación de un log de flujo que se publica en Amazon S3Después de haber creado y configurado su bucket de Amazon S3, puede crear registros de flujo para susVPC, subredes o interfaces de red.

Para crear un log de flujo para una interfaz de red utilizando la consola

1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, elija Network Interfaces.3. Seleccione una o varias interfaces de red y elija Actions (Acciones), Create flow log (Crear registro de

flujo).4. En Filter (Filtro), especifique el tipo de datos de tráfico IP que desea registrar. Elija All (Todo) para


5. En Destination (Destino), elija Send to an Amazon S3 bucket (Enviar a un bucket de Amazon S3).6. En S3 bucket ARN (ARN de bucket de S3), especifique el nombre de recurso de Amazon (ARN) de

un bucket de Amazon S3 existente. Puede incluir una subcarpeta en el ARN de bucket. El bucket nopuede utilizar AWSLogs como nombre de subcarpeta, ya que se trata de un término reservado.

Por ejemplo, para especificar una subcarpeta llamada my-logs de un bucket denominado my-bucket, utilice el siguiente ARN:

arn:aws:s3:::my-bucket/my-logs/

Si posee el bucket, crearemos automáticamente una política de recursos y la asociaremos albucket. Para obtener más información, consulte Permisos del bucket de Amazon S3 para logs deflujo (p. 157).

7. Para Format (Formato), especifique el formato del registro de logs de flujo.

• Para utilizar el formato del registro de logs de flujo, seleccione AWS default format (Formatopredeterminado de AWS).

• Para crear un formato personalizado, seleccione Formato personalizado. En Log line format(Formato de línea de log), seleccione los campos que incluir en el registro de logs de flujo.

Tip

Para crear un log de flujo personalizado que incluya los campos de formatopredeterminados, primero elija AWS default format (Formato predeterminado de AWS),copie los campos en Format preview (Vista previa de formato), a continuación elija Customformat (Formato personalizado) y pegue los campos en el cuadro de texto.


Para crear un log de flujo para una VPC o una subred utilizando la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Your VPCs (Sus VPC) o Subnets (Subredes).3. Seleccione una o varias VPC o subredes y, a continuación, elija Actions (Acciones), Create flow log

(Crear registro de flujo).4. En Filter (Filtro), especifique el tipo de datos de tráfico IP que desea registrar. Elija All (Todo) para


5. En Destination (Destino), elija Send to an Amazon S3 bucket (Enviar a un bucket de Amazon S3).6. En S3 bucket ARN (ARN de bucket de S3), especifique el nombre de recurso de Amazon (ARN) de

un bucket de Amazon S3 existente. Puede incluir una subcarpeta en el ARN de bucket. El bucket nopuede utilizar AWSLogs como nombre de subcarpeta, ya que se trata de un término reservado.

159




Por ejemplo, para especificar una subcarpeta llamada my-logs de un bucket denominado my-bucket, utilice el siguiente ARN:

arn:aws:s3:::my-bucket/my-logs/

Si posee el bucket, crearemos automáticamente una política de recursos y la asociaremos albucket. Para obtener más información, consulte Permisos del bucket de Amazon S3 para logs deflujo (p. 157).

7. Para Format (Formato), especifique el formato del registro de logs de flujo.

• Para utilizar el formato del registro de logs de flujo, seleccione AWS default format (Formatopredeterminado de AWS).

• Para crear un formato personalizado, seleccione Formato personalizado. En Log line format(Formato de línea de log), seleccione los campos que desea incluir en el registro de logs de flujo.


Para crear un log de flujo que publica en Amazon S3 utilizando una herramienta de línea de comandos

Utilice uno de los siguientes comandos.

• create-flow-logs (AWS CLI)• New-EC2FlowLogs (Herramientas de AWS para Windows PowerShell)• CreateFlowLogs (API de consulta de Amazon EC2)

El ejemplo de AWS CLI siguiente crea un log de flujo que captura todo el tráfico para la VPCvpc-00112233344556677 y envía los logs de flujo a un bucket de Amazon S3 denominado flow-log-bucket. El parámetro --log-format especifica un formato personalizado para los registros de logs deflujo.

aws ec2 create-flow-logs --resource-type VPC --resource-ids vpc-00112233344556677 --traffic-type ALL --log-destination-type s3 --log-destination arn:aws:s3:::flow-log-bucket/my-custom-flow-logs/ --log-format '${version} ${vpc-id} ${subnet-id} ${instance-id} ${srcaddr} ${dstaddr} ${srcport} ${dstport} ${protocol} ${tcp-flags} ${type} ${pkt-srcaddr} ${pkt-dstaddr}'

Procesamiento de registros de flujo en Amazon S3

Los archivos log están comprimidos. Si abre los archivos log con la consola de Amazon S3, sedescomprimen y se muestran los registros de logs de flujo. Si descarga los archivos, debe descomprimirlospara ver los registros de logs de flujo.

También puede consultar los registros de logs de flujo en los archivos de log mediante Amazon Athena.Amazon Athena es un servicio de consultas interactivo que facilita el análisis de datos directamente enAmazon S3 mediante SQL estándar. Para obtener más información, consulte Consulta de los registros deflujo de Amazon VPC en la Guía del usuario de Amazon Athena

Uso de logs de flujoPuede trabajar con registros de flujo utilizando las consolas de Amazon EC2, Amazon VPC, CloudWatch yAmazon S3.

Contenido• Control del uso de logs de flujo (p. 161)

160


https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2FlowLogs.html


https://docs.aws.amazon.com/athena/latest/ug/vpc-flow-logs.html

https://docs.aws.amazon.com/athena/latest/ug/vpc-flow-logs.html


• Creación de un log de flujo (p. 161)• Visualización de logs de flujo (p. 161)• Consulta de registros de logs de flujo (p. 162)• Eliminación de un log de flujo (p. 162)• Información general de API y CLI (p. 163)

Control del uso de logs de flujo

De forma predeterminada, los usuarios de IAM no tienen permiso para trabajar con logs de flujo. Puedecrear una política de usuarios de IAM que conceda permisos a los usuarios para crear, describir y eliminarlogs de flujo. Para obtener más información acerca de los permisos, consulte el tema sobre cómo concedera los usuarios de IAM los permisos necesarios para los recursos de Amazon EC2 en la Amazon EC2 APIReference.

A continuación se muestra una política de ejemplo que concede a los usuarios permisos completos paracrear, describir y eliminar logs de flujo.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DeleteFlowLogs", "ec2:CreateFlowLogs", "ec2:DescribeFlowLogs" ], "Resource": "*" } ]}

Se requerirá alguna configuración adicional de funciones y permisos de IAM, en función de si los datos sepublican en CloudWatch Logs o Amazon S3. Para obtener más información, consulte Publicación de logsde flujo en CloudWatch Logs (p. 151) y Publicación de logs de flujo en Amazon S3 (p. 155).

Creación de un log de flujo

Puede crear registros de flujo para sus VPC, subredes o interfaces de red. Los registros de flujo puedenpublicar datos en CloudWatch Logs o Amazon S3.

Para obtener más información, consulte Creación de un log de flujo que se publica en CloudWatchLogs (p. 153) y Creación de un log de flujo que se publica en Amazon S3 (p. 159).

Visualización de logs de flujo

Puede consultar información acerca de sus registros de flujo en las consolas de Amazon EC2 y AmazonVPC visualizando la pestaña Flow Logs (Registros de flujo) para un recurso específico. Al seleccionar elrecurso, se mostrarán todos los logs de flujo de ese recurso. La información mostrada incluye el ID del logde flujo, la configuración del log de flujo y la información acerca del estado del log de flujo.

Para ver información acerca de los registros de flujo para sus interfaces de red

1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, elija Network Interfaces.

161

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ec2-api-permissions.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ec2-api-permissions.html



3. Seleccione una interfaz de red y elija Flow Logs (Logs de flujo). Se mostrará información acerca de loslogs de flujo en la pestaña. La columna Destination type (Tipo de destino) indica el destino en el quese publican los logs de flujo.

Para ver información acerca de los registros de flujo para sus VPC o subredes

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Your VPCs (Sus VPC) o Subnets (Subredes).3. Seleccione su VPC o subred y elija Flow Logs (Logs de flujo). Se mostrará información acerca de los

logs de flujo en la pestaña. La columna Destination type (Tipo de destino) indica el destino en el quese publican los logs de flujo.

Consulta de registros de logs de flujo

Puede ver los registros del registro de flujo mediante la consola de CloudWatch Logs o la consola deAmazon S3, en función del tipo de destino elegido. Puede que, después de crear su log de flujo, senecesiten unos minutos para que esté visible en la consola.

Para ver los registros de logs de flujo publicados en CloudWatch Logs

1. Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.2. En el panel de navegación, elija Logs y seleccione el grupo de logs que contiene el log de flujo.

Aparecerá una lista de flujos de log para cada interfaz de red.3. Seleccione el flujo de logs que contiene el ID de la interfaz de red para la que desea ver los registros

de logs de flujo. Para obtener más información, consulte Registros de logs de flujo (p. 143).

Para ver los registros de logs de flujo publicados en Amazon S3

1. Abra la consola de Amazon S3 en https://console.aws.amazon.com/s3/.2. En Bucket name (Nombre del bucket), seleccione el bucket en el que se van a publicar los logs de

flujo.3. En Name (Nombre), active la casilla de verificación situada junto al archivo log. En el panel de

información general del objeto, elija Download (Descargar).

Eliminación de un log de flujo

Puede eliminar un registro de flujo utilizando las consolas de Amazon EC2 y Amazon VPC.

Note

Estos procedimientos deshabilitan el servicio de logs de flujo para un recurso. Cuando se eliminaun registro de flujo, no se eliminan los flujos de registro existentes de CloudWatch Logs ni losarchivos log de Amazon S3. Los datos de los logs de flujo existentes deben eliminarse con laconsola del servicio correspondiente. Asimismo, cuando se elimina un log de flujo que publicadatos en Amazon S3, no se eliminan las políticas del bucket ni las listas de control de acceso(ACL) de los archivos log.

Para eliminar un log de flujo para una interfaz de red

1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, elija Network Interfaces y seleccione la interfaz de red.3. Elija Flow Logs (Logs de flujo) y, a continuación, elija el botón de eliminación (una cruz) para el log de

flujo que desea eliminar.

162



https://console.aws.amazon.com/s3/



4. En el cuadro de diálogo de confirmación, elija Yes, Delete.

Para eliminar un log de flujo para una VPC o subred

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Your VPCs (Sus VPC) o Subnets (Subredes) y, a continuación,

seleccione el recurso.3. Elija Flow Logs (Logs de flujo) y, a continuación, elija el botón de eliminación (una cruz) para el log de

flujo que desea eliminar.4. En el cuadro de diálogo de confirmación, elija Yes, Delete.

Información general de API y CLI

Puede realizar las tareas descritas en esta página utilizando la línea de comandos o al API. Para obtenermás información acerca de las interfaces de la línea de comandos, junto con una lista de las acciones deAPI disponibles, consulte Acceso a Amazon VPC (p. 1).

Crear un log de flujo

• create-flow-logs (AWS CLI)• New-EC2FlowLog (Herramientas de AWS para Windows PowerShell)• CreateFlowLogs (API de consulta de Amazon EC2)

Descripción de sus logs de flujo

• describe-flow-logs (AWS CLI)• Get-EC2FlowLog (Herramientas de AWS para Windows PowerShell)• DescribeFlowLogs (API de consulta de Amazon EC2)

Visualización de sus registros de logs de flujo (eventos de log)

• get-log-events (AWS CLI)• Get-CWLLogEvent (Herramientas de AWS para Windows PowerShell)• GetLogEvents (API de CloudWatch)

Eliminación de un log de flujo

• delete-flow-logs (AWS CLI)• Remove-EC2FlowLog (Herramientas de AWS para Windows PowerShell)• DeleteFlowLogs (API de consulta de Amazon EC2)

Solución de problemasA continuación se indican los posibles problemas que pueden surgir al trabajar con registros de flujo.

Problemas• Registros de logs de flujo incompletos (p. 164)• El log de flujo está activo, pero no hay suficientes registros de logs de flujo ni grupo de logs (p. 164)• Error: LogDestinationNotFoundException (p. 165)

163



https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2FlowLog.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-flow-logs.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2FlowLog.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeFlowLogs.html

https://docs.aws.amazon.com/cli/latest/reference/logs/get-log-events.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Get-CWLLogEvent.html

https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogEvents.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-flow-logs.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2FlowLog.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DeleteFlowLogs.html


• Superación del límite de la política de bucket de Amazon S3 (p. 165)

Registros de logs de flujo incompletosProblema

Sus registros de flujo están incompletos o ya no se publican.

Causa

Puede que haya un problema con la entrega de registros de flujo al grupo de registros de CloudWatchLogs.

Solución

En la consola de Amazon EC2 o de Amazon VPC, elija la pestaña Flow Logs (Registros de flujo) delrecurso correspondiente. Para obtener más información, consulte Visualización de logs de flujo (p. 161).La tabla de logs de flujo muestra los errores en la columna Status. De forma alternativa, puede utilizar elcomando describe-flow-logs y comprobar el valor devuelto en el campo DeliverLogsErrorMessage.Puede que se muestre uno de los siguientes errores:

• Rate limited: este error puede suceder si se ha aplicado una limitación controlada de registros deCloudWatch (cuando el número de registros de flujo para una interfaz de red es superior al númeromáximo de registros que se pueden publicar en un tiempo determinado). Este error también se puedeproducir si ha alcanzado la cuota del número de grupos de logs de CloudWatch Logs que puede crear.Para obtener más información, consulte Cuotas de servicio de CloudWatch en la Guía del usuario deAmazon CloudWatch.

• Access error: este error puede producirse por las razones siguientes:• El rol de IAM de su log de flujo no tiene permisos suficientes para publicar registros de logs de flujo en

el grupo de logs de CloudWatch.• El rol de IAM no tiene una relación de confianza con el servicio de logs de flujo• La relación de confianza no especifica el servicio de logs de flujo como elemento principal

Para obtener más información, consulte Funciones de IAM para publicar registros de flujo enCloudWatch Logs (p. 152).

• Unknown error: se ha producido un error interno en el servicio de logs de flujo.

El log de flujo está activo, pero no hay suficientes registros de logs de flujo nigrupo de logsProblema

Ha creado un registro de flujo y la consola de Amazon VPC o Amazon EC2 muestra el registro de flujocomo Active. Sin embargo, no puede ver los flujos de registros de CloudWatch Logs; ni los archivos deregistro de su bucket de Amazon S3.

Causa

Esto puede deberse a una de las siguientes causas:

• El log de flujo sigue en proceso de creación. En algunos casos, pueden necesitarse diez minutos o másdespués de crear el log de flujo para que se cree el grupo de logs y para que se muestren los datos.

• Aún no se ha registrado tráfico en sus interfaces de red. El grupo de logs de CloudWatch Logs solo secrea cuando se ha registrado tráfico.

Solución

164

https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-flow-logs.html

https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/cloudwatch_limits.html

Amazon Virtual Private Cloud Guía del usuarioResiliencia

Espere unos minutos a que se cree el grupo de registros o a que se registre el tráfico.

Error: LogDestinationNotFoundException

Problema

Cuando intenta crear un registro de flujo, obtiene el siguiente mensaje de error:LogDestinationNotFoundException.

Causa

Este error podría aparecer al crear un log de flujo que publique datos en un bucket de Amazon S3. Esteerror indica que no se ha encontrado el bucket de S3 especificado.

Solución

Asegúrese de que ha especificado el ARN de un bucket de S3 existente y de que el ARN tiene el formatocorrecto.

Superación del límite de la política de bucket de Amazon S3

Problema

Cuando intenta crear un registro de flujo, obtiene el siguiente mensaje de error:LogDestinationPermissionIssueException.

Causa

Las políticas de bucket de Amazon S3 tienen un límite de tamaño de 20 KB.

Cada vez que crea un log de flujo que publica en un bucket de Amazon S3, añadimos automáticamenteel ARN de bucket especificado, que incluye la ruta de la carpeta, al elemento Resource de la política delbucket.

La creación de varios registros de flujo que publican en el mismo bucket podría provocar que se superarael límite de la política de bucket.

Solución

Aplique alguna de las siguientes acciones:

• Limpie la política del bucket eliminando las entradas del registro de flujo que ya no se necesitan.• Otorgue permisos a todo el bucket reemplazando las entradas individuales del log de flujo por las

siguientes:

arn:aws:s3:::bucket_name/*

Si concede permisos a todo el bucket, las nuevas suscripciones de registro de flujo no añaden nuevospermisos a la política de bucket.

Resiliencia en Amazon Virtual Private CloudLa infraestructura global de AWS está conformada por regiones y zonas de disponibilidad de AWS. Lasregiones de AWS proporcionan varias zonas de disponibilidad físicamente independientes y aisladasque se encuentran conectadas mediante redes con un alto nivel de rendimiento y redundancia, ademásde baja latencia. Con las zonas de disponibilidad, puede diseñar y utilizar aplicaciones y bases de datos

165

Amazon Virtual Private Cloud Guía del usuarioValidación de la conformidad

que realizan una conmutación por error automática entre las zonas sin interrupciones. Las zonas dedisponibilidad tienen una mayor disponibilidad, tolerancia a errores y escalabilidad que las infraestructurastradicionales de centros de datos únicos o múltiples.

Para obtener más información sobre zonas de disponibilidad y las regiones de AWS, consulteInfraestructura global de AWS.

Además de la infraestructura global de AWS, Amazon VPC ofrece varias características que le ayudan consus necesidades de resiliencia y copia de seguridad de los datos.

Validación de la conformidad para Amazon VirtualPrivate Cloud

Los auditores externos evalúan la seguridad y la conformidad de Amazon Virtual Private Cloud en distintosprogramas de conformidad de AWS. Estos incluyen SOC, PCI, FedRAMP, DoD CCSRG, HIPAA BAA,IRAP, MTCS, C5, K-ISMS, ENS-High, OSPAR y HITRUST-CSF.

Para obtener una lista de servicios de AWS en el ámbito de programas de conformidad específicos,consulte Servicios de AWS en el ámbito del programa de conformidad. Para obtener información general,consulte Programas de conformidad de AWS.

Puede descargar los informes de auditoría de terceros utilizando AWS Artifact. Para obtener másinformación, consulte Descarga de informes en AWS Artifact.

La responsabilidad de conformidad que recae en usted al utilizar Amazon VPC viene determinada por laconfidencialidad de los datos, los objetivos de conformidad de su empresa y la legislación y normativasaplicables. AWS proporciona los siguientes recursos para ayudarle con los requisitos de conformidad:

• Guías de inicio rápido de seguridad y conformidad– estas guías de implementación tratanconsideraciones sobre arquitectura y ofrecen pasos para implementar los entornos de referenciacentrados en la seguridad y la conformidad en AWS.

• Documento técnico sobre arquitectura para seguridad y conformidad de HIPAA– este documento técnicodescribe cómo las empresas pueden utilizar AWS para crear aplicaciones conformes con HIPAA.

• Recursos de conformidad de AWS – este conjunto de manuales y guías podría aplicarse a su sector yubicación.

• Evaluación de recursos con reglas en la Guía para desarrolladores de AWS Config: el servicio AWSConfig evalúa en qué medida las configuraciones de los recursos cumplen con las prácticas internas, lasdirectrices del sector y las normativas.

• AWS Security Hub: este servicio de AWS ofrece una vista integral de su estado de seguridad en AWSque le ayuda a comprobar la conformidad con las normas abiertas y las prácticas recomendadas para laseguridad.

Grupos de seguridad de su VPCUn grupo de seguridad funciona como un firewall virtual de la instancia para controlar el tráfico entrantey saliente. Cuando lanza una instancia en una VPC, puede asignar hasta cinco grupos de seguridad a lainstancia. Los grupos de seguridad actúan en el ámbito de la instancia, no en el de la subred. Por lo tanto,cada instancia de la subred de su VPC puede asignarse a distintos conjuntos de grupos de seguridad.

Si lanza una instancia con la API de Amazon EC2 o una herramienta de línea de comandos y no especificaun grupo de seguridad, la instancia se asigna automáticamente al grupo de seguridad predeterminado para

166

http://aws.amazon.com/about-aws/global-infrastructure/


http://aws.amazon.com/compliance/programs/

https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html

http://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance

https://d0.awsstatic.com/whitepapers/compliance/AWS_HIPAA_Compliance_Whitepaper.pdf

http://aws.amazon.com/compliance/resources/

https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html

https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html

Amazon Virtual Private Cloud Guía del usuarioConceptos básicos de los grupos de seguridad

la VPC. Si lanza una instancia mediante la consola de Amazon EC2, tiene la opción de crear un nuevogrupo de seguridad para la instancia.

Para cada grupo de seguridad, es necesario añadir reglas que controlan el tráfico entrante a las instancias,así como un conjunto de reglas distinto que controla el tráfico saliente. Esta sección describe los conceptosbásicos que debe conocer acerca de los grupos de seguridad de su VPC y sus reglas.

Puede configurar ACL de red con reglas similares a sus grupos de seguridad para añadir una capa deseguridad adicional a su VPC. Para obtener más información acerca de las diferencias entre los grupos deseguridad y las ACL de red, consulte Comparación de grupos de seguridad y ACL de red (p. 124).

Contenido• Conceptos básicos de los grupos de seguridad (p. 167)• Grupo de seguridad predeterminado para su VPC (p. 168)• Reglas del grupo de seguridad (p. 169)• Diferencias entre los grupos de seguridad para EC2-Classic y EC2-VPC (p. 170)• Uso de grupos de seguridad (p. 171)

Conceptos básicos de los grupos de seguridadA continuación se describen las características básicas de los grupos de seguridad para su VPC:

• Se ha establecido una cuota del número de grupos de seguridad que puede crear por cada VPC, aligual que el número de reglas que puede añadir a cada grupo de seguridad y el número de grupos deseguridad que puede asociar a una interfaz de red. Para obtener más información, consulte Cuotas deAmazon VPC (p. 342).

• Puede especificar reglas de permiso, pero no reglas de denegación.• Es posible especificar reglas separadas para el tráfico entrante y saliente.• Cuando se crea un grupo de seguridad, este carece de reglas entrantes. Por lo tanto, no se permitirá el

tráfico entrante que proceda de otro host a su instancia hasta que no añada reglas entrantes al grupo deseguridad.

• De forma predeterminada, los grupos de seguridad incluyen una regla entrante que permite todo eltráfico saliente. Es posible quitar esta regla y añadir reglas saliente que permitan solo el tráfico salienteespecífico. Si el grupo de seguridad no tiene reglas entrantes, no se permitirá el tráfico saliente queproceda de esta instancia.

• Los grupos de seguridad tienen estado: si envía una solicitud desde su instancia, se permite el flujo deltráfico de respuesta para dicha solicitud, independientemente de las reglas de entrada del grupo deseguridad. El flujo saliente de las respuestas al tráfico entrante está permitido independientemente de lasreglas salientes.

Note

El seguimiento de determinados tipos de tráfico se realiza de forma distinta al de otros tipos.Para obtener más información, consulte Seguimiento de la conexión en la Guía del usuario deAmazon EC2 para instancias de Linux.

• Las instancias asociadas a un grupo de seguridad no pueden hablar entre sí a no ser que añada reglasque lo permitan el tráfico (excepción: el grupo de seguridad predeterminado dispone de estas reglas demanera predeterminada).

• Los grupos de seguridad están asociados a interfaces de red. Tras lanzar una instancia, podrá cambiarlos grupos de seguridad que están asociados con la instancia, lo que modifica los grupos de seguridadasociados a la interfaz de red principal (eth0). También puede especificar o cambiar los grupos deseguridad asociados a cualquier otra interfaz de red. De forma predeterminada, al crear una interfaz dered, ésta se asocia con el grupo de seguridad predeterminado para la VPC, a menos que especifique

167

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html#security-group-connection-tracking

Amazon Virtual Private Cloud Guía del usuarioGrupo de seguridad predeterminado para su VPC

otro grupo de seguridad. Para obtener más información acerca de las interfaces de red, consulteInterfaces de redes elásticas.

• Al crear un grupo de seguridad, debe darle un nombre y una descripción. Se aplican las siguientesreglas:• Los nombres y las descripciones pueden tener una longitud máxima de 255 caracteres.• Los nombres y las descripciones solo pueden contener los siguientes caracteres: a-z, A-Z, 0-9,

espacios y ._-:/()#,@[]+=&;{}!$*.• El nombre del grupo de seguridad no puede comenzar con sg-.• El nombre de un grupo de seguridad debe ser único dentro de la VPC.

Grupo de seguridad predeterminado para su VPCSu VPC incluye automáticamente un grupo de seguridad predeterminado. Si no especifica un grupo deseguridad distinto al lanzar la instancia, se asociará el grupo de seguridad predeterminado a su instancia.

Note

Si lanza una instancia en la consola de Amazon EC2, el asistente para el lanzamiento deinstancias define automáticamente un grupo de seguridad "launch-wizard-xx", que puede asociara la instancia en lugar del grupo de seguridad predeterminado.

La tabla siguiente describe las reglas predeterminadas del grupo de seguridad predeterminado.

Inbound

Source Protocol Port Range Description

ID del grupo de seguridad(sg-xxxxxxxx).

Todo Todos Permite el tráfico entrante de lasinterfaces de red (y las instanciasasociadas) asignadas al mismogrupo de seguridad.

Outbound

Destination Protocol Port Range Description

0.0.0.0/0 Todos Todos Permite todo el tráfico IPv4 saliente.

::/0 Todos Todo Permite todo el tráfico IPv6 saliente.Esta regla se añade de manerapredeterminada si crea una VPC conun bloque de CIDR IPv6 o si asociaun bloque de CIDR IPv6 a su VPCexistente.

Puede cambiar las reglas del grupo de seguridad predeterminado.

El grupo de seguridad predeterminado no se puede eliminar. Si intenta eliminar el grupo de seguridadpredeterminado, aparece el error siguiente: Client.CannotDelete: the specified group:"sg-51530134" name: "default" cannot be deleted by a user.

Note

Si ha modificado las reglas salientes de su grupo de seguridad, no se añadirá automáticamenteninguna regla saliente para el tráfico IPv6 al asociar un bloque de CIDR IPv6 a su VPC.

168


Amazon Virtual Private Cloud Guía del usuarioReglas del grupo de seguridad

Reglas del grupo de seguridadPuede añadir o quitar reglas de un grupo de seguridad (este proceso también se conoce comoautorización o revocación del acceso entrante o saliente). Las reglas se aplican al tráfico entrante (entrada)o saliente (salida). Puede conceder acceso a un rango de CIDR específico o a otro grupo de seguridad desu VPC o de una VPC del mismo nivel (requiere interconexión de VPC).

A continuación se describen las partes básicas de las reglas de los grupos de seguridad de una VPC:

• (Solo reglas entrantes) Origen del tráfico y puerto de destino o rango de puertos. El origen puede serotro grupo de seguridad, un bloque de CIDR IPv4 o IPv6, o bien una única dirección IPv4 o IPv6.

• (Solo reglas salientes) Destino del tráfico y puerto de destino o intervalo de puertos. El destino puede serotro grupo de seguridad, un bloque de CIDR IPv4 o IPv6, una dirección IPv4 o IPv6 individual o un ID delista de prefijos (un servicio se identifica mediante una lista de prefijos: el nombre y el ID de un serviciode una región).

• Cualquier protocolo que tenga un número de protocolo estándar (para obtener una lista, consulte losnúmeros de protocolo). Si especifica ICMP como el protocolo, puede especificar cualquiera de los tipos ycódigos de ICMP.

• Una descripción opcional de la regla del grupo de seguridad que le ayude a identificarla posteriormente.Una descripción puede tener una longitud máxima de 255 caracteres. Los caracteres permitidos incluyena-z, A-Z, 0-9, espacios y ._-:/()#,@[]+=;{}!$*.

Cuando se especifica un bloque de CIDR como el origen de una regla, se permite el tráfico desde lasdirecciones especificadas para el protocolo y puertos especificados.

Cuando se especifica un grupo de seguridad como el origen de una regla, se permite el tráfico desde lasinterfaces de red asociadas al grupo de seguridad de origen para el protocolo y los puertos especificados.Para ver un ejemplo, consulte Grupo de seguridad predeterminado para su VPC (p. 168). Cuando seañade un grupo de seguridad como origen, no se añaden reglas desde el grupo de seguridad de origen.

Si especifica una única dirección IPv4, indíquela con la longitud de prefijo /32. Si especifica una únicadirección IPv6, especifíquela con la longitud de prefijo /128.

Algunos sistemas de configuración de firewalls permiten filtrar por los puertos de origen. Los grupos deseguridad solo permiten filtrar por puertos de destino.

Al añadir o quitar reglas, estas se aplican automáticamente a todas las instancias asociadas al grupo deseguridad.

El tipo de reglas que se añaden dependerá del propósito del grupo de seguridad. La tabla siguientedescribe reglas de ejemplo de un grupo de seguridad asociado a servidores web. Los servidores webpueden recibir tráfico HTTP y HTTPS de todas las direcciones IPv4 e IPv6 y, a continuación, enviar eltráfico SQL o MySQL al servidor de la base de datos.

Inbound

Source Protocol Port Range Description

0.0.0.0/0 TCP 80 Permite el acceso HTTP entrantedesde todas las direcciones IPv4.

::/0 TCP 80 Permite el acceso HTTP entrantedesde todas las direcciones IPv6.

0.0.0.0/0 TCP 443 Permite el acceso HTTPS entrantedesde todas las direcciones IPv4.

169


Amazon Virtual Private Cloud Guía del usuarioDiferencias entre los grupos de

seguridad para EC2-Classic y EC2-VPC

::/0 TCP 443 Permite el acceso HTTPS entrantedesde todas las direcciones IPv6.


TCP 22 Permite el acceso SSH entrantea las instancias de Linux desdedirecciones IP IPv4 de su red (através de la gateway de Internet).


TCP 3389 Permite el acceso RDP entrante alas instancias de Windows desdedirecciones IP IPv4 de su red (através de la gateway de Internet).

Outbound

Destination Protocol Port Range Description

ID del grupo de seguridad paralos servidores de la base dedatos de Microsoft SQL Server

TCP 1433 Permite el acceso saliente deMicrosoft SQL Server a las instanciasdel grupo de seguridad especificado

ID del grupo de seguridad paralos servidores de la base dedatos MySQL

TCP 3306 Permite el acceso saliente deMySQL a las instancias del grupo deseguridad especificado

El servidor de la base de datos necesitará un conjunto de reglas distintas. Por ejemplo, en lugar del tráficoHTTP y HTTPS entrante, puede añadir una regla que permita el acceso de MySQL o Microsoft SQLServer entrante. Para obtener un ejemplo de las reglas de grupo de seguridad para servidores web yservidores de bases de datos, consulte Seguridad (p. 42). Para obtener más información sobre los gruposde seguridad para instancias de DB de Amazon RDS, consulte Controlling Access with Security Groups enla Guía del usuario de Amazon RDS.

Para obtener ejemplos de reglas de grupo de seguridad para determinados tipos de acceso, consulteReferencia de reglas de grupos de seguridad en la Guía del usuario de Amazon EC2 para instancias deLinux.

Reglas antiguas de los grupos de seguridadSi su VPC tiene una interconexión con otra VPC, la regla del grupo de seguridad puede hacer referenciaa otro grupo de seguridad de la VPC del mismo nivel. Esto permite que las instancias asociadas al grupode seguridad al que se hace referencia y las asociadas al grupo de seguridad que hace la referencia secomuniquen entre sí.

Si el propietario de la VPC del mismo nivel elimina el grupo de seguridad al que se hace referencia, o biensi usted o el propietario de la VPC del mismo nivel elimina la interconexión de VPC, la regla del grupo deseguridad se marcará como stale. Las reglas obsoletas de los grupos de seguridad se pueden eliminarde la misma manera que cualquier otra regla del grupo de seguridad.

Para obtener más información, consulte Uso de reglas de grupo de seguridad obsoletas en la AmazonVPC Peering Guide.

Diferencias entre los grupos de seguridad para EC2-Classic y EC2-VPCNo puede utilizar los grupos de seguridad que ha creado con EC2-Classic con instancias en su VPC.Debe crear grupos de seguridad específicamente para utilizarlos con instancias de su VPC. Las reglas

170

https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.RDSSecurityGroups.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html

https://docs.aws.amazon.com/vpc/latest/peering/vpc-peering-security-groups.html#vpc-peering-stale-groups

Amazon Virtual Private Cloud Guía del usuarioUso de grupos de seguridad

que cree para utilizarlas con un grupo de seguridad de una VPC no pueden hacer referencia a un grupode seguridad de EC2-Classic y viceversa. Para obtener más información sobre las diferencias entrelos grupos de seguridad que se utilizan con EC2-Classic y los que se utilizan con una VPC, consulteDiferencias entre EC2-Classic y una VPC en la Guía del usuario de Amazon EC2 para instancias de Linux.

Uso de grupos de seguridadLas siguientes tareas muestran cómo usar grupos de seguridad con la consola de Amazon VPC.

Para conocer ejemplos de políticas de IAM para utilizar grupos de seguridad, consulte Administración degrupos de seguridad (p. 137).

Tareas• Modificación del grupo de seguridad predeterminado (p. 171)• Creación de un grupo de seguridad (p. 171)• Adición, eliminación y actualización de reglas (p. 172)• Cambio de los grupos de seguridad de una instancia (p. 173)• Eliminación de un grupo de seguridad (p. 174)• Eliminación del grupo de seguridad 2009-07-15-default (p. 174)

Modificación del grupo de seguridad predeterminadoLa VPC incluye un grupo de seguridad predeterminado (p. 168). Este grupo no se puede eliminar;sin embargo, es posible cambiar las reglas del grupo. El procedimiento es el mismo que para modificarcualquier otro grupo de seguridad. Para obtener más información, consulte Adición, eliminación yactualización de reglas (p. 172).

Creación de un grupo de seguridadAunque puede utilizar el grupo de seguridad predeterminado para sus instancias, puede que desee crearsus propios grupos para reflejar las distintas funciones de desempeñan que juegan las instancias en susistema.

Para crear un grupo de seguridad con la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Security Groups.3. Elija Create Security Group.4. Escriba un nombre para el grupo de seguridad (por ejemplo, my-security-group) y especifique una

descripción. Seleccione el ID de su VPC del menú VPC y elija Yes, Create.

Para crear un grupo de seguridad con la línea de comandos

• create-security-group (AWS CLI)• New-EC2SecurityGroup (Herramientas de AWS para Windows PowerShell)

Describir uno o varios grupos de seguridad con la línea de comandos

• describe-security-groups (AWS CLI)• Get-EC2SecurityGroup (Herramientas de AWS para Windows PowerShell)

171

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-classic-platform.html#differences-ec2-classic-vpc


https://docs.aws.amazon.com/cli/latest/reference/ec2/create-security-group.html

https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2SecurityGroup.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-security-groups.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2SecurityGroup.html


De forma predeterminada, los grupos de seguridad nuevos comienzan con una única regla de salida quepermite que todo el tráfico salga de las instancias. Debe añadir reglas para permitir el tráfico entrante orestringir el tráfico saliente.

Adición, eliminación y actualización de reglasAl añadir o quitar una regla, las instancias ya asignadas al grupo de seguridad quedan sujetas al cambio.

Si tiene una interconexión de VPC, podrá hacer referencia a grupos de seguridad de la VPC del mismonivel como origen o destino en sus reglas de grupo de seguridad. Para obtener más información, consulteActualización de los grupos de seguridad para que hagan referencia a grupos de la VPC del mismo nivelen la Amazon VPC Peering Guide.

Para agregar una regla a través de la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Security Groups.3. Seleccione el grupo de seguridad que desea actualizar.4. Elija Actions (Acciones), Edit inbound rules (Editar reglas de entrada) o Actions (Acciones), Edit

outbound rules (Editar reglas de salida).5. En Type (Tipo), seleccione el tipo de tráfico y, a continuación, rellene la información necesaria. Por

ejemplo, para un servidor web público, elija HTTP o HTTPS y especifique un valor para Source como0.0.0.0/0.

Si utiliza 0.0.0.0/0, permitirá que todas las direcciones IPv4 tengan acceso a su instanciamediante HTTP o HTTPS. Para restringir el acceso, escriba una dirección IP específica o un rango dedirecciones.

6. También puede permitir la comunicación entre todas las instancias que están asociadas a este grupode seguridad. Cree una regla de entrada con las opciones siguientes:

• Type (Tipo): All Traffic (Todo el tráfico)• Source (Origen): escriba el ID del grupo de seguridad.

7. Seleccione Save rules (Guardar reglas).

Para eliminar una regla a través de la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Security Groups.3. Seleccione el grupo de seguridad que desea actualizar.4. Elija Actions (Acciones), Edit inbound rules (Editar reglas de entrada) o Actions (Acciones), Edit

outbound rules (Editar reglas de salida).5. Seleccione el botón de eliminación ("x") situado a la derecha de la regla que desea eliminar.6. Seleccione Save rules (Guardar reglas).

Al modificar el protocolo, el intervalo de puertos o el origen o destino de una regla de grupo de seguridadexistente mediante la consola, esta elimina la regla existente y agrega una nueva automáticamente.

Para actualizar una regla a través de la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Security Groups.3. Seleccione el grupo de seguridad que desea actualizar.

172

https://docs.aws.amazon.com/vpc/latest/peering/working-with-vpc-peering.html#vpc-peering-security-groups





4. Elija Actions (Acciones), Edit inbound rules (Editar reglas de entrada) o Actions (Acciones), Editoutbound rules (Editar reglas de salida).

5. Modifique la entrada la regla según sea necesario.6. Seleccione Save rules (Guardar reglas).

No es posible modificar la regla si va a actualizar el protocolo, el rango de puertos o el origen o destinode una regla existente mediante la API de Amazon EC2 o una herramienta de línea de comandos. En sulugar, debe eliminar la regla existente y añadir una nueva. Para actualizar solo la descripción, puede usarlos comandos update-security-group-rule-descriptions-ingress y update-security-group-rule-descriptions-egress.

Para añadir una regla a un grupo de seguridad con la línea de comandos

• authorize-security-group-ingress y authorize-security-group-egress (AWS CLI)• Grant-EC2SecurityGroupIngress y Grant-EC2SecurityGroupEgress (Herramientas de AWS para

Windows PowerShell)

Para eliminar una regla de un grupo de seguridad con la línea de comandos

• revoke-security-group-ingress y revoke-security-group-egress(AWS CLI)• Revoke-EC2SecurityGroupIngress y Revoke-EC2SecurityGroupEgress (Herramientas de AWS para

Windows PowerShell)

Para actualizar la descripción de una regla de grupo de seguridad con la línea de comandos

• update-security-group-rule-descriptions-ingress y update-security-group-rule-descriptions-egress (AWSCLI)

• Update-EC2SecurityGroupRuleIngressDescription y Update-EC2SecurityGroupRuleEgressDescription(Herramientas de AWS para Windows PowerShell)

Cambio de los grupos de seguridad de una instanciaTras lanzar una instancia en una VPC, podrá cambiar los grupos de seguridad asociados a dicha instancia.Es posible modificar los grupos de seguridad de una instancia cuando esta tiene el estado running ostopped.

Note

Este procedimiento permite modificar los grupos de seguridad asociados a la interfaz de redprincipal (eth0) de la instancia. Para cambiar los grupos de seguridad de otras interfaces de red,consulte la sección sobre cómo cambiar el grupo de seguridad de una interfaz de red.

Para cambiar los grupos de seguridad para una instancia con la consola

1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, seleccione Instances (Instancias).3. Abra el menú contextual (clic derecho) de la instancia y elija Networking, Change Security Groups.4. En el cuadro de diálogo Change Security Groups, seleccione uno o varios grupos de seguridad de la

lista y elija Assign Security Groups.

Para cambiar los grupos de seguridad para una instancia con la línea de comandos

• modify-instance-attribute (AWS CLI)

173

https://docs.aws.amazon.com/cli/latest/reference/ec2/update-security-group-rule-descriptions-ingress.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/update-security-group-rule-descriptions-egress.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-ingress.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-egress.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Grant-EC2SecurityGroupIngress.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Grant-EC2SecurityGroupEgress.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-ingress.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-egress.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Revoke-EC2SecurityGroupIngress.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Revoke-EC2SecurityGroupEgress.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/update-security-group-rule-descriptions-ingress.html


https://docs.aws.amazon.com/powershell/latest/reference/items/Update-EC2SecurityGroupRuleIngressDescription.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Update-EC2SecurityGroupRuleEgressDescription.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html#eni_security_group


https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-instance-attribute.html


• Edit-EC2InstanceAttribute (Herramientas de AWS para Windows PowerShell)

Eliminación de un grupo de seguridadSolo se puede eliminar el grupo de seguridad si este no tiene ninguna instancia asociada (en ejecucióno detenida). Puede asignar las instancias a otro grupo de seguridad antes de eliminar el grupo deseguridad (consulte Cambio de los grupos de seguridad de una instancia (p. 173)). El grupo de seguridadpredeterminado no se puede eliminar.

Si está utilizando la consola, puede eliminar más de un grupo de seguridad a la vez. Si está utilizando lalínea de comando o el API, solo puede eliminar un grupo de seguridad a la vez.

Para eliminar un grupo de seguridad con la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Security Groups.3. Seleccione uno o varios grupos de seguridad y elija Security Group Actions, Delete Security Group.4. En el cuadro de diálogo Delete Security Group, elija Yes, Delete.

Para eliminar un grupo de seguridad con la línea de comandos

• delete-security-group (AWS CLI)• Remove-EC2SecurityGroup (Herramientas de AWS para Windows PowerShell)

Eliminación del grupo de seguridad 2009-07-15-defaultLas VPC creadas con una API cuya versión sea anterior al 01-01-2011 tendrán el grupo de seguridad2009-07-15-default. Este grupo de seguridad existe además del grupo de seguridad defaultque se incluye en cada VPC. No es posible adjuntar una gateway de Internet a una VPC con el grupode seguridad 2009-07-15-default. Por lo tanto, debe eliminar este grupo de seguridad para poderadjuntar una gateway de Internet a la VPC.

Note

Si ha asignado este grupo de seguridad a otras instancias, debe asignar a dichas instancias otrogrupo de seguridad distinto para poder eliminar el grupo de seguridad.

Para eliminar el grupo de seguridad 2009-07-15-default

1. Asegúrese de que este grupo de seguridad no esté asignado a ninguna instancia.

a. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.b. En el panel de navegación, elija Network Interfaces.c. Seleccione la interfaz de red de la instancia de la lista y elija Change Security Groups, Actions.d. En el cuadro de diálogo Change Security Groups, seleccione un nuevo grupo de seguridad de la

lista y elija Save.

Cuando cambie el grupo de seguridad de una instancia, podrá seleccionar varios grupos deseguridad de la lista. Los grupos de seguridad que seleccione sustituirán los grupos de seguridadactuales de la instancia.

e. Repita los pasos anteriores para cada instancia.2. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

174

https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2InstanceAttribute.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-security-group.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2SecurityGroup.html



Amazon Virtual Private Cloud Guía del usuarioACL de red

3. En el panel de navegación, elija Security Groups.4. Elija el grupo de seguridad 2009-07-15-default, a continuación elija Security Group Actions

(Acciones de grupo de seguridad), Delete Security Group (Eliminar grupo de seguridad).5. En el cuadro de diálogo Delete Security Group, elija Yes, Delete.

ACL de redUna lista de control de acceso (ACL) de red es una capa de seguridad opcional para su VPC que actúacomo firewall para controlar el tráfico entrante y saliente de una o varias subredes. Puede configurar ACLde red con reglas similares a sus grupos de seguridad para añadir una capa de seguridad adicional a suVPC. Para obtener más información acerca de las diferencias entre los grupos de seguridad y las ACL dered, consulte Comparación de grupos de seguridad y ACL de red (p. 124).

Contenido• Conceptos básicos de las ACL de red (p. 175)• Reglas de ACL de red (p. 176)• ACL de red predeterminada (p. 176)• ACL de red personalizada (p. 177)• ACL de red personalizada y otros servicios de AWS (p. 182)• Puertos efímeros (p. 183)• Uso de ACL de red (p. 183)• Ejemplo: control del acceso a las instancias en una subred (p. 186)• Información general de API y comandos (p. 190)

Conceptos básicos de las ACL de redA continuación se describen los conceptos básicos que debe saber acerca de las ACL de red:

• Su VPC incluye automáticamente una ACL de red predeterminada y modificable. De formapredeterminada, permite todo el tráfico IPv4 entrante y saliente y, si corresponde, el tráfico IPv6.

• Puede crear una ACL de red personalizada y asociarla a una subred. De forma predeterminada, todaslas ACL de red personalizadas denegarán todo el tráfico entrante y saliente hasta que añada reglas.

• Cada subred de su VPC debe estar asociada a una ACL de red. Si no asocia una subred de formaexplícita a una ACL de red, la subred se asociará automáticamente a la ACL de red predeterminada.

• Puede asociar una ACL de red con varias subredes. Sin embargo, una subred sólo puede asociarse auna ACL de red a la vez. Al asociar una ACL de red a una subred, se quita la asociación anterior.

• Una ACL de red contiene una lista numerada de reglas. Evaluamos las reglas por orden, empezando porla regla con el número más bajo, para determinar si se permite el tráfico entrante o saliente de algunasubred asociada a la ACL de red. El número más alto que puede utilizar para una regla es 32766. Lerecomendamos que empiece creando reglas en incrementos (por ejemplo, incrementos de 10 o 100), deforma que pueda insertar reglas nuevas cuando lo necesite más adelante.

• Una ACL de red tiene reglas entrantes y salientes por separado, y cada regla puede permitir o denegarel tráfico.

• Las ACL de red son sin estado, lo que significa que las respuestas al tráfico entrante permitido estánsujetas a las reglas de tráfico saliente (y viceversa).

Para obtener más información, consulte Cuotas de Amazon VPC (p. 342).

175

Amazon Virtual Private Cloud Guía del usuarioReglas de ACL de red

Reglas de ACL de redPuede añadir o quitar reglas de la ACL de red predeterminada, o bien crear ACL de red adicionales parasu VPC. Al añadir o quitar reglas de una ACL de red, los cambios se aplicarán automáticamente a lassubredes con las que esté asociada.

Las siguientes son las partes de una regla de ACL de red:

• Número de regla. Las reglas se evalúan comenzando por la regla con el número más bajo. Cuando unaregla coincide con el tráfico, esta se aplica independientemente de si hay una regla con un número másalto que la pueda contradecir.

• Tipo. El tipo de tráfico; por ejemplo, SSH. También puede especificar todo el tráfico o un rangopersonalizado.

• Protocolo. Puede especificar cualquier protocolo que tenga un número de protocolo estándar. Paraobtener más información, consulte Protocol Numbers. Si especifica ICMP como el protocolo, puedeespecificar cualquiera de los tipos y códigos de ICMP.

• Rango de puertos El puerto de escucha o el rango de puertos para el tráfico. Por ejemplo, 80 para eltráfico HTTP.

• Fuente. [Solo reglas entrantes] Origen del tráfico (rango de CIDR).• Destino. [Solo reglas salientes] Destino del tráfico (rango de CIDR).• Permitir/Denegar permitir o denegar el tráfico especificado.

ACL de red predeterminadaLa ACL de red predeterminada está configurada para permitir todo el tráfico entrante y saliente de lassubredes con las que está asociada. Cada ACL de red también incluye una regla cuyo número de regla esun asterisco. Esta regla garantiza que si un paquete no coincide con ninguna de las reglas numeradas, sedenegará. No es posible modificar ni quitar esta regla.

A continuación se muestra un ejemplo de una ACL de red predeterminada para una VPC que solo admiteIPv4.

Entrada

Regla n.º Tipo Protocolo Rango depuerto

Fuente Permitir/Denegar

100 Todo el tráficoIPv4

Todos Todos 0.0.0.0/0 PERMITIR

* Todo el tráficoIPv4

Todos Todos 0.0.0.0/0 DENEGAR

Salida

Regla n.º Tipo Protocolo Rango depuertos

Destino Permitir/Denegar




Todos Todos 0.0.0.0/0 DENEGAR

176


Amazon Virtual Private Cloud Guía del usuarioACL de red personalizada

Si crea una VPC con un bloque de CIDR IPv6 o si asocia un bloque de CIDR IPv6 con su VPC existente,añadiremos automáticamente reglas que permitan todo el tráfico IPv6 entrante y saliente de su subred.Asimismo, añadiremos reglas cuyos números de regla sean un asterisco que asegure que un paquete sedenegará si no coincide con ninguno de las demás reglas numeradas. No es posible modificar ni quitarestas reglas. A continuación se muestra un ejemplo de una ACL de red predeterminada para una VPC quesolo admite IPv4 e IPv6.

Note

Si ha modificado sus reglas entrantes predeterminadas de la ACL de red, no se añadiráautomáticamente una regla permitir para el tráfico IPv6 entrante cuando asocie un bloquede IPv6 a su VPC. De forma similar, si ha modificado las reglas salientes, no añadiremosautomáticamente una regla permitir para el tráfico IPv6 saliente.

Entrada

Regla n.º Tipo Protocolo Rango depuerto





Todo Todo ::/0 PERMITIR

* Todo el tráfico Todo Todos 0.0.0.0/0 DENEGAR


Todo Todo ::/0 DENEGAR

Salida



100 Todo el tráfico Todo Todos 0.0.0.0/0 PERMITIR


Todo Todo ::/0 PERMITIR

* Todo el tráfico Todo Todos 0.0.0.0/0 DENEGAR


Todo Todo ::/0 DENEGAR

ACL de red personalizadaLa siguiente tabla muestra un ejemplo de una ACL de red personalizada para una VPC que solo admiteIPv4. Incluye reglas que permiten el tráfico HTTP y HTTPS entrante (reglas entrantes 100 y 110). Hay unaregla saliente correspondiente que permite las respuestas a ese tráfico entrante (regla saliente 120, quecubre los puertos efímeros 32768-65535). Para obtener más información acerca de cómo seleccionar elrango de puerto efímero correcto, consulte Puertos efímeros (p. 183).

La ACL de red también incluye reglas entrantes que permiten el tráfico SSH y RDP en la subred. La reglasaliente 120 permite que las respuestas dejen la subred.

La ACL de red tiene reglas salientes (100 y 110) que permiten que el tráfico saliente HTTP y HTTPS salgade la subred. Hay una regla entrante correspondiente que permite las respuestas a ese tráfico saliente(regla entrante 140, que cubre los puertos efímeros 32768-65535).

177


Note

Cada ACL de red incluye una regla predeterminada cuyo número de regla es un asterisco. Estaregla garantiza que si un paquete no coincide con ninguna de las demás reglas, se denegará. Noes posible modificar ni quitar esta regla.

Entrada



Comentarios

100 HTTP TCP 80 0.0.0.0/0 PERMITIR Permite el tráfico HTTPentrante de cualquierdirección IPv4.

110 HTTPS TCP 443 0.0.0.0/0 PERMITIR Permite el tráficoHTTPS entrante decualquier dirección IPv4.

120 SSH TCP 22 192.0.2.0/24 PERMITIR Permite el tráfico SSHentrante del rango delrango de direccionesIPv4 públicas de su reddoméstica (a través dela gateway de Internet).

130 RDP TCP 3389 192.0.2.0/24 PERMITIR Permite el tráfico RDPentrante a servidoresweb desde el rangode direcciones IPv4públicas de su reddoméstica (a través delpuerto de la gateway deInternet).

140 TCPpersonalizada

TCP 32768-655350.0.0.0/0 PERMITIR Permite el tráfico IPv4de retorno entrantede Internet (es decir,para solicitudes que seoriginan en la subred).

Este rango seproporciona solo comoejemplo. Para obtenermás información acercade cómo seleccionarel rango de puertoefímero correcto,consulte Puertosefímeros (p. 183).

* Todo eltráfico

Todo Todos 0.0.0.0/0 DENEGAR Deniega todo el tráficoIPv4 entrante nocontrolado por ningunaregla precedente (nomodificable).

Salida

178




Comentarios

100 HTTP TCP 80 0.0.0.0/0 PERMITIR Permite el tráfico HTTPIPv4 saliente de lasubred a Internet.

110 HTTPS TCP 443 0.0.0.0/0 PERMITIR Permite el tráficoHTTPS IPv4 saliente dela subred a Internet.


TCP 32768-655350.0.0.0/0 PERMITIR Permite las respuestasIPv4 salientes a clientesde Internet (por ejemplo,al ofrecer páginas weba usuarios que visitanlos servidores web de lasubred).


* Todo eltráfico

Todo Todos 0.0.0.0/0 DENEGAR Deniega todo el tráficoIPv4 saliente nocontrolado por ningunaregla precedente (nomodificable).

Cuando un paquete llega a la subred, lo evaluamos según las reglas entrantes de la ACL con la que estáasociada la subred (comenzando desde la parte superior de la lista de reglas, y desplazándose hastala parte inferior). A continuación, se indica cómo se realiza la evaluación si el paquete está destinado alpuerto HTTPS (443). El paquete no coincide con la primera regla evaluada (regla 100). No coincide conla segunda regla (110), que permite el paquete en la subred. Si el paquete se ha destinado al puerto 139(NetBIOS), no se le aplica ninguna de las reglas y la regla * termina por rechazarlo.

Puede que desee añadir una regla denegar en el caso en que tenga la necesidad justificada de abrir unamplio rango de puertos, pero hay ciertos puertos en el rango que desea denegar. Asegúrese de colocar laregla denegar en la tabla antes de la regla que permita el rango amplio de tráfico de puerto.

Añade reglas permitir en función de su caso de uso. Por ejemplo, puede añadir una regla que permitaTCP saliente y acceso UDP en el puerto 53 para resolución de DNS. Para todas las reglas que añada,asegúrese de que haya una regla de entrada o salida correspondiente que permita el tráfico de respuesta.

La siguiente tabla muestra el mismo ejemplo de una ACL de red personalizada para una VPC que tieneun bloque de CIDR IPv6 asociado. Esta ACL de red incluye reglas para todo el tráfico HTTP y HTTPSIPv6. En este caso, se insertaron nuevas reglas entre las reglas existentes para el tráfico IPv4. Tambiénpuede agregar las reglas como reglas de número superior tras las reglas IPv4. El tráfico IPv4 y el IPv6 sonindependientes y, por lo tanto, ninguna de las reglas para el tráfico IPv4 se aplican a las del tráfico IPv6.

Entrada

179




Comentarios

100 HTTP TCP 80 0.0.0.0/0 PERMITIR Permite el tráfico HTTPentrante de cualquierdirección IPv4.

105 HTTP TCP 80 ::/0 PERMITIR Permite el tráfico HTTPentrante de cualquierdirección IPv6.

110 HTTPS TCP 443 0.0.0.0/0 PERMITIR Permite el tráficoHTTPS entrante decualquier dirección IPv4.

115 HTTPS TCP 443 ::/0 PERMITIR Permite el tráficoHTTPS entrante decualquier dirección IPv6.

120 SSH TCP 22 192.0.2.0/24 PERMITIR Permite el tráfico SSHentrante del rango delrango de direccionesIPv4 públicas de su reddoméstica (a través dela gateway de Internet).

130 RDP TCP 3389 192.0.2.0/24 PERMITIR Permite el tráfico RDPentrante a servidoresweb desde el rangode direcciones IPv4públicas de su reddoméstica (a través delpuerto de la gateway deInternet).


TCP 32768-655350.0.0.0/0 PERMITIR Permite el tráfico IPv4de retorno entrantede Internet (es decir,para solicitudes que seoriginan en la subred).


180



TCP 32768-65535::/0 PERMITIR Permite el tráfico IPv6de retorno entrantede Internet (es decir,para solicitudes que seoriginan en la subred).


* Todo eltráfico

Todo Todos 0.0.0.0/0 DENEGAR Deniega todo el tráficoIPv4 entrante nocontrolado por ningunaregla precedente (nomodificable).

* Todo eltráfico

Todo Todo ::/0 DENEGAR Deniega todo el tráficoIPv6 entrante nocontrolado por ningunaregla precedente (nomodificable).

Salida



Comentarios

100 HTTP TCP 80 0.0.0.0/0 PERMITIR Permite el tráfico HTTPIPv4 saliente de lasubred a Internet.

105 HTTP TCP 80 ::/0 PERMITIR Permite el tráfico HTTPIPv6 saliente de lasubred a Internet.

110 HTTPS TCP 443 0.0.0.0/0 PERMITIR Permite el tráficoHTTPS IPv4 saliente dela subred a Internet.

115 HTTPS TCP 443 ::/0 PERMITIR Permite el tráficoHTTPS IPv6 saliente dela subred a Internet.

181

Amazon Virtual Private Cloud Guía del usuarioACL de red personalizada y otros servicios de AWS


TCP 32768-655350.0.0.0/0 PERMITIR Permite las respuestasIPv4 salientes a clientesde Internet (por ejemplo,al ofrecer páginas weba usuarios que visitanlos servidores web de lasubred).



TCP 32768-65535::/0 PERMITIR Permite las respuestasIPv6 salientes a clientesde Internet (por ejemplo,al ofrecer páginas weba usuarios que visitanlos servidores web de lasubred).


* Todo eltráfico

Todo Todos 0.0.0.0/0 DENEGAR Deniega todo el tráficoIPv4 saliente nocontrolado por ningunaregla precedente (nomodificable).

* Todo eltráfico

Todo Todo ::/0 DENEGAR Deniega todo el tráficoIPv6 saliente nocontrolado por ningunaregla precedente (nomodificable).

ACL de red personalizada y otros servicios de AWSSi crea una ACL de red personalizada, tenga en cuenta cómo podría afectar a los recursos que crea queutilizan otros servicios de AWS.

Con Elastic Load Balancing, si la subred de sus instancias del back-end tiene una ACL de red en la queha añadido una regla denegar para todo el tráfico con un origen de 0.0.0.0/0 o el CIDR de la subred, subalanceador de carga no podrá realizar ninguna comprobación de estado en las instancias. Para obtener

182

Amazon Virtual Private Cloud Guía del usuarioPuertos efímeros

más información acerca de las reglas de ACL de red recomendadas para sus balanceadores de cargae instancias del backend, consulte ACL de red para balanceadores de carga de una VPC en la Guía delusuario de Classic Load Balancers.

Puertos efímerosLa ACL de red de ejemplo en la sección anterior utiliza un rango de puertos efímeros de 32768-65535. Noobstante, puede que desee utilizar un rango diferente para sus ACL de red, dependiendo del tipo de clienteque esté utilizando o con el que se esté comunicando.

El cliente que inicia la solicitud elige el rango de puertos efímeros. El rango varía en función del sistemaoperativo del cliente.

• Muchos kernels de Linux (incluido el de Amazon Linux) utilizan los puertos 32768-61000.• Las solicitudes que se originan desde Elastic Load Balancing utilizan los puertos 1024-65535.• Los sistemas operativos Windows con Windows Server 2003 utilizan los puertos 1025-5000.• Windows Server 2008 y las versiones posteriores utilizan los puertos 49152-65535.• Una gateway NAT utiliza los puertos 1024-65535.• Las funciones de AWS Lambda utilizan los puertos 1024-65535.

Por ejemplo, si una solicitud llega a un servidor web en su VPC desde un cliente de Windows XP enInternet, su ACL de red deberá tener una regla saliente para permitir el tráfico destinado a los puertos1025-5000.

Si una instancia de su VPC es el cliente que inicia una solicitud, su ACL de red deberá tener una reglaentrante para permitir el tráfico destinado a los puertos efímeros específicos del tipo de instancia (AmazonLinux, Windows Server 2008, etc.).

En la práctica, para cubrir los distintos tipos de clientes que pueden iniciar tráfico a instancias públicas ensu VPC, puede abrir los puertos efímeros 1024-65535. Sin embargo, también puede añadir reglas a la ACLpara denegar tráfico en puertos malintencionados en ese rango. Asegúrese de colocar las reglas denegaren la tabla antes de las reglas permitir que abren el amplio rango de puertos efímeros.

Uso de ACL de redLas siguientes tareas muestran cómo usar las ACL de red con la consola de Amazon VPC.

Tareas• Determinación de asociaciones de ACL de red (p. 183)• Creación de una ACL de red (p. 184)• Adición y eliminación de reglas (p. 184)• Asociación de una subred a una ACL de red (p. 185)• Anulación de la asociación de una ACL de red a una subred (p. 185)• Cambio de la ACL de red de una subred (p. 186)• Eliminación de una ACL de red (p. 186)

Determinación de asociaciones de ACL de redPuede utilizar la consola de Amazon VPC para determinar la ACL de red asociada a una subred. Las ACLde red se pueden asociar a más de una subred, de modo que también puede determinar las subredesasociadas a una ACL de red.

183

https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-security-groups.html#elb-vpc-nacl

Amazon Virtual Private Cloud Guía del usuarioUso de ACL de red

Para determinar qué ACL de red está asociada a una subred

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Subnets y, a continuación, seleccione la subred.

La ACL de red asociada a la subred se incluye en la pestaña Network ACL, junto con las reglas de laACL de red.

Para determinar qué subredes están asociadas a una ACL de red

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Network ACLs. La columna Associated With indica el número de

subredes asociadas a cada ACL de red.3. Seleccione una ACL de red.4. En el panel de detalles, elija Subnet Associations (Asociaciones de subred) para mostrar las subredes

asociadas a la ACL de red.

Creación de una ACL de redPuede crear una ACL de red personalizada para su VPC. De forma predeterminada, una ACL de redque cree bloqueará todo el tráfico entrante y saliente hasta que añada reglas, y no se asociará a ningunasubred hasta que le asocie una de forma explícita.

Para crear una regla ACL de red

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Network ACLs.3. Elija Create Network ACL.4. En el cuadro de diálogo Create Network ACL (Crear ACL de red), puede asignar, de forma opcional,

un nombre a su ACL de red, y seleccionar el ID de su VPC en la lista VPC. Después seleccione Yes,Create (Sí, crear).

Adición y eliminación de reglasAl añadir o eliminar una regla de una ACL, las subredes asociadas a la ACL estarán sujetas a ese cambio.No tiene que terminar ni relanzar las instancias de la subred. Los cambios surten efecto después de uncorto período de tiempo.

Si va a utilizar la API de Amazon EC2 o una herramienta de línea de comandos, no podrá modificar reglas.Sólo puede agregar y eliminar reglas. Si utiliza la consola de Amazon VPC, puede modificar las entradasde las reglas existentes. La consola elimina la regla existente y añade una regla nueva. Si necesitacambiar el orden de una regla en la ACL, deberá añadir una regla nueva con el número de la regla nueva,y luego eliminar la regla original.

Para añadir reglas a una ACL de red

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Network ACLs.3. En el panel de detalles, elija la pestaña Inbound Rules o Outbound Rules, según el tipo de regla que

necesite añadir, y luego elija Edit.4. En Rule #, escriba un número de regla (por ejemplo, 100). El número de regla no debe estar ya en uso

en la ACL de red. Las reglas se procesan por orden, empezando por el número más bajo.

184





Amazon Virtual Private Cloud Guía del usuarioUso de ACL de red

Recomendamos dejar espacios entre los números de regla (como 100, 200, 300), en lugar de utilizarnúmeros secuenciales, (101, 102, 103). Esto le facilitará el añadir reglas nuevas sin tener quereenumerar las existentes.

5. Seleccione una regla de la lista Type. Por ejemplo, para añadir una regla para HTTP, elija HTTP. Paraañadir una regla para permitir todo el tráfico TCP, elija All TCP. Para algunas de estas opciones (porejemplo, HTTP), completaremos el puerto por usted. Para utilizar un protocolo que no aparezca en lalista, elija Custom Protocol Rule.

6. (Opcional) Si va a crear una regla de protocolo personalizada, seleccione el número de protocolo yasígnele un nombre en la lista Protocol. Para obtener más información, consulte IANA List of ProtocolNumbers.

7. (Opcional) Si el protocolo que ha seleccionado requiere un número de puerto, escriba el número depuerto o el rango de puertos separados por un guion (por ejemplo, 49152-65535).

8. En el campo Source o Destination (en función de si se trata de una regla entrante o saliente), escribael rango de CIDR al que se aplica la regla.

9. En la lista Allow/Deny, seleccione ALLOW para permitir el tráfico especificado, o DENY para denegarel tráfico especificado.

10. (Opcional) Para añadir otra regla, elija Add another rule y repita los pasos del 4 al 9 según seanecesario.

11. Cuando haya terminado, elija Save.

Para eliminar una regla de una ACL de red

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Network ACLs y, a continuación, seleccione la ACL de red.3. En el panel de detalles, seleccione la pestaña Inbound Rules o Outbound Rules y, a continuación, elija

Edit. Elija Remove para la regla que desea eliminar y, a continuación, elija Save.

Asociación de una subred a una ACL de redPara aplicar las reglas de una ACL de red a una subred en particular, debe asociar la subred a la ACL dered. Puede asociar una ACL de red con varias subredes. Sin embargo, una subred sólo puede asociarse auna ACL de red. Las subredes no asociadas a una ACL concreta se asociarán automáticamente a la ACLde red predeterminada.

Para asociar una subred a una ACL de red

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Network ACLs y, a continuación, seleccione la ACL de red.3. En el panel de detalles, en la pestaña Subnet Associations, elija Edit. Active la casilla de verificación

Associate para la subred que desee asociar a la ACL de red y, a continuación, elija Save.

Anulación de la asociación de una ACL de red a una subredPuede desasociar una ACL de red personalizada de una subred. Cuando se ha desasociado la subred dela ACL de red personalizada, se asocia automáticamente a la ACL de red predeterminada.

Para anular la asociación de una subred a una ACL de red


185






Amazon Virtual Private Cloud Guía del usuarioEjemplo: control del acceso a las instancias en una subred

2. En el panel de navegación, elija Network ACLs y, a continuación, seleccione la ACL de red.3. En el panel de detalles, elija la pestaña Subnet Associations.4. Elija Edit y anule la selección de la casilla de verificación Associate para la subred. Seleccione Save

(Guardar).

Cambio de la ACL de red de una subredPuede cambiar la ACL de red asociada a una subred. Por ejemplo, al crear una subred, esta se asociainicialmente a la ACL de red predeterminada. Puede que desee, en su lugar, asociarla a una ACL de redpersonalizada que ha creado.

Después de cambiar la ACL de red de una subred, no tiene que terminar ni relanzar las instancias de lasubred. Los cambios surten efecto después de un corto período de tiempo.

Para cambiar la asociación de una ACL de red a una subred

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Subnets y, a continuación, seleccione la subred.3. Elija la pestaña Network ACL y, a continuación, elija Edit.4. En la lista Change to (Cambiar a), seleccione la ACL de red con la que asociar la subred y, a

continuación, elija Save (Guardar).

Eliminación de una ACL de redLa ACL de red solo se puede eliminar si no tiene subredes asociadas. La ACL de red predeterminada nose puede eliminar.

Para eliminar una ACL de red

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Network ACLs.3. Seleccione la ACL de red y elija Delete.4. En el cuadro de diálogo de confirmación, elija Yes, Delete.

Ejemplo: control del acceso a las instancias en unasubredEn este ejemplo, las instancias de su subred se pueden comunicar entre sí, y se puede obtener accesoa ellas desde un equipo remoto de confianza. El equipo remoto puede ser un equipo en la red local ouna instancia en una subred o VPC diferente. Se utiliza para conectarse a las instancias para realizartareas administrativas. Las reglas de su grupo de seguridad y de ACL de red permiten el acceso desde ladirección IP de su equipo remoto (172.31.1.2/32). El resto del tráfico de Internet u otras redes se deniega.

186




Todas las instancias utilizan el mismo grupo de seguridad (sg-1a2b3c4d), con las reglas siguientes.

Reglas entrantes

Tipo de protocolo Protocolo Rango de puertos Fuente Comentarios

Todo el tráfico Todo Todo sg-1a2b3c4d Permite quelas instanciasasociadas almismo grupode seguridad secomuniquen entresí.

SSH TCP 22 172.31.1.2/32 Permite al SSHentrante obteneracceso desde elequipo remoto.Si la instanciaes un equipo deWindows, estaregla debe utilizarel protocolo RDPpara el puerto3389 en su lugar.

Reglas salientes

Tipo de protocolo Protocolo Rango de puertos Destino Comentarios

Todo el tráfico Todo Todo sg-1a2b3c4d Permite quelas instanciasasociadas al

187


mismo grupode seguridad secomuniquen entresí. Los grupos deseguridad songrupos con estado.Por tanto nonecesita una reglaque permita tráficode respuestapara solicitudesentrantes.

La subred está asociada a una ACL de red con las siguientes reglas:

Reglas entrantes



Comentarios

100 SSH TCP 22 172.31.1.2/32 PERMITIR Permiteal tráficoentranteobteneraccesodesde elequiporemoto. Sila instanciaes un equipode Windows,esta regladebe utilizarel protocoloRDP para elpuerto 3389en su lugar.

* Todo eltráfico

Todo Todos 0.0.0.0/0 DENEGAR Deniegatodo el restode tráficoentrante queno coincidacon la reglaanterior.

Reglas salientes



Comentarios


TCP 1024 -65535

172.31.1.2/32 PERMITIR Permite lasrespuestassalientesal equiporemoto.Las ACL

188


de red sonsin estado.Por lo queesta reglaes necesariapara permitirel tráfico derespuestaparasolicitudesentrantes.

* Todo eltráfico

Todo Todos 0.0.0.0/0 DENEGAR Deniegatodo el restodel tráficosaliente queno coincidacon la reglaanterior.

Este escenario le proporciona la flexibilidad necesaria para cambiar los grupos de seguridad o las reglasde grupos de seguridad de sus instancias, así como para tener la ACL de red como capa de copia deseguridad de defensa. Las reglas de ACL de red se aplican a todas las instancias de la subred. Encaso de crear por error reglas de grupos de seguridad demasiado permisivas, las reglas de ACL de redseguirán permitiendo el acceso solo desde la dirección IP única. Por ejemplo, las siguientes reglas sonmás permisivas que las reglas anteriores: permiten el acceso al SSH entrante desde cualquier dirección IP.

Reglas entrantes

Tipo Protocolo Rango de puertos Fuente Comentarios

Todo el tráfico Todo Todo sg-1a2b3c4d Permite quelas instanciasasociadas almismo grupode seguridad secomuniquen entresí.

SSH TCP 22 0.0.0.0/0 Permite el accesoal SSH desdecualquier direcciónIP.

Reglas salientes

Tipo Protocolo Rango de puertos Destino Comentarios

Todo el tráfico Todo Todos 0.0.0.0/0 Permite todo eltráfico saliente.

Sin embargo, solo las demás instancias en la subred y su equipo remoto podrán obtener acceso a estainstancia. Las reglas de ACL de red siguen impidiendo todo el tráfico entrante a la subred, excepto desdesu equipo remoto.

189

Amazon Virtual Private Cloud Guía del usuarioInformación general de API y comandos


Creación de una ACL de red para su VPC

• create-network-acl (AWS CLI)• New-EC2NetworkAcl (Herramientas de AWS para Windows PowerShell)

Descripción de una o varias de sus ACL de red

• describe-network-acls (AWS CLI)• Get-EC2NetworkAcl (Herramientas de AWS para Windows PowerShell)

Adición de una regla a una ACL de red

• create-network-acl-entry (AWS CLI)• New-EC2NetworkAclEntry (Herramientas de AWS para Windows PowerShell)

Eliminación de una regla de una ACL de red

• delete-network-acl-entry (AWS CLI)• Remove-EC2NetworkAclEntry (Herramientas de AWS para Windows PowerShell)

Sustitución de una regla existente en una ACL de red

• replace-network-acl-entry (AWS CLI)• Set-EC2NetworkAclEntry (Herramientas de AWS para Windows PowerShell)

Sustitución de una asociación de ACL de red

• replace-network-acl-association (AWS CLI)• Set-EC2NetworkAclAssociation (Herramientas de AWS para Windows PowerShell)

Eliminación de una ACL de red

• delete-network-acl (AWS CLI)• Remove-EC2NetworkAcl (Herramientas de AWS para Windows PowerShell)

Prácticas recomendadas de seguridad de la VPCLas siguientes prácticas recomendadas son directrices generales y no suponen una solución de seguridadcompleta. Puesto que es posible que estas prácticas recomendadas no sean adecuadas o suficientes parael entorno, considérelas como consideraciones útiles en lugar de como normas.

Las siguientes son prácticas recomendadas generales:

• Utilice varias implementaciones de zonas de disponibilidad para disfrutar de una alta disponibilidad.

190

https://docs.aws.amazon.com/cli/latest/reference/ec2/create-network-acl.html

https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2NetworkAcl.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-network-acls.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2NetworkAcl.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/create-network-acl-entry.html

https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2NetworkAclEntry.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-network-acl-entry.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2NetworkAclEntry.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/replace-network-acl-entry.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Set-EC2NetworkAclEntry.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/replace-network-acl-association.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Set-EC2NetworkAclAssociation.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-network-acl.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2NetworkAcl.html

Amazon Virtual Private Cloud Guía del usuarioRecursos adicionales

• Utilice grupos de seguridad y ACL de red.• Utilice políticas de IAM para controlar el acceso.• Utilice Amazon CloudWatch para supervisar las VPC y las conexiones de VPN.• Al crear una lista de control de acceso a la red (ACL), numere las reglas para que tenga espacio para

adiciones. Por ejemplo, use 100, 200 y 300 como reglas. Para obtener más información, consulte thesection called “Reglas de ACL de red” (p. 176).

Recursos adicionales• Administre el acceso a los recursos y las API de AWS mediante las identidades federadas, los usuarios

de IAM y los roles de IAM. Defina políticas y procedimientos de administración de credenciales paracrear, distribuir, rotar y revocar credenciales de acceso de AWS. Para obtener más información, consultePrácticas recomendadas de IAM en la Guía del usuario de IAM.

• Para obtener respuestas a las preguntas frecuentes sobre seguridad de VPC, consulte las preguntasfrecuentes de Amazon VPC.

Reglas de ACL de red recomendadas para su VPCEl asistente de VPC le ayuda a implementar los escenarios de Amazon VPC más comunes. Al implementarestos escenarios tal como se describe en la documentación, se utiliza la lista de control de acceso (ACL)de red predeterminada, que permite todo el tráfico entrante y saliente. Si necesita una capa de seguridadadicional, puede crear una ACL de red y añadir reglas. Para obtener más información, consulte ACL dered (p. 175).

A continuación se describen las reglas recomendadas para cada escenario.

Consideraciones

• A modo de ejemplo, se utiliza el rango de puertos efímero 32768-65535 o el rango 1024-65535 para lagateway NAT. Debe seleccionar un rango adecuado a su configuración. Para obtener más información,consulte Puertos efímeros (p. 183).

• Si la unidad de transmisión máxima (MTU) entre los hosts de las subredes es diferente, debe añadirla siguiente regla, tanto de entrada como de salida. Esta garantiza que la detección de la MTU de laruta pueda funcionar correctamente y evita la pérdida de paquetes. Seleccione Custom ICMP Rule(Regla ICMP personalizada) para el tipo y Destination Unreachable (No se puede llegar al destino),fragmentation required (fragmentación obligatoria) y DF flag set (marca DF establecida) para el rango depuerto (tipo 3, código 4). Si utiliza el comando traceroute, añada también la siguiente regla: seleccioneCustom ICMP Rule (Regla ICMP personalizada) para el tipo y Time Exceeded (Tiempo superado), TTLexpired transit (TTL vencido en tránsito) para el rango de puerto (tipo 11, código 0). Para obtener másinformación, consulte Unidad de transmisión máxima (MTU) de red de la instancia EC2 en la Guía delusuario de Amazon EC2 para instancias de Linux.

Reglas recomendadas para una VPC con una únicasubred públicaUtilice estas reglas al elegir la opción del asistente de Consola de Amazon VPC para crear una únicasubred con instancias que pueden recibir y enviar tráfico de Internet. Para obtener más información,consulte VPC con una única subred pública (p. 22).

La tabla siguiente muestra las reglas que recomendamos. Las reglas bloquean todo el tráfico excepto elexplícitamente necesario.

191

https://docs.aws.amazon.com/IAM/latest/UserGuide/IAMBestPractices.html

https://aws.amazon.com/vpc/faqs/

https://aws.amazon.com/vpc/faqs/

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/network_mtu.html

Amazon Virtual Private Cloud Guía del usuarioReglas recomendadas para una

VPC con una única subred pública

Inbound

Rule # Source IP Protocol Port Allow/Deny Comments

100 0.0.0.0/0 TCP 80 PERMITIR Permite el tráfico HTTPentrante de cualquierdirección IPv4.

110 0.0.0.0/0 TCP 443 PERMITIR Permite el tráfico HTTPSentrante de cualquierdirección IPv4.

120 Rango dedireccionesIPv4públicasde la reddoméstica

TCP 22 PERMITIR Permite el tráfico SSHentrante de su reddoméstica (a través de lagateway de Internet).


TCP 3389 PERMITIR Permite el tráfico RDPentrante de su reddoméstica (a través de lagateway de Internet).

140 0.0.0.0/0 TCP 32768-65535 PERMITIR Permite el tráfico de retornoentrante de hosts deInternet que respondena las solicitudes que seoriginan en la subred.

Este rango se proporcionasolo como ejemplo. Paraobtener información acercade la elección de los puertosefímeros correctos parasu configuración, consultePuertos efímeros (p. 183).

* 0.0.0.0/0 Todos Todos DENEGAR Deniega todo el tráfico IPv4entrante no controlado porninguna regla precedente(no modificable).

Outbound

Rule # Dest IP Protocol Port Allow/Deny Comments

100 0.0.0.0/0 TCP 80 PERMITIR Permite el tráfico HTTPsaliente de la subred aInternet.

110 0.0.0.0/0 TCP 443 PERMITIR Permite el tráfico HTTPSsaliente de la subred aInternet.

120 0.0.0.0/0 TCP 32768-65535 PERMITIR Permite las respuestassalientes a clientes de

192

Amazon Virtual Private Cloud Guía del usuarioReglas recomendadas para una

VPC con una única subred pública

Internet (por ejemplo,al ofrecer páginas weba usuarios que visitanlos servidores web de lasubred).


* 0.0.0.0/0 Todos Todos DENEGAR Deniega todo el tráfico IPv4saliente no controlado porninguna regla precedente(no modificable).

Reglas recomendadas para el tráfico IPv6Si implementó la compatibilidad con el tráfico IPv6 y creó una VPC y una subred con bloques de CIDRIPv6 asociados, deberá añadir reglas separadas a las ACL de red para controlar el tráfico IPv6 entrante ysaliente.

A continuación se detallan las reglas específicas de tráfico IPv6 para las ACL de red (adicionales a lasreglas anteriores).

Inbound


150 ::/0 TCP 80 PERMITIR Permite el tráfico HTTPentrante de cualquierdirección IPv6.

160 ::/0 TCP 443 PERMITIR Permite el tráfico HTTPSentrante de cualquierdirección IPv6.

170 Rango dedireccionesIPv6 dela reddoméstica




190 ::/0 TCP 32768-65535 PERMITIR Permite el tráfico de retornoentrante de hosts deInternet que respondena las solicitudes que seoriginan en la subred.

193

Amazon Virtual Private Cloud Guía del usuarioReglas recomendadas para una VPC

con subredes públicas y privadas (NAT)


* ::/0 Todos Todos DENEGAR Deniega todo el tráfico IPv6entrante no controlado porninguna regla precedente(no modificable).

Outbound


130 ::/0 TCP 80 PERMITIR Permite el tráfico HTTPsaliente de la subred aInternet.

140 ::/0 TCP 443 PERMITIR Permite el tráfico HTTPSsaliente de la subred aInternet.

150 ::/0 TCP 32768-65535 PERMITIR Permite las respuestassalientes a clientes deInternet (por ejemplo,al ofrecer páginas weba usuarios que visitanlos servidores web de lasubred).


* ::/0 Todos Todos DENEGAR Deniega todo el tráfico IPv6saliente no controlado porninguna regla precedente(no modificable).

Reglas recomendadas para una VPC con subredespúblicas y privadas (NAT)Utilice estas reglas al elegir la opción del asistente de Consola de Amazon VPC para crear una subredpública con instancias capaces de recibir y enviar tráfico, así como una subred privada que no puederecibir tráfico directamente de Internet. Sin embargo, sí que puede iniciar tráfico en Internet (y recibirrespuestas) a través de una gateway NAT o instancia NAT en la subred pública. Para obtener másinformación, consulte VPC con subredes privadas y públicas (NAT) (p. 27).

194



Para este escenario, dispondrá de una ACL de red para la subred pública y una ACL de red distinta parala subred privada. La tabla siguiente muestra las reglas que recomendamos para cada ACL. Las reglasbloquean todo el tráfico excepto el explícitamente necesario. Estas reglas imitan en gran medida las reglasdel grupo de seguridad para el escenario.

Reglas de ACL para la subred pública

Inbound


100 0.0.0.0/0 TCP 80 PERMITIR Permite el tráfico HTTPentrante de cualquierdirección IPv4.

110 0.0.0.0/0 TCP 443 PERMITIR Permite el tráfico HTTPSentrante de cualquierdirección IPv4.

120 Rango dedireccionesIP públicasde la reddoméstica


130 Rango dedireccionesIP públicasde la reddoméstica


140 0.0.0.0/0 TCP 1024 -65535

PERMITIR Permite el tráfico de retornoentrante de hosts deInternet que respondena las solicitudes que seoriginan en la subred.



Outbound



195




120 10.0.1.0/24 TCP 1433 PERMITIR Permite el acceso deMS SQL saliente a losservidores de bases dedatos de la subred privada.

Este número de puertose proporciona solo comoejemplo. Otros ejemplosincluyen el número depuerto 3306 para el accesode MySQL/Aurora, elnúmero 5432 para el accesode PostgreSQL, el número5439 para el acceso deAmazon Redshift o elnúmero 1521 para el accesode Oracle.

140 0.0.0.0/0 TCP 32768-65535 PERMITIR Permite las respuestassalientes a clientes deInternet (por ejemplo,al ofrecer páginas weba usuarios que visitanlos servidores web de lasubred).


150 10.0.1.0/24 TCP 22 PERMITIR Permite el acceso SSHsaliente a las instancias desu subred privada (desde unbastión SSH, si es su caso).


Reglas de ACL para la subred privada

Inbound


100 10.0.0.0/24 TCP 1433 PERMITIR Permite a los servidoresweb de la subred públicarealizar operaciones de

196



lectura y escritura enservidores de MS SQL de lasubred privada.


120 10.0.0.0/24 TCP 22 PERMITIR Permite el tráfico SSHentrante de un bastión SSHen la subred pública (si essu caso).

130 10.0.0.0/24 TCP 3389 PERMITIR Permite el tráfico RDPentrante de una gateway deMicrosoft Terminal Servicesen la subred pública.

140 0.0.0.0/0 TCP 1024 -65535

PERMITIR Permite el tráfico de retornoentrante del dispositivo NATde la subred pública desolicitudes que se originanen la subred privada.

Para obtener informaciónacerca de la especificaciónde los puertos efímeroscorrectos, consulte lanota importante que seproporciona al principio deeste tema.


Outbound




197



120 10.0.0.0/24 TCP 32768-65535 PERMITIR Permite las respuestassalientes a la subred pública(por ejemplo, respuestas aservidores web de la subredpública que se comunicancon servidores de bases dedatos de la subred privada).



Reglas recomendadas para el tráfico IPv6Si implementó la compatibilidad con el tráfico IPv6 y creó una VPC y subredes con bloques de CIDRIPv6 asociados, deberá añadir reglas separadas a las ACL de red para controlar el tráfico IPv6 entrante ysaliente.

A continuación se detallan las reglas específicas de tráfico IPv6 para las ACL de red (adicionales a lasreglas descritas anteriormente).


Inbound





TCP 22 PERMITIR Permite el tráfico SSHentrante a través de IPv6 desu red doméstica (a travésde la gateway de Internet).


TCP 3389 PERMITIR Permite el tráfico RDPentrante a través de IPv6 desu red doméstica (a travésde la gateway de Internet).

190 ::/0 TCP 1024 -65535

PERMITIR Permite el tráfico de retornoentrante de hosts de

198



Internet que respondena las solicitudes que seoriginan en la subred.



Outbound




180 2001:db8:1234:1a01::/64TCP 1433 PERMITIR Permite el acceso deMS SQL saliente a losservidores de bases dedatos de la subred privada.


199





210 2001:db8:1234:1a01::/64TCP 22 PERMITIR Permite el acceso SSHsaliente a las instancias desu subred privada (desde unbastión SSH, si es su caso).


Reglas de ACL para la subred privada

Inbound


150 2001:db8:1234:1a00::/64TCP 1433 PERMITIR Permite a los servidoresweb de la subred públicarealizar operaciones delectura y escritura enservidores de MS SQL de lasubred privada.


170 2001:db8:1234:1a00::/64TCP 22 PERMITIR Permite el tráfico SSHentrante de un bastión SSHen la subred pública (siprocede).

200



180 2001:db8:1234:1a00::/64TCP 3389 PERMITIR Permite el tráfico RDPentrante de una gateway deMicrosoft Terminal Servicesen la subred pública, siprocede.

190 ::/0 TCP 1024 -65535

PERMITIR Permite el tráfico de retornoentrante de la gateway deInternet de solo salida desolicitudes que se originanen la subred privada.



Outbound




150 2001:db8:1234:1a00::/64TCP 32768-65535 PERMITIR Permite las respuestassalientes a la subred pública(por ejemplo, respuestas aservidores web de la subredpública que se comunicancon servidores de bases dedatos de la subred privada).



201

Amazon Virtual Private Cloud Guía del usuarioReglas recomendadas para una VPC con subredes

públicas y privadas y acceso de AWS Site-to-Site VPN

Reglas recomendadas para una VPC con subredespúblicas y privadas y acceso de AWS Site-to-Site VPNUtilice estas reglas al elegir la opción del asistente de Consola de Amazon VPC para crear una subredpública con instancias capaces de recibir y enviar tráfico de Internet, así como una subred de solo VPN coninstancias que solo pueden comunicarse con su red doméstica a través de la conexión de AWS Site-to-SiteVPN. Para obtener más información, consulte VPC con subredes públicas y privadas y acceso de AWSSite-to-Site VPN (p. 37).

Para este escenario, dispondrá de una ACL de red para la subred pública y una ACL de red distinta para lasubred de solo VPN. La tabla siguiente muestra las reglas que recomendamos para cada ACL. Las reglasbloquean todo el tráfico excepto el explícitamente necesario.


Inbound


100 0.0.0.0/0 TCP 80 PERMITIR Permite el tráfico HTTPentrante a los servidoresweb desde cualquierdirección IPv4.

110 0.0.0.0/0 TCP 443 PERMITIR Permite el tráfico HTTPSentrante a los servidoresweb desde cualquierdirección IPv4.


TCP 22 PERMITIR Permite el tráfico SSHentrante a los servidoresweb desde su reddoméstica (a través de lagateway de Internet).


TCP 3389 PERMITIR Permite el tráfico RDPentrante a los servidoresweb desde su reddoméstica (a través de lagateway de Internet).

140 0.0.0.0/0 TCP 32768-65535 PERMITIR Permite el tráfico de retornoentrante de hosts deInternet que respondena las solicitudes que seoriginan en la subred.


202




Outbound




120 10.0.1.0/24 TCP 1433 PERMITIR Permite el acceso deMS SQL saliente a losservidores de bases dedatos de la subred de soloVPN.


140 0.0.0.0/0 TCP 32768-65535 PERMITIR Permite las respuestasIPv4 salientes a clientesde Internet (por ejemplo,al ofrecer páginas weba usuarios que visitanlos servidores web de lasubred).


* 0.0.0.0/0 Todos Todos DENEGAR Deniega todo el tráficosaliente no controlado porninguna regla precedente(no modificable).

203



Configuración de ACL para la subred de solo VPN

Inbound


100 10.0.0.0/24 TCP 1433 PERMITIR Permite a los servidoresweb de la subred públicarealizar operaciones delectura y escritura enservidores de MS SQL de lasubred de solo VPN.


120 Rango dedireccionesIPv4privadasde la reddoméstica

TCP 22 PERMITIR Permite el tráfico SSHentrante de la red doméstica(a través de la gatewayprivada virtual).

130 Rango dedireccionesIPv4privadasde la reddoméstica

TCP 3389 PERMITIR Permite el tráfico RDPentrante de la red doméstica(a través de la gatewayprivada virtual).

140 Rango dedireccionesIP privadasde la reddoméstica

TCP 32768-65535 PERMITIR Permite el tráfico de retornoentrante de clientes de lared doméstica (a través dela gateway privada virtual).


* 0.0.0.0/0 Todos Todos DENEGAR Deniega todo el tráficoentrante no controlado porninguna regla precedente(no modificable).

Outbound

204





Todos Todos PERMITIR Permite todo el tráficosaliente de la subred a sured doméstica (a través dela gateway privada virtual).Esta regla también abarcala regla 120. Sin embargo,puede hacer que esta reglasea más restrictiva si usaun número de puerto y untipo de protocolo específico.Si opta por hacer que estaregla sea más restrictiva,deberá incluir la regla 120en el ACL de red paraasegurarse de que no sebloqueen las respuestassalientes.

110 10.0.0.0/24 TCP 32768-65535 PERMITIR Permite las respuestassalientes a los servidoresweb de la subred pública.



TCP 32768-65535 PERMITIR Permite las respuestassalientes a clientes de la reddoméstica (a través de lagateway privada virtual).



Reglas recomendadas para el tráfico IPv6Si implementó la compatibilidad con el tráfico IPv6 y creó una VPC y subredes con bloques de CIDRIPv6 asociados, deberá añadir reglas separadas a las ACL de red para controlar el tráfico IPv6 entrante ysaliente.

205



A continuación se detallan las reglas específicas de tráfico IPv6 para las ACL de red (adicionales a lasreglas descritas anteriormente).


Inbound





TCP 22 PERMITIR Permite el tráfico SSHentrante a través de IPv6 desu red doméstica (a travésde la gateway de Internet).


TCP 3389 PERMITIR Permite el tráfico RDPentrante a través de IPv6 desu red doméstica (a travésde la gateway de Internet).

190 ::/0 TCP 1024 -65535

PERMITIR Permite el tráfico de retornoentrante de hosts deInternet que respondena las solicitudes que seoriginan en la subred.



Outbound




206



170 2001:db8:1234:1a01::/64TCP 1433 PERMITIR Permite el acceso deMS SQL saliente a losservidores de bases dedatos de la subred privada.





Reglas de ACL para la subred de solo VPN

Inbound


150 2001:db8:1234:1a00::/64TCP 1433 PERMITIR Permite a los servidoresweb de la subred públicarealizar operaciones delectura y escritura enservidores de MS SQL de lasubred privada.

Este número de puertose proporciona solo comoejemplo. Otros ejemplosincluyen el número depuerto 3306 para el acceso

207

Amazon Virtual Private Cloud Guía del usuarioReglas recomendadas para una VPC con una únicasubred privada y acceso a AWS VPN de sitio a sitio

de MySQL/Aurora, elnúmero 5432 para el accesode PostgreSQL, el número5439 para el acceso deAmazon Redshift o elnúmero 1521 para el accesode Oracle.


Outbound


130 2001:db8:1234:1a00::/64TCP 32768-65535 PERMITIR Permite las respuestassalientes a la subred pública(por ejemplo, respuestas aservidores web de la subredpública que se comunicancon servidores de bases dedatos de la subred privada).



Reglas recomendadas para una VPC con una únicasubred privada y acceso a AWS VPN de sitio a sitioUtilice estas reglas al elegir la opción del asistente de Consola de Amazon VPC para crear una únicasubred con instancias que solo pueden comunicarse con su red doméstica a través de una conexión deAWS Site-to-Site VPN. Para obtener más información, consulte VPC solo con una subred privada y accesode AWS Site-to-Site VPN (p. 46).

La tabla siguiente muestra las reglas que recomendamos. Las reglas bloquean todo el tráfico excepto elexplícitamente necesario.

Inbound


100 Rango dedireccionesIP privadas

TCP 22 PERMITIR Permite el tráfico SSHentrante a la subred desdesu red doméstica.

208


de la reddoméstica


TCP 3389 PERMITIR Permite el tráfico RDPentrante a la subred desdesu red doméstica.


TCP 32768-65535 PERMITIR Permite el tráfico de retornoentrante desde solicitudesque se originan en lasubred.


* 0.0.0.0/0 Todos Todos DENEGAR Deniega todo el tráficoentrante no controlado porninguna regla precedente(no modificable).

Outbound



Todos Todos PERMITIR Permite todo el tráficosaliente desde la subreda su red doméstica. Estaregla también abarca laregla 120. Sin embargo,puede hacer que esta reglasea más restrictiva si usaun número de puerto y untipo de protocolo específico.Si opta por hacer que estaregla sea más restrictiva,deberá incluir la regla 120en el ACL de red paraasegurarse de que no sebloqueen las respuestassalientes.

209



TCP 32768-65535 PERMITIR Permite las respuestassalientes a los clientes de lared doméstica.



Reglas recomendadas para el tráfico IPv6Si implementó el escenario 4 con compatibilidad con el tráfico IPv6 y creó una VPC y una subred conbloques de CIDR IPv6 asociados, deberá añadir reglas separadas a las ACL de red para controlar el tráficoIPv6 entrante y saliente.

En este escenario, los servidores de bases de datos no están disponibles a través de la comunicación deVPN mediante IPv6, por lo que no son necesarias reglas de ACL de red adicionales. A continuación sedescriben las reglas predeterminadas que deniegan el tráfico IPv6 hacia la subred y procedente de esta.

Reglas de ACL para la subred de solo VPN

Inbound



Outbound



210

Amazon Virtual Private Cloud Guía del usuarioInterfaces de red

Componentes de redes de VPCPuede utilizar los siguientes componentes para configurar las redes en su VPC:

Componentes de redes

• Interfaces de red (p. 211)• Tablas de ruteo (p. 212)• Gateways de Internet (p. 233)• Gateways de Internet de solo salida (p. 239)• Conjuntos de opciones de DHCP (p. 271)• DNS (p. 276)• Direcciones IP elásticas (p. 281)• NAT (p. 242)• Interconexión de VPC (p. 280)• ClassicLink (p. 284)

Interfaces de redes elásticasUna interfaz de red elástica (en esta documentación denominada interfaz de red) es una interfaz de redvirtual que puede incluir los atributos siguientes:

• Una dirección IPv4 privada principal• Una o varias direcciones IPv4 privadas secundarias• Una dirección IP elástica por dirección IPv4 privada• Una dirección IPv4 pública, que puede asignarse automáticamente a la interfaz de red para eth0 al

lanzar la instancia• Una o varias direcciones IPv6• Uno o varios grupos de seguridad• Una dirección MAC• Una marca de comprobación de origen/destino• Una descripción

Puede crear una interfaz de red, adjuntarla a una instancia y separarla y adjuntarla a otra instancia. Losatributos de una interfaz de red le siguen cuando se adjuntan y separan de una instancia y se vuelven aadjuntar a otra instancia. Cuando mueve una interfaz de red de una instancia a otra, el tráfico de la red seredirige a la nueva instancia.

Cada instancia de su VPC tiene una interfaz de red predeterminada (interfaz de red principal) que tieneasignada una dirección IPv4 privada del rango de direcciones IPv4 de su VPC. No se puede separar unainterfaz de red principal de una instancia. Puede crear y adjuntar una interfaz de red adicional a cualquierinstancia de su VPC. El número total de interfaces de red que puede adjuntar varía en función del tipo deinstancia. Para obtener más información, consulte Direcciones IP por interfaz de red por tipo de instanciaen la Guía del usuario de Amazon EC2 para instancias de Linux.

Adjuntar varias interfaces de red a una instancia es útil cuando quiere:

• Crear una red de administración.• Usar dispositivos de seguridad y redes en la VPC.

211


Amazon Virtual Private Cloud Guía del usuarioTablas de ruteo

• Crear instancias de doble alojamiento con cargas de trabajo/funciones en subredes diferentes.• Crear una solución de bajo presupuesto y elevada disponibilidad.

Para obtener más información acerca de las interfaces de red e instrucciones acerca de su uso con laconsola de Amazon EC2, consulte Interfaces de redes elásticas en la Guía del usuario de Amazon EC2para instancias de Linux.

Tablas de ruteoLas tablas de ruteo contienen conjuntos de reglas, denominadas rutas, que se usan para determinaradónde se dirige el tráfico de red desde su subred o gateway.

Contenido• Conceptos de las tablas de ruteo (p. 212)• Cómo funcionan las tablas de ruteo (p. 212)• Prioridad de ruta (p. 218)• Opciones de direccionamiento (p. 219)• Uso de las tablas de ruteo (p. 226)

Conceptos de las tablas de ruteoA continuación se enumeran los conceptos clave de las tablas de ruteo.

• Tabla de ruteo principal: la tabla de ruteo que viene de forma automática con su VPC. Controla eldireccionamiento de todas las subredes que no están explícitamente asociadas a ninguna otra tabla deruteo.

• Tabla de ruteo personalizada: una tabla de ruteo que se crea para la VPC.• Asociación perimetral : tabla de ruteo que se utiliza para dirigir el tráfico de VPC entrante a un

dispositivo. Asocie una tabla de ruteo a la gateway de Internet o a la gateway privada virtual yespecifique la interfaz de red del dispositivo como objetivo para el tráfico de la VPC.

• Asociación de tabla de ruteo: la asociación entre una tabla de ruteo y una subred, gateway de Internet ogateway privada virtual.

• Tabla de ruteo de subred: una tabla de ruteo asociada a una subred.• Tabla de ruteo de gateway: tabla de ruta asociada a una gateway de Internet o gateway privada virtual.• Tabla de ruteo de gateway local: una tabla de ruteo asociada a una gateway local de Outpost. Para

obtener más información sobre las gateways locales, consulte Gateways locales en la Guía del usuariode AWS Outposts.

• Destino: el CIDR de destino al que desea que vaya su tráfico. Por ejemplo, una red corporativa externacon un CIDR 172.16.0.0/12.

• Objetivo: objetivo a través del cual se envía el tráfico de destino. Por ejemplo, una gateway de Internet.• Ruta local: ruta predeterminada para la comunicación dentro de la VPC.

Cómo funcionan las tablas de ruteoSu VPC tiene un enrutador implícito y utiliza las tablas de ruteo para controlar dónde se dirige el tráfico dered. Cada subred de la VPC debe estar asociada a una tabla de ruteo que controla el direccionamientode la subred (tabla de ruteo de la subred). Puede asociar de forma explícita una subred con una tabla deruteo particular. De lo contrario, la subred se asocia de forma implícita con la tabla de ruteo principal. La

212


https://docs.aws.amazon.com/outposts/latest/userguide/outposts-local-gateways.html

Amazon Virtual Private Cloud Guía del usuarioCómo funcionan las tablas de ruteo

subred solo puede asociarse a una tabla de ruteo a la vez. Sin embargo, puede asociar varias subredes ala misma tabla de ruteo de la subred.

Puede asociar de forma opcional una tabla de ruteo a una gateway de Internet o a una gateway privadavirtual (tabla de ruteo de gateway). Esto le permite especificar reglas de direccionamiento para el tráficoque entra en su VPC a través de la gateway. Para obtener más información, consulte Tablas de ruteo degateway (p. 217).

Existe una cuota en el número de tablas de ruteo que puede crear por VPC. Existe también una cuota enel número de rutas que puede añadir por tabla de ruteo. Para obtener más información, consulte Cuotas deAmazon VPC (p. 342).

Temas• Rutas (p. 213)• Tabla de ruteo principal (p. 214)• Tablas de ruteo personalizadas (p. 214)• Asociar una subred a la tabla de ruteo (p. 214)• Tablas de ruteo de gateway (p. 217)

RutasCada ruta en una tabla especifica un destino y un objetivo. Por ejemplo, para permitir que su subredacceda a Internet a través de una gateway de Internet, añada la siguiente ruta a su tabla de ruteo de lasubred.

Destino Objetivo

0.0.0.0/0 igw-12345678901234567

El destino de la ruta es 0.0.0.0/0, que representa todas las direcciones IPv4. El objetivo es la gatewayde Internet que se conecta a su VPC.

Los bloques de CIDR para las direcciones IPv4 e IPv6 se tratan de forma individual. Por ejemplo, una rutacon un CIDR de destino de 0.0.0.0/0 no incluye de forma automática todas las direcciones IPv6. Porello, debe crear una ruta con un CIDR de destino de ::/0 para todas las direcciones IPv6.

Cada tabla de ruteo contiene una ruta local para la comunicación con la VPC. Esta ruta se agrega de formapredeterminada a todas las tablas de ruteo. Si la VPC tiene varios bloques de CIDR IPv4, las tablas deruteo contienen una ruta local para CAD bloque de CIDR IPv4. Si ha asociado un bloque de CIDR IPv6 asu VPC, las tablas de ruteo contendrán una ruta local para el bloque de CIDR IPv6. No puede modificar nieliminar estas rutas en una tabla de ruteo de la subred o en la tabla de ruteo principal.

Para obtener más información acerca de las rutas y las rutas locales en una tabla de ruteo de la gateway,consulte Tablas de ruteo de gateway (p. 217).

Si su ruta tiene varias rutas, para determinar cómo dirigir tráfico, se utiliza la ruta más específica quecoincida con el tráfico en cuestión (coincidencia del prefijo más largo).

En el siguiente ejemplo, se ha asociado un bloque de CIDR IPv6 a su VPC. En su tabla de ruteo:

• El tráfico IPv6 destinado a permanecer en la VPC (2001:db8:1234:1a00::/56) se gestiona con laruta Local y se direcciona dentro de la VPC.

• El tráfico IPv4 e IPv6 se trata de manera individual; por lo tanto, todo el tráfico IPv6 (excepto el tráfico dela VPC) se direcciona a la gateway de Internet solo de salida.

• Hay una ruta para el tráfico IPv4 172.31.0.0/16 que apunta a una interconexión.

213


• Hay una ruta para todo el tráfico IPv4 (0.0.0.0/0) que apunta a una gateway de Internet.• Hay una ruta para todo el tráfico IPv6 (::/0) que apunta a una gateway de Internet de solo salida.

Destino Objetivo

10.0.0.0/16 Local

2001:db8:1234:1a00::/56 Local

172.31.0.0/16 pcx-11223344556677889

0.0.0.0/0 igw-12345678901234567

::/0 eigw-aabbccddee1122334

Tabla de ruteo principalAl crear una VPC, esta cuenta de manera automática con una tabla de ruteo principal. La tabla de ruteoprincipal controla el direccionamiento de todas las subredes que no están explícitamente asociadas aninguna otra tabla de ruteo. En la página Route Tables (Tablas de ruteo) de la consola de Amazon VPC,podrá ver la tabla de ruteo principal de las VPC si busca el valor Yes (Sí) en la columna Main (Principal).

De forma predeterminada, cuando se crea una VPC no predeterminada, la tabla de ruteo principalcontiene sólo una ruta local. Cuando utiliza el asistente de la VPC en la consola para crear una VPC nopredeterminada con una gateway NAT o una gateway privada virtual, el asistente añade de forma automática rutas a la tabla de ruteo principal para esas gateways.

De este modo, podrá añadir, quitar y modificar rutas en la tabla de ruteo principal. No puede crear una rutamás específica que la ruta local. No puede eliminar la tabla de ruteo principal, pero puede sustituir la tablade ruteo principal por una tabla de ruteo de la subred personalizada que haya creado. No puede estableceruna tabla de ruteo de gateway como la tabla de ruta principal.

También podrá asociar de manera explícita una subred a la tabla de ruteo principal incluso si yaestá asociada de manera implícita. Es posible que desee hacerlo si cambia qué tabla es la tabla deruteo principal. Cuando modifica la tabla que se considerará como tabla de ruteo principal, tambiénmodifica la opción predeterminada de las nuevas subredes adicionales o para las subredes que noestán explícitamente asociadas a ninguna otra tabla de ruteo. Para obtener más información, consulteSustitución de la tabla de ruteo principal (p. 230).

Tablas de ruteo personalizadasDe forma predeterminada, una tabla de ruteo personalizada está vacía y agrega rutas según seanecesario. Cuando utiliza el asistente de la VPC en la consola para crear una VPC con una gatewayde Internet, el asistente crea una tabla de ruteo personalizada y agrega una ruta a la gateway deInternet. Una forma de proteger la VPC es dejar la tabla de ruteo principal en su estado predeterminadooriginal. Después, asocie de forma explícita cada nueva subred que cree a una de las tablas de ruteopersonalizadas que haya creado. De este modo, se asegurará de que controla de manera explícita elmodo en que cada subred direcciona el tráfico.

De este modo, podrá añadir, quitar y modificar rutas en la tabla de ruteo personalizada. Sólo puedeeliminar una tabla de ruteo personalizada si no tiene asociaciones.

Asociar una subred a la tabla de ruteoCada subred de su VPC debe estar asociada a una tabla de ruteo. Una subred se puede asociar de formaexplícita a la tabla de ruteo personalizada o de manera implícita o explícita a la tabla de ruteo principal.

214


Para obtener más información sobre la visualización de las asociaciones de la subred y la tabla de ruteo,consulte Determinación de las subredes y/o gateways asociadas explícitamente a una tabla (p. 226).

Las subredes que se encuentran en VPC asociadas a Outposts pueden tener un tipo de objetivo adicionalde una gateway local. Esta es la única diferencia de direccionamiento con respecto a las subredes que noson de Outposts.

No se puede asociar una subred a una tabla de ruteo si se aplica alguna de las siguientes condiciones:

• La tabla de ruteo contiene una ruta existente que es más específica que la ruta local predeterminada.• Se ha sustituido el objetivo de la ruta local predeterminada.

Ejemplo 1: asociación implícita y explícita de la subred

El diagrama siguiente muestra el direccionamiento de una VPC con una gateway de Internet, una gatewayprivada virtual, una subred pública y una subred de solo VPN. La tabla de ruteo principal tiene una rutaa la gateway privada virtual. La subred pública tiene asociada de forma explícita una tabla de ruteopersonalizada. La tabla de ruteo personalizada tiene una ruta hacia Internet (0.0.0.0/0) a través de lagateway de Internet.

Si crea una nueva subred en esta VPC, esta se asociará automáticamente de forma implícita a la tabla deruteo principal que dirige tráfico a la gateway privada virtual. Si establece la configuración inversa (en laque la tabla de ruteo principal tiene una ruta a la gateway de Internet y la tabla de ruteo personalizada tieneuna ruta a la gateway privada virtual), la nueva subred tendría que disponer de manera automática de unaruta a la gateway de Internet.

Ejemplo 2: sustitución de la tabla de ruteo principal

215


Es posible que desee realizar cambios en la tabla de ruteo principal. Para evitar cualquier interrupciónen el tráfico, le recomendamos que pruebe primero los cambios de la ruta mediante una tabla de ruteopersonalizada. De este modo, cuando esté satisfecho con las pruebas, puede sustituir la tabla de ruteoprincipal con la nueva tabla personalizada.

El diagrama siguiente muestra una VPC con dos subredes asociadas de manera implícita a una tablade ruteo principal (tabla de ruteo A) y una tabla de ruteo personalizada (tabla de ruteo B) que no estáasociada a ninguna subred.

Puede crear una asociación explícita entre la subred 2 y la tabla de ruteo B.

Una vez probada la tabla de ruteo B, podrá convertirla en tabla de ruteo principal. Tenga en cuenta que lasubred 2 aún tiene una asociación explícita con la tabla de ruteo B y que la subred 1 tiene una asociaciónimplícita con la tabla de ruteo B porque es la nueva tabla de ruteo principal. La tabla de ruteo A ha dejadode utilizarse.

Si desasocia la subred 2 de la tabla de ruteo B, seguirá existiendo una asociación implícita entre la subred2 y la tabla de ruteo B. Por lo tanto, si ya no necesita la tabla de ruteo A, puede eliminarla.

216


Tablas de ruteo de gatewayPuede asociar una tabla de ruteo a una gateway de Internet o a una gateway privada virtual. Cuando unatabla de ruteo está asociada a una gateway, se denomina tabla de ruteo de gateway. Puede crear unatabla de ruteo de gateway para el control detallado de la vía de direccionamiento del tráfico que entra a suVPC. Por ejemplo, puede interceptar el tráfico que entra en la VPC a través de una gateway de Internetredirigiendo ese tráfico a un dispositivo de seguridad en la VPC.

Una tabla de ruteo de gateway admite rutas en las que el objetivo es local (la ruta local predeterminada)o una interfaz de red elástica (interfaz de red) en su VPC. Cuando el objetivo es una interfaz de red, sepermiten los siguientes destinos:

• Todo el bloque de CIDR IPv4 o IPv6 de su VPC. En este caso, sustituye el objetivo de la ruta localpredeterminada.

• Todo el bloque de CIDR IPv4 o IPv6 de una subred en su VPC. Es una ruta más específica que la rutapredeterminada local.

Si cambia el objetivo de la ruta local en una tabla de ruteo de gateway a una interfaz de red en su VPC,puede restaurarlo más adelante al objetivo local predeterminado. Para obtener más información,consulte Reemplazo y restauración del destino de una ruta local (p. 232).

No puede agregar rutas a ningún bloque de CIDR fuera de los rangos de la VPC, incluidos rangos mayoresque los bloques de CIDR de VPC individuales. No puede especificar ningún otro tipo de objetivos.

En la siguiente tabla de ruteo de gateway, el tráfico destinado a una subred con el bloque de CIDR172.31.0.0/20 se direcciona a una interfaz de red específica. El tráfico destinado a todas las demássubredes de la VPC utiliza la ruta local.

Destino Objetivo

172.31.0.0/16 Local

172.31.0.0/20 eni-id

En la siguiente tabla de ruteo de gateway, el objetivo de la ruta local se sustituye por un ID de interfaz dered. El tráfico destinado a todas las subredes de la VPC se direcciona a la interfaz de red.

Destino Objetivo

172.31.0.0/16 eni-id

217

Amazon Virtual Private Cloud Guía del usuarioPrioridad de ruta

No se puede asociar una tabla de ruteo con una gateway si se aplica alguna de las siguientes condiciones:

• La tabla de ruteo contiene rutas existentes con objetivos distintos a una interfaz de red o la ruta localpredeterminada.

• La tabla de ruteo contiene rutas existentes a los bloques de CIDR fuera de los rangos de la VPC.• La propagación de rutas está habilitada para la tabla de ruteo.

No puede utilizar una tabla de ruteo de gateway para controlar o interceptar el tráfico fuera de la VPC, porejemplo, el tráfico a través de una gateway de tránsito conectada. Puede interceptar el tráfico que entra enla VPC y redirigirlo a otro objetivo en la misma VPC solamente.

Para obtener más información y un ejemplo de direccionamiento para un dispositivo de seguridad, consulteDireccionamiento para un dispositivo middlebox en su VPC (p. 224).

Prioridad de rutaPara determinar cómo dirigir tráfico, se utiliza la ruta más específica de su tabla de ruteo que coincida conel tráfico en cuestión (coincidencia del prefijo más largo).

Las rutas a direcciones IPv4 e IPv6 o bloques de CIDR son independientes entre sí. Para determinar cómodirigir tráfico, se usa la ruta más específica que coincida con el tráfico de IPv4 o IPv6 en cuestión.

Por ejemplo, la siguiente tabla de ruteo de la subred tiene una ruta para el tráfico de Internet IPv4(0.0.0.0/0), que apunta a una gateway de Internet y una ruta para el tráfico IPv4 172.31.0.0/16 queapunta a una interconexión (pcx-11223344556677889). El tráfico de la subred cuyo destino sea el rangode direcciones IP 172.31.0.0/16 utiliza la interconexión, ya que esta ruta es más específica que la rutapara la gateway de Internet. El tráfico cuyo destino se encuentre en la VPC (10.0.0.0/16) se gestionacon la ruta Local y, por lo tanto, se direcciona dentro de la VPC. El resto de tráfico de la subred usa lagateway de Internet.

Destino Objetivo

10.0.0.0/16 Local

172.31.0.0/16 pcx-11223344556677889

0.0.0.0/0 igw-12345678901234567

Si ha asociado una gateway privada virtual a su VPC y ha habilitado la propagación de rutas en la tabla deruteo de la subred, las rutas que representen la conexión de Site-to-Site VPN aparecerán automáticamentecomo rutas propagadas en la tabla de ruteo. Si las rutas propagadas se superponen con rutas estáticasy no se puede aplicar la coincidencia con el prefijo de mayor longitud, las rutas estáticas tienen prioridadsobre las rutas propagadas. Para obtener más información, consulte Tablas de ruteo y prioridad de lasrutas de VPN en laGuía del usuario de AWS Site-to-Site VPN.

En este ejemplo, la tabla de ruteo tiene una ruta estática a una gateway de Internet (añadidamanualmente) y una ruta propagada a una gateway privada virtual. Ambas rutas tienen el destino172.31.0.0/24. En este caso, todo el tráfico con destino 172.31.0.0/24 se dirige a la gateway deInternet, ya que se trata de una ruta estática con prioridad sobre la ruta propagada.

Destino Objetivo

10.0.0.0/16 Local

218



Amazon Virtual Private Cloud Guía del usuarioOpciones de direccionamiento

Destino Objetivo

172.31.0.0/24 vgw-11223344556677889 (propagada)

172.31.0.0/24 igw-12345678901234567 (estática)

La misma regla se aplica si la tabla de ruteo contiene una ruta estática a cualquiera de los siguienteselementos:

• Gateway NAT• Interfaz de red• ID de instancia• Punto de enlace de la VPC de la gateway• Gateway de tránsito• Interconexión de VPC

Si los destinos de las rutas estáticas y propagadas son los mismos, la ruta estática tiene prioridad.

Opciones de direccionamientoLos temas siguientes describen el direccionamiento de gateways o conexiones específicas de su VPC.

Opciones• Direccionamiento a una gateway de Internet (p. 219)• Direccionamiento a un dispositivo NAT (p. 220)• Direccionamiento a una gateway privada virtual (p. 220)• Direccionamiento a una gateway local de AWS Outposts (p. 220)• Direccionamiento a una interconexión de VPC (p. 221)• Direccionamiento de ClassicLink (p. 222)• Direccionamiento a un punto de enlace de la VPC de la gateway (p. 223)• Direccionamiento a la gateway de Internet de solo salida (p. 223)• Direccionamiento para una gateway de tránsito (p. 223)• Direccionamiento para un dispositivo middlebox en su VPC (p. 224)

Direccionamiento a una gateway de InternetPuede convertir una subred en una subred pública añadiendo una ruta en su tabla de ruteo de la subredhacia una gateway de Internet. Para ello, cree y adjunte una gateway de Internet a su VPC. A continuación,añada una ruta con el destino 0.0.0.0/0 para el tráfico IPv4 o con el destino ::/0 para el tráfico IPv6,así como un objetivo para el ID de la gateway de Internet (igw-xxxxxxxxxxxxxxxxx).

Destino Objetivo

0.0.0.0/0 igw-id

::/0 igw-id

Para obtener más información, consulte Puertos de enlace a Internet (p. 233).

219


Direccionamiento a un dispositivo NATPara habilitar instancias en una subred privada para conectarse a Internet, puede crear una gateway NATo lanzar una instancia NAT en una subred pública. A continuación, agregue una ruta para la tabla de ruteode la subred privada que dirija el tráfico de Internet de IPv4 (0.0.0.0/0) al dispositivo NAT.

Destino Objetivo


También puede crear rutas más específicas a otros objetivos para evitar cargos innecesarios deprocesamiento de datos innecesarios por utilizar la gateway NAT o para dirigir el tráfico de forma privada.En el ejemplo siguiente, el tráfico de Amazon S3 (pl-xxxxxxxx; un intervalo de direcciones IP específicopara Amazon S3) se dirige al punto de enlace de la VPC de la gateway y el tráfico 10.25.0.0/16 se dirige auna interconexión de VPC. Los rangos de direcciones IP pl-xxxxxxxx y 10.25.0.0/16 son más específicosque 0.0.0.0/0. Cuando las instancias envían tráfico a Amazon S3 o a la VPC del mismo nivel, el tráfico seenvía punto de enlace de la VPC de la gateway o a la interconexión de VPC. El resto del tráfico se envía ala gateway NAT.

Destino Objetivo


pl-xxxxxxxx vpce-id

10.25.0.0/16 pcx-id

Para obtener más información, consulte Puerta de enlace NAT (p. 243) y Instancias NAT (p. 261). Losdispositivos NAT No se pueden utilizar para el tráfico IPv6.

Direccionamiento a una gateway privada virtualPuede utilizar una conexión de AWS Site-to-Site VPN para permitir que las instancias de su VPC secomuniquen con su propia red. Para ello, cree y adjunte una gateway privada virtual a su VPC. Acontinuación, agregue una ruta en la tabla de ruteo de subred con el destino de la red y un objetivo de lagateway privada virtual (vgw-xxxxxxxxxxxxxxxxx).

Destino Objetivo

10.0.0.0/16 vgw-id

A continuación podrá crear y configurar su conexión de Site-to-Site VPN. Para obtener más información,consulte ¿Qué es AWS Site-to-Site VPN? y Tablas de ruteo y prioridad de las rutas de VPN en la Guía delusuario de AWS Site-to-Site VPN.

Actualmente no se admite el tráfico IPv6 a través de conexiones de AWS Site-to-Site VPN. Sin embargo, síque se admite el direccionamiento de tráfico IPv6 a través de gateways privadas virtuales a conexiones deAWS Direct Connect. Para obtener más información, consulte Guía del usuario de AWS Direct Connect.

Direccionamiento a una gateway local de AWS OutpostsLas subredes que se encuentran en VPC asociadas a AWS Outposts pueden tener un tipo de objetivoadicional de una gateway local. Tenga en cuenta el caso en el que desea que la gateway local dirija el

220



https://docs.aws.amazon.com/directconnect/latest/UserGuide/


tráfico con una dirección de destino de 192.168.10.0/24 a la red del cliente. Para ello, añada la siguienteruta con la red de destino y un objetivo de la gateway local (lgw-xxxx).

Destino Objetivo

192.168.10.0/24 lgw-id

2002:bc9:1234:1a00::/56 igw-id

Direccionamiento a una interconexión de VPCUna interconexión de VPC es una conexión de redes entre dos VPC que permite direccionar el tráfico entreellas mediante direcciones IPv4 privadas. Las instancias de ambas VPC se pueden comunicar entre sí siforman parte de la misma red.

Para permitir el direccionamiento de tráfico entre VPC en una interconexión de VPC, debe añadir una rutahacia una o varias tabas de ruteo de la subred que apunten a la interconexión de VPC. Esto le permiteacceder a todo o a parte del bloque de CIDR de la otra VPC en la interconexión. Del mismo modo, elpropietario de la otra VPC deberá añadir una ruta a sus tablas de ruteo de la subred para direccionar eltráfico de vuelta a su VPC.

Supongamos que, por ejemplo, tiene una interconexión de VPC (pcx-11223344556677889) entre dosVPC con la información siguiente:

• VPC A: bloque de CIDR 10.0.0.0/16• VPC B: bloque de CIDR 172.31.0.0/16

Para permitir el tráfico entre las VPC y facilitar el acceso a la totalidad del bloque de CIDR IPv4 de ambasVPC, la tabla de ruteo de la VPC A debe configurarse como se indica a continuación.

Destino Objetivo

10.0.0.0/16 Local

172.31.0.0/16 pcx-11223344556677889

La tabla de ruteo de la VPC B debe configurarse como se indica a continuación.

Destino Objetivo

172.31.0.0/16 Local

10.0.0.0/16 pcx-11223344556677889

La interconexión de la VPC también puede admitir la comunicación IPv6 entre instancias en las VPC, silas VPC y las instancias admiten la comunicación IPv6. Para obtener más información, consulte VPC ysubredes (p. 71). Para permitir el direccionamiento de tráfico IPv6 entre las VPC, debe añadir una ruta a latabla de ruteo que apunte a la interconexión de la VPC para, de este modo, obtener acceso a la totalidad oa parte del bloque de CIDR IPv6 de la VPC del mismo nivel.

Supongamos que, por ejemplo, con la misma interconexión de VPC (pcx-11223344556677889) anterior,las VPC tienen la información siguiente:

221


• VPC A: bloque de CIDR IPv6 2001:db8:1234:1a00::/56• VPC B: bloque de CIDR IPv6 2001:db8:5678:2b00::/56

Para permitir la comunicación IPv6 a través de la interconexión de VPC, añada la ruta siguiente a la tablade ruteo de la subred para la VPC A.

Destino Objetivo

10.0.0.0/16 Local

172.31.0.0/16 pcx-11223344556677889

2001:db8:5678:2b00::/56 pcx-11223344556677889

Añada la siguiente ruta a la tabla de ruteo de la VPC B.

Destino Objetivo

172.31.0.0/16 Local

10.0.0.0/16 pcx-11223344556677889

2001:db8:1234:1a00::/56 pcx-11223344556677889

Para obtener más información acerca de las interconexiones de VPC, consulte la Amazon VPC PeeringGuide.

Direccionamiento de ClassicLinkClassicLink es una característica que permite vincular una instancia de EC2-Classic a unaVPC, permitiendo la comunicación entre la instancia de EC2-Classic y las instancias de la VPCmediante direcciones IPv4 privadas. Para obtener más información acerca de ClassicLink, consulteClassicLink (p. 284).

Cuando se habilita una VPC para ClassicLink, se añade una ruta a todas las tablas de ruteo de la subredcon el destino 10.0.0.0/8 y el objetivo local. Esto permite la comunicación entre las instancias de laVPC y cualquier instancia EC2-Classic vinculadas a la VPC. Si añade otra tabla de ruteo a una VPC conClassicLink, esta recibirá automáticamente una ruta con el destino 10.0.0.0/8 y el objetivo local. Sideshabilita ClassicLink para una VPC, esta ruta se eliminará automáticamente de todas las tablas de ruteode la VPC.

Si alguna de las tablas de ruteo de la VPC tiene rutas existentes para rangos de direcciones comprendidosen el CIDR 10.0.0.0/8, no podrá activar ClassicLink en su VPC. Esto no incluye las rutas locales deVPC con los rangos de direcciones IP 10.0.0.0/16 y 10.1.0.0/16.

Si ya tiene una VPC con ClassicLink, es posible que no pueda añadir ninguna ruta específica adicional alas tablas de ruteo para el rango de dirección IP 10.0.0.0/8.

Si modifica una interconexión de VPC para permitir la comunicación entre instancias de su VPC yuna instancia de EC2-Classic vinculada a la VPC del mismo nivel, se añadirá automáticamente unaruta estática a las tablas de ruteo con el destino 10.0.0.0/8 y el objetivo local. Si modifica unainterconexión de VPC para permitir la comunicación entre una instancia de EC2-Classic local vinculadaa su VPC e instancias de una VPC del mismo nivel, deberá añadir manualmente una ruta a la tabla deruteo principal con el bloque de CIDR de la VPC como destino y la interconexión de la VPC como objetivo.

222

https://docs.aws.amazon.com/vpc/latest/peering/



La instancia de EC2-Classic usa la tabla de ruteo principal para el direccionamiento a la VPC del mismonivel. Para obtener más información, consulte Configuraciones con ClassicLink en la Amazon VPC PeeringGuide.

Direccionamiento a un punto de enlace de la VPC de la gatewayUn punto de enlace de la VPC de la gateway permite crear una conexión privada entre la VPC y otrosservicios de AWS. Cuando crea un punto de enlace de la gateway, especifica las tablas de ruteo de lasubred en su VPC que utiliza el punto de enlace de la gateway. Se añadirá automáticamente una ruta acada una de las tablas de ruteo con el ID de la lista de prefijos del servicio (pl-xxxxxxxx) como destinoy el ID del punto de conexión (vpce-xxxxxxxxxxxxxxxxx) como objetivo. No es posible eliminar nimodificar de manera explícita la ruta del punto de conexión; sin embargo, es posible cambiar las tablas deruteo que utiliza el punto de conexión.

Para obtener más información acerca del direccionamiento de los puntos de enlace y de lasimplicaciones para las rutas a los servicios de AWS, consulte Direccionamiento para puntos de enlace degateway (p. 303).

Direccionamiento a la gateway de Internet de solo salidaPuede crear gateways de Internet de solo salida para su VPC para permitir que las instancias de subredesprivadas inicien comunicaciones salientes a Internet evitando que Internet inicie conexiones con dichasinstancias. La gateway de Internet de solo salida se utiliza únicamente para el tráfico IPv6. Para configurarel direccionamiento de la gateway de Internet de solo salida, añada una ruta a la tabla de ruteo de lasubred privada que direccione el tráfico de Internet IPv6 (::/0) a la gateway de Internet de solo salida.

Destino Objetivo

::/0 eigw-id

Para obtener más información, consulte Gateways de Internet de solo salida (p. 239).

Direccionamiento para una gateway de tránsitoAl vincular una VPC a una transit gateway, debe añadir una ruta a su tabla de ruteo de la subred paradirigir al tráfico a través de la transit gateway.

Considere el siguiente escenario, en el que tiene tres VPC vinculadas a una transit gateway. En esteescenario, todas las conexiones se asocian a la tabla de ruteo de transit gateway y se propagan a la tablade ruteo de transit gateway. Por lo tanto, todas las conexiones pueden dirigir paquetes entre sí y la transitgateway actúa como un simple concentrador IP de capa 3.

Supongamos que, por ejemplo, tiene dos VPC con la información siguiente:

• VPC A: 10.1.0.0/16, ID de vinculación tgw-attach-11111111111111111• VPC B: 10.2.0.0/16, ID de vinculación tgw-attach-22222222222222222

Para permitir el tráfico entre las VPC y facilitar el acceso a la transit gateway, la tabla de ruteo de la VPC Adebe configurarse como se indica a continuación.

Destino Objetivo

10.1.0.0/16 local

223

https://docs.aws.amazon.com/vpc/latest/peering/peering-configurations-classiclink.html


Destino Objetivo

10.0.0.0/8 tgw-id

A continuación se muestra un ejemplo de las entradas de las tablas de ruteo de transit gateway para lasvinculaciones de VPC.

Destino Objetivo

10.1.0.0/16 tgw-attach-11111111111111111

10.2.0.0/16 tgw-attach-22222222222222222

Para obtener más información acerca de las tablas de ruteo de transit gateway, consulte Ruteo enGateways de tránsito de Amazon VPC.

Direccionamiento para un dispositivo middlebox en su VPCPuede interceptar el tráfico que entra a la VPC a través de una gateway de Internet o una gateway privadavirtual, redirigiéndolo a un dispositivo middlebox en su VPC. Puede configurar el dispositivo para que seadapte a sus necesidades. Por ejemplo, puede configurar un dispositivo de seguridad que cribase todo eltráfico o un dispositivo de aceleración WAN. El dispositivo se implementa como instancia Amazon EC2 enuna subred de la VPC y se representa mediante una interfaz de red elástica (interfaz de red) en la subred.

Para dirigir el tráfico de VPC entrante a un dispositivo, asocie una tabla de ruteo a la gateway de Interneto a la gateway privada virtual y especifique la interfaz de red del dispositivo como objetivo para el tráficode la VPC. Para obtener más información, consulte Tablas de ruteo de gateway (p. 217). También puededirigir el tráfico saliente de la subred a un dispositivo middlebox de otra subred.

Consideraciones sobre el dispositivoPuede elegir un dispositivo de terceros de AWS Marketplace o configurar su propio dispositivo. Al crear oconfigurar un dispositivo, tenga en cuenta lo siguiente:

• El dispositivo debe configurarse en una subred independiente para el tráfico de origen o destino.• Debe deshabilitar la comprobación de origen/destino en el dispositivo. Para obtener más información,

consulte Cambio de la comprobación de origen o destino en la Guía del usuario de Amazon EC2 parainstancias de Linux.

• No se admite el encadenamiento de servicio.• No se puede dirigir el tráfico entre hosts de la misma subred a través de un dispositivo.• No se puede dirigir el tráfico entre subredes a través de un dispositivo.• El dispositivo no tiene que realizar la conversión de las direcciones de red (NAT).• Para interceptar el tráfico IPv6, asegúrese de configurar la VPC, la subred y el dispositivo para IPv6.

Para obtener más información, consulte Uso de VPC y subredes (p. 81). Las gateways privadas virtualesno admiten el tráfico IPv6.

Configuración de direccionamiento del dispositivoPara dirigir el tráfico entrante a un dispositivo, cree una tabla de ruteo y añada una ruta que apunte eltráfico destinado a una subred a la interfaz de red del dispositivo. Esta ruta es más específica que la rutalocal para la tabla de ruteo. Asocie esta tabla de ruteo con su gateway de Internet o gateway privadavirtual. La siguiente tabla de ruteo dirige el tráfico IPv4 destinado a una subred a la interfaz de red deldispositivo.

224

https://docs.aws.amazon.com/vpc/latest/tgw/how-transit-gateways-work.html#tgw-routing-overview

https://aws.amazon.com/marketplace

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html#change_source_dest_check


Destino Objetivo

10.0.0.0/16 Local

10.0.1.0/24 eni-id

También puede sustituir el objetivo de la ruta local por la interfaz de red del dispositivo. Puede hacerlo paraasegurarse de que todo el tráfico se dirige automáticamente al dispositivo, incluido el tráfico destinado a lassubredes que agregue a la VPC más adelante.

Destino Objetivo

10.0.0.0/16 eni-id

Para dirigir el tráfico de la subred a un dispositivo de otra subred, añada una ruta a la tabla de ruteo de lasubred que dirige el tráfico a la interfaz de red del dispositivo. El destino debe ser menos específico que eldestino de la ruta local. Por ejemplo, para el tráfico destinado a Internet, especifique 0.0.0.0/0 (todas lasdirecciones IPv4) para el destino.

Destino Objetivo

10.0.0.0/16 Local

0.0.0.0/0 eni-id

A continuación, en la tabla de ruteo asociada a la subred del dispositivo, añada una ruta que dirija el tráficoa la gateway de Internet o a la gateway privada virtual.

Destino Objetivo

10.0.0.0/16 Local

0.0.0.0/0 igw-id

Puede aplicar la misma configuración de direccionamiento para el tráfico IPv6. Por ejemplo, en la tabla deruteo de la gateway, puede sustituir el objetivo de las rutas locales IPv4 e IPv6 por la interfaz de red deldispositivo.

Destino Objetivo

10.0.0.0/16 eni-id

2001:db8:1234:1a00::/56 eni-id

En el diagrama siguiente, se instala y configura un dispositivo de firewall en una instancia Amazon EC2de la subred A de la VPC. El dispositivo inspecciona todo el tráfico que entra y sale de la VPC a travésde la gateway de Internet. La tabla de ruteo A está asociada a la gateway de Internet. El tráfico destinadoa la subred B que entra en la VPC a través de la gateway de Internet se dirige a la interfaz de red deldispositivo (eni-11223344556677889). Todo el tráfico que sale de la subred B también se dirige a lainterfaz de red del dispositivo.

225

Amazon Virtual Private Cloud Guía del usuarioUso de las tablas de ruteo

El ejemplo siguiente tiene la misma configuración que el ejemplo anterior, pero incluye el tráfico IPv6. Eltráfico IPv6 destinado a la subred B que entra en la VPC a través de la gateway de Internet se dirige a lainterfaz de red del dispositivo (eni-11223344556677889). Todo el tráfico (IPv4 e IPv6) que sale de lasubred B también se dirige a la interfaz de red del dispositivo.

Uso de las tablas de ruteoEn las tareas siguientes, se muestra cómo se trabaja con tablas de ruteo.

Note

Cuando utilice el asistente de la VPC de la consola para crear una VPC con una gateway, elasistente actualizará automáticamente las tablas de ruteo para utilizar la gateway. Si utiliza lasherramientas de línea de comandos o la API para configurar su VPC, deberá actualizar las tablasde ruteo usted mismo.

Tareas• Determinación de la tabla de ruteo asociada a la subred (p. 226)• Determinación de las subredes y/o gateways asociadas explícitamente a una tabla (p. 226)• Crear una tabla de ruteo personalizada (p. 227)• Adición y eliminación de rutas de una tabla de ruteo (p. 228)• Habilitación y deshabilitación de la propagación de ruta (p. 229)• Asociación de una subred a una tabla de ruteo (p. 229)• Cambio de la tabla de ruteo de una subred (p. 230)• Desasociación de una subred de una tabla de ruteo (p. 230)• Sustitución de la tabla de ruteo principal (p. 230)• Asociación de una gateway a una tabla de ruteo (p. 231)• Desasociación de una gateway de una tabla de ruteo (p. 231)• Reemplazo y restauración del destino de una ruta local (p. 232)• Eliminación de un tabla de ruteo (p. 233)

Determinación de la tabla de ruteo asociada a la subredPuede determinar la tabla de ruteo a la que se asocia la subred consultando los detalles de la subred en laconsola de la Amazon VPC.

Para determinar la tabla de ruteo que tiene asociada la subred

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Subnets.3. Elija la pestaña Route Table para ver el ID de la tabla de ruteo y sus rutas. En el caso de la tabla

de ruteo principal, la consola no indicará si la asociación es implícita o explícita. Para determinar sila asociación a la tabla de ruteo principal es explícita, consulte Determinación de las subredes y/ogateways asociadas explícitamente a una tabla (p. 226).

Determinación de las subredes y/o gateways asociadasexplícitamente a una tablaPuede determinar el número y el tipo de subredes o gateways explícitamente asociadas a la tabla de ruteo.

226



La tabla de ruteo principal puede tener asociaciones de la subred implícitas y explícitas. Las tablas deruteo principales solo tienen asociaciones explícitas.

Las subredes que no estén asociadas de manera explícita a ninguna tabla de ruteo tienen una asociaciónimplícita a la tabla de ruteo principal. Puede asociar de forma explícita una subred con la tabla de ruteoprincipal. Para obtener un ejemplo de por qué podría hacer eso, consulte Sustitución de la tabla de ruteoprincipal (p. 230).

Para determinar las subredes que están asociadas de manera explícita utilizando la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Route Tables.3. Consulte la columna Explicitly subnet association (Asociación de subred de forma explícita) para

determinar las subredes asociadas de manera explícita.4. Seleccione la tabla de ruteo obligatoria.5. Elija la pestaña Subnet Associations en el panel de detalles. La pestaña mostrará las subredes

asociadas explícitamente a la tabla. Las subredes que no estén asociadas a ninguna tabla de ruteo(y, por lo tanto, asociadas de manera implícita a la tabla de ruteo principal) también se muestran en latabla.

Para determinar las gateways que están asociadas de manera explícita utilizando la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Route Tables.3. Vea la columna Edge associations (Asociaciones de borde) para determinar las gateways asociadas.4. Seleccione la tabla de ruteo obligatoria.5. Elija la pestaña Edge Associations (Asociaciones de borde) en el panel de detalles. Se enumeran las

gateways asociadas a la tabla de ruteo.

Para describir una o varias tablas de ruteo y ver sus asociaciones mediante la línea de comandos

• describe-route-tables (AWS CLI)• Get-EC2RouteTable (Herramientas de AWS para Windows PowerShell)

Crear una tabla de ruteo personalizadaPuede crear una tabla de ruteo personalizada para su VPC mediante la consola de Amazon VPC.

Para crear una tabla de ruteo personalizada mediante la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Route Tables.3. Elija Create Route Table (Crear tabla de ruteo).4. Para la Name tag (etiqueta de nombre), puede proporcionar opcionalmente un nombre para la tabla

de rutas. Esta acción creará una etiqueta con una clave de Name y el valor que especifique. Para VPC,elija su VPC y, a continuación, elija Create (Crear).

Para crear una tabla de ruteo personalizada mediante la línea de comandos

• create-route-table (AWS CLI)

227



https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-route-tables.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2RouteTable.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/create-route-table.html


• New-EC2RouteTable (Herramientas de AWS para Windows PowerShell)

Adición y eliminación de rutas de una tabla de ruteoPuede añadir, eliminar y modificar rutas en las tablas de ruteo. Solo podrá modificar rutas que hayaañadido.

Para obtener más información acerca de cómo trabajar con rutas estáticas para una conexión de Site-to-Site VPN, consulte Edición de rutas estáticas para una conexión de Site-to-Site VPN en la Guía del usuariode AWS Site-to-Site VPN.

Para modificar o añadir una ruta a una tabla de ruteo mediante la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Route Tables (Tablas de ruteo) y, a continuación, seleccione la tabla

de ruteo.3. Elija Actions (Acciones), Edit routes (Editar rutas).4. Para agregar una ruta, elija Add route (Añadir ruta). En Destination (Destino) introduzca el bloque de

CIDR de destino o una única dirección IP.5. Para modificar una ruta existente, para Destination (Destino), sustituya el bloque de CIDR de destino o

la dirección IP única. En Target (Objetivo), elija un objetivo.6. Elija Save routes (Guardar rutas).

Para añadir una ruta a una tabla de ruteo mediante la línea de comandos

• create-route (AWS CLI)• New-EC2Route (Herramientas de AWS para Windows PowerShell)

Note

Si agrega una ruta mediante una herramienta de línea de comandos o la API, el bloque deCIDR de destino se modifica automáticamente a su forma canónica. Por ejemplo, si especifica100.68.0.18/18 para el bloque de CIDR, creamos una ruta con un bloque de CIDR de destinode 100.68.0.0/18.

Para sustituir una ruta existente en una tabla de ruteo mediante la línea de comandos

• replace-route (AWS CLI)• Set-EC2Route (Herramientas de AWS para Windows PowerShell)

Para eliminar una ruta de una tabla de ruteo mediante la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Route Tables (Tablas de ruteo) y, a continuación, seleccione la tabla

de ruteo.3. Elija Actions (Acciones), Edit routes (Editar rutas).4. Seleccione el botón de eliminación (x) situado a la derecha de la ruta que desea eliminar.5. Cuando haya terminado, elija Save routes (Guardar rutas).

Para eliminar una ruta de una tabla de ruteo mediante la línea de comandos

• delete-route (AWS CLI)

228

https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2RouteTable.html

https://docs.aws.amazon.com/vpn/latest/s2svpn/SetUpVPNConnections.html#vpn-edit-static-routes


https://docs.aws.amazon.com/cli/latest/reference/ec2/create-route.html

https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Route.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/replace-route.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Set-EC2Route.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-route.html


• Remove-EC2Route (Herramientas de AWS para Windows PowerShell)

Habilitación y deshabilitación de la propagación de rutaLa propagación de rutas permite que una gateway privada virtual propague automáticamente rutas a lastablas de ruteo. Esto significa que no es necesario introducir manualmente rutas de VPN en las tablas deruteo. La propagación de rutas se puede habilitar ni deshabilitar.

Para obtener más información sobre las opciones de direccionamiento de VPN, consulte Opciones dedireccionamiento de Site-to-Site VPN en la Guía del usuario de Site-to-Site VPN.

Para habilitar la propagación de rutas utilizando la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Route Tables y, a continuación, seleccione la tabla de ruteo.3. Elija Actions (Acciones), Edit route propagation (Editar propagación de rutas).4. Active la casilla de verificación Propagate situada junto a la gateway privada virtual y, a continuación,

elija Save.

Para habilitar la propagación de rutas mediante la línea de comandos

• enable-vgw-route-propagation (AWS CLI)• Enable-EC2VgwRoutePropagation (Herramientas de AWS para Windows PowerShell)

Para deshabilitar la propagación de rutas con la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Route Tables y, a continuación, seleccione la tabla de ruteo.3. Elija Actions (Acciones), Edit route propagation (Editar propagación de rutas).4. Desactive la casilla de verificación Propagate y, a continuación, elija Save.

Para deshabilitar la propagación de rutas mediante la línea de comandos

• disable-vgw-route-propagation (AWS CLI)• Disable-EC2VgwRoutePropagation (Herramientas de AWS para Windows PowerShell)

Asociación de una subred a una tabla de ruteoPara aplicar rutas de tablas de ruteo a una subred determinada, debe asociar la tabla de ruteo a la subred.Una tabla de ruteo se puede asociar con varias subredes. Sin embargo, una subred sólo puede asociarsea una tabla de ruteo a la vez. Las subredes que no estén asociadas de manera explícita a ninguna tabla seasociarán implícitamente a la tabla de ruteo principal de forma predeterminada.

Para asociar una tabla de ruteo a una subred mediante la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Route Tables y, a continuación, seleccione la tabla de ruteo.3. En la pestaña Subnet Associations (Asociaciones de subred), elija Edit subnet associations (Editar

asociaciones de subred).4. Active la casilla de verificación Associate para la subred que desee asociar a la tabla de ruteo. A

continuación, elija Save.

229

https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2Route.html

https://docs.aws.amazon.com/vpn/latest/s2svpn/VPNRoutingTypes.html

https://docs.aws.amazon.com/vpn/latest/s2svpn/VPNRoutingTypes.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-vgw-route-propagation.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Enable-EC2VgwRoutePropagation.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/disable-vgw-route-propagation.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Disable-EC2VgwRoutePropagation.html



Para asociar una subred a una tabla de ruteo mediante la línea de comandos

• associate-route-table (AWS CLI)• Register-EC2RouteTable (Herramientas de AWS para Windows PowerShell)

Cambio de la tabla de ruteo de una subredPuede cambiar la tabla de ruteo que tiene asociada la subred.

Para cambiar la asociación de la tabla de ruteo de una subred mediante la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Subnets y, a continuación, seleccione la subred.3. En la pestaña Route Table (Tabla de ruteo) elija Edit route table association (Editar asociación de la

tabla de ruteo).4. En la lista Route Table ID (ID de tabla de ruteo) seleccione la nueva tabla de ruteo a la que desea

asociar la subred y, a continuación, elija Save (Guardar).

Para cambiar la tabla de ruteo asociada a una subred mediante el la línea de comandos

• replace-route-table-association (AWS CLI)• Set-EC2RouteTableAssociation (Herramientas de AWS para Windows PowerShell)

Desasociación de una subred de una tabla de ruteoPuede desasociar una subred de una tabla de ruteo. Hasta que asocie la subred a otra tabla de ruteo, estaquedará implícitamente asociada a la tabla de ruteo principal.

Para desasociar una subred de una tabla de ruteo mediante la consola


asociaciones de subred).4. Desactive la casilla de verificación Associate de la subred en cuestión y, a continuación, elija Save.

Para desasociar una subred de una tabla de ruteo mediante la línea de comandos

• disassociate-route-table (AWS CLI)• Unregister-EC2RouteTable (Herramientas de AWS para Windows PowerShell)

Sustitución de la tabla de ruteo principalPuede cambiar la tabla de ruteo principal de su VPC.

Para sustituir la tabla de ruteo principal mediante la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Route Tables.

230

https://docs.aws.amazon.com/cli/latest/reference/ec2/associate-route-table.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Register-EC2RouteTable.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/replace-route-table-association.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Set-EC2RouteTableAssociation.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/disassociate-route-table.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Unregister-EC2RouteTable.html



3. Seleccione la tabla de ruteo de la subred que será la nueva tabla de ruteo principal y, a continuación,elija Actions (Acciones), Set Main Route Table (Configurar tabla de ruteo principal).

4. En el cuadro de diálogo de confirmación, elija Ok (Aceptar).

Para sustituir la tabla de ruteo principal mediante la línea de comandos

• replace-route-table-association (AWS CLI)• Set-EC2RouteTableAssociation (Herramientas de AWS para Windows PowerShell)

El procedimiento siguiente describe cómo quitar una asociación explícita entre una subred y la tabla deruteo principal. El resultado es una asociación implícita entre la subred y la tabla de ruteo principal. Elproceso es el mismo que el que se usa para desasociar subredes de tablas de ruteo.

Para quitar una asociación explícita a la tabla de ruteo principal


asociaciones de subred).4. Desactive la casilla de verificación de la subred en cuestión y, a continuación, seleccione Save

(Guardar).

Asociación de una gateway a una tabla de ruteoPuede asociar una gateway de Internet o a una gateway privada virtual a una tabla de ruteo. Para obtenermás información, consulte Tablas de ruteo de gateway (p. 217).

Para asociar una gateway a la tabla de ruteo mediante la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Route Tables y, a continuación, seleccione la tabla de ruteo.3. Seleccione Actions (Acciones), Edit edge associations (Editar asociaciones de borde).4. Seleccione Internet gateways (Gateways de Internet) o Virtual private gateways (gateways privadas

virtuales) para mostrar la lista de gateways.5. Seleccione la gateway y, a continuación, seleccione Save (Guardar).

Para asociar una gateway a la tabla de ruteo mediante la AWS CLI

Utilice el comando associate-route-table. En el siguiente ejemplo se asocia una gateway de Internetigw-11aa22bb33cc44dd1 a una tabla de ruteo rtb-01234567890123456.

aws ec2 associate-route-table --route-table-id rtb-01234567890123456 --gateway-id igw-11aa22bb33cc44dd1

Desasociación de una gateway de una tabla de ruteoPuede desasociar una gateway de Internet o a una gateway privada virtual de una tabla de ruteo.

Para asociar una gateway a la tabla de ruteo mediante la consola


231

https://docs.aws.amazon.com/cli/latest/reference/ec2/replace-route-table-association.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Set-EC2RouteTableAssociation.html



https://docs.aws.amazon.com/cli/latest/reference/ec2/associate-route-table.html



2. En el panel de navegación, elija Route Tables y, a continuación, seleccione la tabla de ruteo.3. Seleccione Actions (Acciones), Edit edge associations (Editar asociaciones de borde).4. En Associated gateways (Gateways asociadas), elija el botón de eliminación (x) de la puerta de enlace

que desee desasociar.5. Seleccione Save.

Para desasociar una gateway de una tabla de ruteo mediante la línea de comandos

• disassociate-route-table (AWS CLI)• Unregister-EC2RouteTable (Herramientas de AWS para Windows PowerShell)

Reemplazo y restauración del destino de una ruta localPuede cambiar el destino de la ruta local predeterminada en una tabla de ruteo de gateway (p. 217) yespecificar en su lugar una interfaz de red o instancia en la misma VPC que el destino. Si reemplaza eldestino de una ruta local, puede restaurarlo posteriormente al destino local predeterminado. Si la VPCtiene varios bloques de CIDR (p. 76), las tablas de ruteo tienen varias rutas locales (una por bloque deCIDR). Puede reemplazar o restaurar el destino de cada una de las rutas locales según sea necesario.

No se puede reemplazar el destino de una ruta local en una tabla de ruteo de subred.

Para reemplazar el destino de una ruta local mediante la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Route Tables y, a continuación, seleccione la tabla de ruteo.3. Elija Actions (Acciones), Edit routes (Editar rutas).4. En Target (Destino), seleccione Network Interface (Interfaz de red) para mostrar la lista de interfaces

de red y elija la interfaz de red.

Como alternativa, seleccione Instance (Instancia) para mostrar la lista de instancias y elija la instancia.5. Elija Save routes (Guardar rutas).

Para restaurar el destino de una ruta local mediante la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Route Tables y, a continuación, seleccione la tabla de ruteo.3. Elija Actions (Acciones), Edit routes (Editar rutas).4. En Target (Destino), elijalocal.5. Elija Save routes (Guardar rutas).

Para reemplazar el destino de una ruta local mediante la AWS CLI

Utilice el comando replace-route. En el ejemplo siguiente, se reemplaza el destino de la ruta local poreni-11223344556677889.

aws ec2 replace-route --route-table-id rtb-01234567890123456 --destination-cidr-block 10.0.0.0/16 --network-interface-id eni-11223344556677889

Para restaurar el destino de una ruta local mediante la AWS CLI

En el ejemplo siguiente, se restaura el destino local en la tabla de ruteo rtb-01234567890123456.

232

https://docs.aws.amazon.com/cli/latest/reference/ec2/disassociate-route-table.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Unregister-EC2RouteTable.html



https://docs.aws.amazon.com/cli/latest/reference/ec2/replace-route.html

Amazon Virtual Private Cloud Guía del usuarioPuertos de enlace a Internet

aws ec2 replace-route --route-table-id rtb-01234567890123456 --destination-cidr-block 10.0.0.0/16 --local-target

Eliminación de un tabla de ruteoLas tablas de ruteo solo se pueden eliminar si no tienen subredes asociadas. La tabla de ruteo principal nose puede eliminar.

Para eliminar una tabla de ruteo mediante la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Route Tables.3. Seleccione la tabla de ruteo y, a continuación, elija Actions (Acciones), Delete Route Table (Eliminar

tabla de ruteo).4. En el cuadro de diálogo de confirmación, elija Delete Route Table (Eliminar tabla de ruteo).

Para eliminar una tabla de ruteo mediante la línea de comandos

• delete-route-table (AWS CLI)• Remove-EC2RouteTable (Herramientas de AWS para Windows PowerShell)

Puertos de enlace a InternetUn gateway de Internet es un componente de la VPC de escalado horizontal, redundante y de altadisponibilidad que permite la comunicación entre las instancias de su VPC e Internet. Por lo tanto, noplantea riesgos de disponibilidad ni restricciones de ancho de banda para el tráfico de red.

Un gateway de Internet sirve para dos fines: proporcionar un objetivo en sus tablas de ruteo de VPCpara el tráfico direccionable de Internet y realizar la conversión de las direcciones de red (NAT) para lasinstancias que tengan asignadas direcciones IPv4 públicas.

Un gateway de Internet admite el tráfico IPv4 e IPv6.

Habilitación del acceso a InternetPara habilitar el acceso a Internet o desde Internet para instancias de una subred de VPC, haga losiguiente:

• Adjunte un gateway de Internet a su VPC.• Asegúrese de que la tabla de ruteo de su subred apunta al gateway de Internet.• Asegúrese de que las instancias de su subred tienen una dirección IP única global (dirección IPv4

pública, dirección IP elástica o dirección IPv6).• Asegúrese de que las reglas de grupo de seguridad y de control de acceso a la red permiten el flujo de

tráfico relevante a la instancia y desde esta.

Para utilizar un gateway de Internet, la tabla de ruteo de su subred debe contener una ruta que direccioneel tráfico vinculado a Internet al gateway de Internet. Puede ajustar el ámbito de la ruta a todos los destinosexplícitamente desconocidos para la tabla de ruteo (0.0.0.0/0 para IPv4 o ::/0 para IPv6), o bienpuede ajustar el ámbito de la ruta a un rango de direcciones IP más restringido como, por ejemplo,las direcciones IPv4 públicas de los puntos de enlace públicos de su empresa externos a AWS o lasdirecciones IP elásticas de otras instancias de Amazon EC2 externas a su VPC. Si su subred estáasociada a una tabla de ruteo que tiene una ruta al gateway de Internet, esta se denomina subred pública.

233


https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-route-table.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2RouteTable.html

Amazon Virtual Private Cloud Guía del usuarioHabilitación del acceso a Internet

Para permitir la comunicación a través de Internet para IPv4, su instancia debe tener una dirección IPv4pública o una dirección IP elástica asociada a una dirección IPv4 privada en su instancia. Su instancia solotendrá en cuenta el espacio de dirección IP (interno) privado definido en la VPC y la subred. El gatewayde Internet proporciona lógicamente la NAT individual en nombre de su instancia. Por lo tanto, cuandoel tráfico sale de su subred de VPC a Internet, el campo de dirección de respuesta se configura con ladirección IPv4 pública o la dirección IP elástica de su instancia y no con su dirección IP privada. Por elcontrario, la dirección de destino del tráfico con destino a la dirección IP elástica o la dirección IPv4 públicade su instancia se convertirá a la dirección IPv4 privada de la instancia antes de que el tráfico se entreguea la VPC.

Para permitir la comunicación a través de Internet para IPv6, su VPC y su subred deben tener un bloquede CIDR IPv6 asociado y su instancia debe asignarse a una dirección IPv6 desde el rango de la subred.Las direcciones IPv6 son únicas de forma global y, por lo tanto, públicas de manera predeterminada.

En el diagrama siguiente, la subred 1 de la VPC se asocia a una tabla de ruteo personalizada que apuntaa todo el tráfico IPv4 vinculado a Internet dirigido al gateway de Internet. La instancia dispone de unadirección IP elástica que permite la comunicación con Internet.

Para proporcionar a sus instancias acceso a Internet sin asignarles direcciones IP públicas, puede utilizarun dispositivo NAT. Para obtener más información, consulte NAT (p. 242).

Acceso a Internet para VPC predeterminadas y no predeterminadas

La tabla siguiente ofrece información general acerca de si una VPC incluye automáticamente loscomponentes necesarios para el acceso a Internet a través de IPv4 o IPv6.

Componente VPC predeterminada VPC no predeterminada

Puerto de enlace a Internet Sí Sí, si creó la VPC utilizando laprimera o la segunda opción delasistente para la creación de

234

Amazon Virtual Private Cloud Guía del usuarioCreación de una VPC con un puerto de enlace a Internet

Componente VPC predeterminada VPC no predeterminadaVPC. De lo contrario, deberácrear y adjuntar manualmente elgateway de Internet.

Tabla de ruteo con ruta algateway de Internet para eltráfico IPv4 (0.0.0.0/0)

Sí Sí, si creó la VPC utilizando laprimera o la segunda opción delasistente para la creación deVPC. De lo contrario, deberácrear manualmente la tabla deruteo y añadir la ruta.

Tabla de ruteo con ruta algateway de Internet para eltráfico IPv6 (::/0)

No Sí, si creó la VPC utilizando laprimera o la segunda opción delasistente para la creación deVPC y seleccionó la opción paraasociar un bloque de CIDR IPv6a la VPC. De lo contrario, deberácrear manualmente la tabla deruteo y añadir la ruta.

Dirección IPv4 pública asignadaautomáticamente a una instanciainiciada en la subred

Sí (subred predeterminada) No (subred no predeterminada)

Dirección IPv6 asignadaautomáticamente a una instanciainiciada en la subred

No (subred predeterminada) No (subred no predeterminada)

Para obtener más información acerca de las VPC predeterminadas, consulte VPC predeterminada ysubredes predeterminadas (p. 93). Para obtener más información acerca de la utilización del asistente deVPC para crear una VPC con un gateway de Internet, consulte VPC con una única subred pública (p. 22) oVPC con subredes privadas y públicas (NAT) (p. 27).

Para obtener más información acerca del direccionamiento IP en su VPC y acerca del control dela asignación de direcciones IPv4 o IPv6 públicas a las instancias, consulte Direcciones IP en suVPC (p. 101).

Al añadir una nueva subred a su VPC, deberá configurar el direccionamiento y la seguridad para dichasubred.

Creación de una VPC con un puerto de enlace aInternetA continuación se describe cómo crear manualmente una subred pública para facilitar el acceso a Internet.

Tareas• Crear una subred (p. 236)• Creación y asociación de un puerto de enlace a Internet (p. 236)• Crear una tabla de ruteo personalizada (p. 236)• Creación de un grupo de seguridad para acceso a Internet (p. 237)• Adición de direcciones IP elásticas (p. 237)• Separación de un puerto de enlace a Internet de su VPC (p. 238)

235


• Eliminación de un puerto de enlace a Internet (p. 238)• Información general de API y comandos (p. 238)

Crear una subredPara añadir una subred a su VPC

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Subnets y, a continuación, elija Create Subnet.3. En el cuadro de diálogo Create Subnet, seleccione la VPC, seleccione la zona de disponibilidad y

especifique el bloque de CIDR IPv4 de la subred.4. (Opcional, solo para IPv6) En IPv6 CIDR block, elija Specify a custom IPv6 CIDR.5. Elija Yes, Create.

Para obtener más información acerca de las subredes, consulte VPC y subredes (p. 71).

Creación y asociación de un puerto de enlace a InternetPara crear un gateway de Internet y adjuntarlo a su VPC

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Internet Gateways (Gateways de Internet) y, a continuación, elija

Create internet gateway (Crear gateway de Internet).3. Como opción, asigne un nombre a su gateway de Internet y, a continuación, elija Create (Crear).4. Seleccione el gateway de Internet que acaba de crear y, a continuación, elija Actions, Attach to VPC

(Acciones, Adjuntar a la VPC).5. Seleccione la VPC de la lista y, a continuación, elija Attach (Adjuntar).

Crear una tabla de ruteo personalizadaAl crear una subred, esta se asocia automáticamente a la tabla de ruteo principal de la VPC. Demanera predeterminada, la tabla de ruteo principal no contiene ninguna ruta al gateway de Internet. Elprocedimiento que se describe a continuación permite crear una tabla de ruteo personalizada con unaruta que enviará el tráfico cuyo destino esté fuera de la VPC al gateway de Internet para, a continuación,asociarlo a su subred.

Para crear una tabla de ruteo personalizada

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Route Tables y, a continuación, elija Create Route Table.3. En el cuadro de diálogo Create Route Table, podrá, de manera opcional, asignar un nombre a su tabla

de ruteo, seleccionar su VPC y, a continuación, elegir Yes, Create.4. Seleccione la tabla de ruteo personalizada que acaba de crear. El panel de detalles muestra pestañas

para trabajar con sus rutas, sus asociaciones y la propagación de rutas.5. En la pestaña Routes, elija Edit, Add another route y, a continuación, añada las siguientes rutas según

sea necesario. Elija Save cuando haya terminado.

• Para el tráfico IPv4, especifique 0.0.0.0/0 en el cuadro Destination (Destino) y seleccione el IDdel gateway de Internet en la lista Target (Objetivo).

236





• Para el tráfico IPv6, especifique ::/0 en el cuadro Destination (Destino) y seleccione el ID delgateway de Internet en la lista Target (Objetivo).

6. En la pestaña Subnet Associations, elija Edit, active la casilla de verificación Associate para la subredy, a continuación, elija Save.

Para obtener más información, consulte Tablas de ruteo (p. 212).

Creación de un grupo de seguridad para acceso a InternetDe forma predeterminada, un grupo de seguridad de VPC permite todo el tráfico saliente. Puede crear unnuevo grupo de seguridad y agregar reglas que permitan el tráfico entrante desde internet. A continuación,puede asociar el grupo de seguridad con instancias de la subred pública.

Para crear un nuevo grupo de seguridad y asociarlo a sus instancias

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Security Groups y, a continuación, elija Create Security Group.3. En el cuadro de diálogo Create Security Group, especifique el nombre del grupo de seguridad junto

con una descripción. Seleccione el ID de su VPC de la lista VPC y, a continuación, elija Yes, Create.4. Seleccione el grupo de seguridad. El panel de detalles muestra información detallada del grupo de

seguridad, además de pestañas que permiten usar las reglas entrantes y salientes.5. En la pestaña Inbound Rules, elija Edit. Elija Add Rule y complete la información necesaria. Por

ejemplo, seleccione HTTP o HTTPS en la lista Type y escriba en Source el valor 0.0.0.0/0 para eltráfico IPv4 o el valor ::/0 para el tráfico IPv6. Elija Save cuando haya terminado.

6. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.7. En el panel de navegación, elija Instances (Instancias).8. Seleccione la instancia, elija Actions, Networking y, a continuación, seleccione Change Security

Groups.9. En el cuadro de diálogo Change Security Groups, desactive la casilla de verificación del grupo de

seguridad seleccionado actualmente y seleccione otro distinto. Seleccione Assign Security Groups.

Para obtener más información, consulte Grupos de seguridad de su VPC (p. 166).

Adición de direcciones IP elásticasTras lanzar la instancia en la subred, debe asignarle una dirección IP elástica si desea que esté disponibledesde Internet a través de IPv4.

Note

Si asignó una dirección IPv4 pública a su instancia durante el lanzamiento, la instancia estarádisponible desde Internet y no tendrá que asignarle ninguna dirección IP elástica. Para obtenermás información acerca de la asignación de direcciones IP para su instancia, consulte DireccionesIP en su VPC (p. 101).

Para asignar una dirección IP elástica y asignarla a una instancia utilizando la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Elastic IPs.3. Elija Allocate new address.

237





4. Elija Allocate.

Note

Si su cuenta es compatible con EC2-Classic, elija primero VPC.5. Seleccione la dirección IP elástica de la lista, elija Actions y, a continuación, elija Associate address.6. Elija Instance o Network interface y, a continuación, seleccione la instancia o el ID de interfaz de red.

Seleccione la dirección IP privada a la que desea asociar la dirección IP elástica y, a continuación,elija Associate.

Para obtener más información, consulte Direcciones IP elásticas (p. 281).

Separación de un puerto de enlace a Internet de su VPCSi ya no necesita el acceso a Internet para las instancias que se lanzan en una VPC no predeterminada,puede separar el puerto de enlace a Internet de la VPC. Tenga en cuenta que no es posible separar elgateway de Internet si la VPC tiene recursos con las direcciones IP públicas o las direcciones IP elásticas.

Para separar un gateway de Internet

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Elastic IPs y seleccione la dirección IP elástica.3. Elija Actions, Disassociate address. Elija Disassociate address.4. En el panel de navegación, elija Internet Gateways (Gateways de Internet).5. Seleccione el gateway de Internet y elija Actions, Detach from VPC (Acciones, Separar de la VPC).6. En el cuadro de diálogo Detach from VPC (Separar de la VPC), elija Detach (Separar).

Eliminación de un puerto de enlace a InternetSi ya no necesita el gateway de Internet, puede eliminarlo. Tenga en cuenta que no podrá eliminar elgateway de Internet si sigue adjunto a la VPC.

Para eliminar un gateway de Internet

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Internet Gateways.3. Seleccione el gateway de Internet y, a continuación, elija Actions (Acciones), Delete internet gateway

(Eliminar gateway de Internet).4. En el cuadro de diálogo Delete internet gateway (Eliminar gateway de Internet), elija Delete (Eliminar).

Información general de API y comandosPuede realizar las tareas descritas en esta página utilizando la línea de comandos o a un API. Paraobtener más información acerca de las interfaces de la línea de comandos, junto con una lista de lasacciones de API disponibles, consulte Acceso a Amazon VPC (p. 1).

Cree un gateway de Internet

• create-internet-gateway (AWS CLI)• New-EC2InternetGateway (Herramientas de AWS para Windows PowerShell)

238



https://docs.aws.amazon.com/cli/latest/reference/ec2/create-internet-gateway.html

https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2InternetGateway.html

Amazon Virtual Private Cloud Guía del usuarioGateways de Internet de solo salida

Adjuntar un gateway de Internet a una VPC

• attach-internet-gateway (AWS CLI)• Add-EC2InternetGateway (Herramientas de AWS para Windows PowerShell)

Descripción de un gateway de Internet

• describe-internet-gateways (AWS CLI)• Get-EC2InternetGateway (Herramientas de AWS para Windows PowerShell)

Separar un gateway de Internet de una VPC

• detach-internet-gateway (AWS CLI)• Dismount-EC2InternetGateway (Herramientas de AWS para Windows PowerShell)

Eliminar un gateway de Internet

• delete-internet-gateway (AWS CLI)• Remove-EC2InternetGateway (Herramientas de AWS para Windows PowerShell)

Gateways de Internet de solo salidaLa gateway de Internet de solo salida es un componente de VPC de escalado horizontal, redundante y dealta disponibilidad que permite la comunicación saliente a través de IPv6 desde instancias de su VPC aInternet. Asimismo, impide que Internet inicie conexiones IPv6 con sus instancias.

Note

La gateway de Internet de solo salida se utiliza solo para el tráfico IPv6. Para habilitar lacomunicación con Internet de solo salida mediante IPv4, utilice una gateway NAT. Para obtenermás información, consulte Puerta de enlace NAT (p. 243).

Contenido• Conceptos básicos de las gateways de Internet de solo salida (p. 239)• Uso de gateways de Internet de solo salida (p. 240)• Información general de API y CLI (p. 242)

Conceptos básicos de las gateways de Internet desolo salidaLas instancias de su subred pública podrán conectarse a Internet mediante la gateway de Internet sitienen una dirección IPv4 pública o una dirección IPv6. Del mismo modo, los recursos de Internet podrániniciar una conexión a su instancia utilizando su dirección IPv4 o su dirección IPv6 como, por ejemplo, alconectarse a su instancia mediante su equipo local.

Las direcciones IPv6 son únicas de forma global y, por lo tanto, son públicas de manera predeterminada.Si desea que su instancia pueda obtener acceso a Internet pero desea evitar que los recursos de Internetinicien comunicaciones con su instancia, utilice una gateway de Internet de solo salida. Para ello, cree unagateway de Internet de solo salida en su VPC y, a continuación, añada una ruta a su tabla de ruteo queapunte a todo el tráfico IPv6 (::/0) o un rango específico de direcciones IPv6 a la gateway de Internet de

239

https://docs.aws.amazon.com/cli/latest/reference/ec2/attach-internet-gateway.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Add-EC2InternetGateway.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-internet-gateways.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2InternetGateway.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/detach-internet-gateway.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Dismount-EC2InternetGateway.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-internet-gateway.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2InternetGateway.html

Amazon Virtual Private Cloud Guía del usuarioUso de gateways de Internet de solo salida

solo salida. El tráfico IPv6 de la subred asociado a la tabla de ruteo se direcciona a la gateway de Internetde solo salida.

La gateway de Internet de solo salida tiene estado: reenvía el tráfico desde las instancias de la subred aInternet o a otros servicios de AWS y, a continuación, envía la respuesta de nuevo a las instancias.

La gateway de Internet de solo salida tiene las características siguientes:

• No puede asociar un grupo de seguridad a una gateway de Internet de solo salida. Puede utilizar gruposde seguridad para sus instancias de la subred privada para controlar el tráfico entrante y saliente deestas instancias.

• Puede usar una ACL de red para controlar el tráfico hacia la subred y procedente de esta para la que lagateway de Internet de solo salida direcciona el tráfico.

En el diagrama siguiente, la VPC tiene un bloque de CIDR IPv6 y una subred de la VPC tiene un bloque deCIDR IPv6. La tabla de ruteo personalizada se asocia a la subred 1 y apunta todo el tráfico IPv6 de Internet(::/0) a una gateway de Internet de solo salida en la VPC.

Uso de gateways de Internet de solo salidaLas secciones siguientes describen el proceso para crear una gateway de Internet de solo salida para susubred privada, así como el proceso de configuración del direccionamiento para la subred.

Creación de una gateway de Internet de solo salidaPuede crear una gateway de Internet de solo salida para su VPC mediante la consola de Amazon VPC.

Para crear una gateway de Internet de solo salida

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Egress Only Internet Gateways.

240


Amazon Virtual Private Cloud Guía del usuarioUso de gateways de Internet de solo salida

3. Elija Create Egress Only Internet Gateway.4. Seleccione la VPC en la que desea crear la gateway de Internet de solo salida. Seleccione Create.

Visualización de una gateway de Internet de solo salidaPuede ver información acerca de una gateway de Internet de solo salida en la consola de Amazon VPC.

Para ver la información acerca de la gateway de Internet de solo salida

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Egress Only Internet Gateways.3. Seleccione la gateway de Internet de solo salida para ver su información en el panel de detalles.

Crear una tabla de ruteo personalizadaPara enviar el tráfico con destino fuera de la VPC a la gateway de Internet de solo salida, debe crear unatabla de ruteo personalizada, añadir una ruta que envíe el tráfico a la gateway y, a continuación, asociarlaa la subred.

Para crear una tabla de ruteo personalizada y añadir una ruta a la gateway de Internet de solosalida

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Route Tables, Create Route Table.3. En el cuadro de diálogo Create Route Table, podrá, de manera opcional, asignar un nombre a su tabla

de ruteo, seleccionar su VPC y, a continuación, elegir Yes, Create.4. Seleccione la tabla de ruteo personalizada que acaba de crear. El panel de detalles muestra pestañas

para trabajar con sus rutas, sus asociaciones y la propagación de rutas.5. En la pestaña Routes, elija Edit, especifique ::/0 en el cuadro Destination, seleccione el ID de la

gateway de Internet de solo salida en la lista Target y, a continuación, elija Save.6. En la pestaña Subnet Associations, elija Edit y active la casilla de verificación Associate para la

subred. Seleccione Save.

De manera alternativa, pude añadir una ruta a la tabla de ruteo existente asociada a su subred. Seleccionela tabla de ruteo existente y siga los pasos 5 y 6 anteriores para añadir una ruta a la gateway de Internet desolo salida.

Para obtener más información acerca de las tablas de ruteo, consulte Tablas de ruteo (p. 212).

Eliminación de una gateway de Internet de solo salidaSi ya no necesita la gateway de Internet de solo salida, puede eliminarlo. Las rutas de la tabla de ruteoque apuntan a la gateway de Internet de solo salida permanecerán con el estado blackhole hasta queelimine o actualice manualmente la ruta.

Para eliminar la gateway de Internet de solo salida

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Egress Only Internet Gateways y seleccione la gateway de Internet de

solo salida.3. Elija Eliminar.

241




Amazon Virtual Private Cloud Guía del usuarioInformación general de API y CLI

4. Elija Delete Egress Only Internet Gateway en el cuadro de diálogo de confirmación.

Información general de API y CLIPuede realizar las tareas descritas en esta página utilizando la línea de comandos o a un API. Paraobtener más información acerca de las interfaces de la línea de comandos, junto con una lista de lasacciones de API disponibles, consulte Acceso a Amazon VPC (p. 1).

Creación de una gateway de Internet de solo salida

• create-egress-only-internet-gateway (AWS CLI)• New-EC2EgressOnlyInternetGateway (Herramientas de AWS para Windows PowerShell)

Descripción de una gateway de Internet de solo salida

• describe-egress-only-internet-gateways (AWS CLI)• Get-EC2EgressOnlyInternetGatewayList (Herramientas de AWS para Windows PowerShell)

Eliminación de una gateway de Internet de solo salida

• delete-egress-only-internet-gateway (AWS CLI)• Remove-EC2EgressOnlyInternetGateway (Herramientas de AWS para Windows PowerShell)

NATPuede utilizar un dispositivo NAT para permitir a las instancias de la subred privada conectarse a Internet(por ejemplo, para actualizaciones de software) o a otros servicios de AWS a la vez que impide a Internetiniciar conexiones a las instancias. El dispositivo NAT reenvía el tráfico desde las instancias de la subredprivada a Internet o a otros servicios de AWS y, a continuación, envía la respuesta de nuevo a lasinstancias. Cuando el tráfico va a Internet, la dirección IPv4 de origen se reemplaza con la direccióndel dispositivo NAT y, de forma similar, cuando el tráfico de respuesta se dirige a dichas instancias, eldispositivo NAT convierte la dirección de nuevo a las direcciones IPv4 privadas de estas instancias.

Los dispositivos NAT no son compatibles con el tráfico IPv6; en su lugar, utilice un puerto de enlacea Internet de solo salida. Para obtener más información, consulte Gateways de Internet de solosalida (p. 239).

Note

En esta documentación empleamos el término NAT para seguir la práctica habitual en el sector deTI, aunque la función real de un dispositivo NAT aborda tanto la conversión de direcciones comola conversión de direcciones de puertos (PAT).

AWS ofrece dos tipos de dispositivos NAT: una gateway NAT o una instancia NAT. Recomendamoslas gateways NAT, ya que proporcionan una mayor disponibilidad y ancho de banda que las instanciasNAT. El servicio de gateway NAT también es un servicio administrado que no requiere esfuerzos deadministración por su parte. Las instancias NAT se lanzan desde una AMI de NAT. Puede elegir utilizaruna instancia NAT para casos especiales.

• Puerta de enlace NAT (p. 243)• Instancias NAT (p. 261)• Comparación de las instancias NAT con las gateways NAT (p. 269)

242

https://docs.aws.amazon.com/cli/latest/reference/ec2/create-egress-only-internet-gateway.html

https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2EgressOnlyInternetGateway.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-egress-only-internet-gateways.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2EgressOnlyInternetGatewayList.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-egress-only-internet-gateway.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2EgressOnlyInternetGateway.html

Amazon Virtual Private Cloud Guía del usuarioPuerta de enlace NAT

Puerta de enlace NATPuede utilizar una gateway de conversión de las direcciones de red (NAT) para permitir a las instanciasde la subred privada conectarse a Internet o a otros servicios de AWS a la vez que se impide a Internetiniciar una conexión a esas mismas instancias. Para obtener más información acerca de NAT, consulteNAT (p. 242).

Se le cobrará por la creación y el uso de una gateway NAT en su cuenta. Se aplican las tarifas deprocesamiento de datos y uso por horas de la gateway NAT. También se aplican cargos de Amazon EC2por la transferencia de datos. Para obtener más información, consulte Precios de Amazon VPC.

Las gateways NAT no son compatibles con el tráfico IPv6; en su lugar, utilice un puerto de enlacea Internet de solo salida. Para obtener más información, consulte Gateways de Internet de solosalida (p. 239).

Contenido• Conceptos básicos de la gateway NAT (p. 243)• Uso de gateways NAT (p. 245)• Control del uso de gateways NAT (p. 248)• Etiquetado de una gateway NAT (p. 249)• Información general de API y CLI (p. 249)• Monitorización de gateways de NAT con Amazon CloudWatch (p. 249)• Solución de problemas de gateways NAT (p. 255)

Conceptos básicos de la gateway NATPara crear una gateway NAT, debe especificar la subred pública en la que se debe encontrar la gatewayNAT. Para obtener más información acerca de las subredes públicas y privadas, consulte Direccionamientode la subred (p. 80). También debe especificar una dirección IP elástica (p. 281) para asociar a lagateway NAT cuando la cree. La dirección IP elástica no se puede cambiar una vez que la asocia con lagateway NAT. Una vez creada una gateway NAT, debe actualizar la tabla de ruteo asociada a una o variasde sus subredes privadas para que apunten el tráfico vinculado a Internet a la gateway NAT. Esto permitea las instancias de sus subredes privadas comunicarse con Internet.

Cada gateway NAT se crea en una zona de disponibilidad específica, y se implementa con redundancia endicha zona. Hay una cuota establecida en el número de gateways NAT que puede crear en una zona dedisponibilidad. Para obtener más información, consulte Cuotas de Amazon VPC (p. 342).

Note

Si tiene recursos en varias zonas de disponibilidad y comparten una gateway NAT, en caso deque la zona de disponibilidad de la gateway NAT no funcione, los recursos de las demás zonasde disponibilidad perderán el acceso a Internet. Para crear una arquitectura independiente dela zona de disponibilidad, cree una gateway NAT en cada zona de disponibilidad y configure eldireccionamiento para asegurarse de que los recursos utilicen la gateway NAT de la misma zonade disponibilidad.

Si ya no necesita una gateway NAT, puede eliminarla. Al eliminar una gateway NAT, se desasocia sudirección IP elástica, pero no se libera la dirección de su cuenta.

El siguiente diagrama ilustra la arquitectura de una VPC con una gateway NAT. La tabla de ruteo principalenvía el tráfico de Internet desde las instancias de la subred privada a la gateway NAT. La gateway NATusa la dirección IP elástica de la gateway NAT como la dirección IP de origen para enviar el tráfico alpuerto de enlace a Internet.

243

http://aws.amazon.com/vpc/pricing/


Reglas y limitaciones de gateway NAT

Las gateways NAT tienen las siguientes características y limitaciones:

• Las gateways NAT admiten 5 Gbps de ancho de banda y se amplían automáticamente hasta 45 Gbps.Si necesita más velocidad, distribuya la carga de trabajo dividiendo los recursos en varias subredes ycreando una gateway NAT en cada subred.

• Puede asociar exactamente una dirección IP elástica a una gateway NAT. No puede desasociar unadirección IP elástica de una gateway NAT después de crearla. Para usar una dirección IP elásticadistinta para su gateway NAT, debe crear una nueva gateway NAT con la dirección necesaria, actualizarsus tablas de ruteo y, a continuación, eliminar la gateway NAT existente si ya no la necesita.

• Una gateway NAT admite los siguientes protocolos: TCP, UDP e ICMP.• No puede asociar un grupo de seguridad a una gateway NAT. Puede usar grupos de seguridad para sus

instancias en las subredes privadas para controlar el tráfico entrante y saliente de estas instancias.• Puede usar una ACL de red para controlar el tráfico hacia la subred y procedente de esta en la que se

encuentra la gateway NAT. La ACL de red se aplica al tráfico de la gateway NAT. Una gateway NATutiliza los puertos 1024-65535. Para obtener más información, consulte ACL de red (p. 175).

• Cuando se crea una gateway NAT, recibe una interfaz de red a la que se asigna automáticamente unadirección IP privada del rango de direcciones IP de su subred. Puede ver la interfaz de red de la gatewayNAT en la consola de Amazon EC2. Para obtener más información, consulte Ver los detalles de unainterfaz de red. No se pueden modificar los atributos de esta interfaz de red.

• No se puede obtener acceso a una gateway NAT desde una conexión de ClassicLink asociada a suVPC.

244

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html#view_eni_details

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html#view_eni_details


• No se puede dirigir el tráfico a una gateway NAT mediante una interconexión de VPC, una conexión deSite-to-Site VPN ni AWS Direct Connect. No es posible utilizar una gateway NAT con recursos situadosen el otro lado de dichas conexiones.

• Una gateway NAT puede admitir hasta 55,000 conexiones simultáneas a cada destino único. Este límitese aplica también cuando se crean aproximadamente 900 conexiones por segundo hacia un únicodestino (sobre 55 000 conexiones por minuto). Si la dirección IP de destino, el puerto de destino o elprotocolo (TCP/UDP/ICMP) cambian, puede crear 55 000 conexiones adicionales. Cuando hay más de55 000 conexiones, las probabilidades de errores de conexión aumentan debido a errores de asignaciónde puertos. Estos errores se pueden monitorizar examinando la métrica de ErrorPortAllocationCloudWatch para la gateway NAT. Para obtener más información, consulte Monitorización de gatewaysde NAT con Amazon CloudWatch (p. 249).

Migración desde una instancia NAT

Si ya está utilizando una instancia NAT, puede reemplazarla por una gateway NAT. Para ello, puede crearuna gateway NAT en la misma subred que su instancia NAT, y luego reemplazar la ruta existente en sutabla de ruteo que apunta a la instancia NAT por una ruta que apunte a la gateway NAT. Para usar lamisma dirección IP elástica para la gateway NAT que utiliza actualmente para su instancia NAT, primerodebe desasociar la dirección IP elástica de su instancia NAT y asociarla a su gateway NAT al crear lagateway.

Note

Si cambia su direccionamiento de una instancia NAT a una gateway NAT, o si desasocia ladirección IP elástica de su instancia NAT, las conexiones actuales se perderán y tendrá que volvera establecerlas. Asegúrese de no estar ejecutando ninguna tarea crítica (o cualquier otra tareaque opere mediante la instancia NAT).

Práctica recomendada al enviar tráfico a Amazon S3 o DynamoDB en la mismaregión

Para evitar cargos por procesamiento de datos para las gateways NAT al obtener acceso a Amazon S3y DynamoDB que se encuentran en la misma región, configure un punto de enlace de puerta de enlace ydireccione el tráfico a través del punto de enlace de gateway en vez de la gateway NAT. No hay cargos porusar un punto de enlace de gateway. Para obtener más información, consulte Puntos de conexión de laVPC de gateway (p. 302).

Uso de gateways NATPuede utilizar la consola de Amazon VPC para crear, ver y eliminar gateways NAT. También puedeutilizar el asistente de Amazon VPC para crear una VPC con una subred pública, una subred privaday una gateway NAT. Para obtener más información, consulte VPC con subredes privadas y públicas(NAT) (p. 27).

Tareas• Crear una puerta de enlace NAT (p. 245)• Actualizar la tabla de ruteo (p. 246)• Eliminación de una gateway NAT (p. 246)• Comprobación de una gateway NAT (p. 247)

Crear una puerta de enlace NAT

Para crear una gateway NAT, debe especificar una subred y una dirección IP elástica. Asegúrese de quela dirección IP elástica no está asociada actualmente a una instancia o una interfaz de red. Si va a migrar

245


de una instancia NAT a una gateway NAT y desea reutilizar la dirección IP elástica de la instancia NAT,primero debe desasociar la dirección de su instancia NAT.

Para crear una gateway NAT

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija NAT Gateways, Create NAT Gateway.3. Especifique la subred en la que crear la gateway NAT y seleccione el ID de asignación de una

dirección IP elástica que asociar a la gateway NAT. Cuando haya terminado, elija Create a NATGateway.

4. La gateway NAT aparecerá en la consola. Después de un momento, su estado cambiará aAvailable, una vez que esté lista para su uso.

Si la gateway NAT cambia al estado Failed, esto indica que ha habido un error durante la creación. Paraobtener más información, consulte La gateway NAT cambia a un estado de error (p. 255).

Actualizar la tabla de ruteo

Una vez creada su gateway NAT, debe actualizar sus tablas de ruteo para sus que sus redes privadasapunten el tráfico de Internet a la gateway NAT. Para determinar cómo dirigir tráfico, se usa la ruta másespecífica que coincida con el tráfico en cuestión (coincidencia del prefijo más largo). Para obtener másinformación, consulte Prioridad de ruta (p. 218).

Para crear una ruta para una gateway NAT

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Route Tables.3. Seleccione la tabla de ruteo asociada a su subred privada y elija Routes, Edit.4. Elija Add another route. En Destination, escriba 0.0.0.0/0. En Target, seleccione el ID de su

gateway NAT.

Note

Si va a migrar de utilizar una instancia NAT, puede reemplazar la ruta actual que apunte a lainstancia NAT con una ruta a la gateway NAT.

5. Seleccione Save (Guardar).

Para asegurarse de que su gateway NAT tiene acceso a Internet, la tabla de ruteo asociada a la subred enla que reside su gateway NAT debe incluir una ruta que apunte el tráfico de Internet a un puerto de enlacea Internet. Para obtener más información, consulte Crear una tabla de ruteo personalizada (p. 236).Si elimina una gateway NAT, sus rutas permanecerán con el estado blackhole hasta que las elimineo las actualice. Para obtener más información, consulte Adición y eliminación de rutas de una tabla deruteo (p. 228).

Eliminación de una gateway NAT

Puede eliminar una gateway NAT través de la consola de Amazon VPC. Una vez eliminada la gatewayNAT, su entrada permanecerá visible en la consola de Amazon VPC durante un breve periodo(normalmente una hora) hasta que se elimine automáticamente. No puede quitar esta entrada por símismo.

Para eliminar una gateway NAT


246





2. En el panel de navegación, elija NAT Gateways.3. Seleccione la gateway NAT y, a continuación, elija Actions (Acciones) y Delete NAT Gateway (Eliminar

gateway NAT).4. En el cuadro de diálogo de confirmación, elija Delete NAT Gateway.

Comprobación de una gateway NATUna vez que ha creado su gateway de NAT y ha actualizado sus tablas de ruteo, puede hacer ping aInternet desde direcciones remotas de internet desde una instancia de su subred privada para comprobarque puede conectarse a Internet. Para ver un ejemplo práctico, consulte Comprobación de la conexión aInternet (p. 247).

Si se puede conectar a Internet, también podrá realizar las siguientes pruebas para determinar si el tráficode Internet se está dirigiendo a través de la gateway NAT:

• Puede trazar la ruta de tráfico desde una instancia de su subred privada. Para ello, ejecute el comandotraceroute desde una instancia de Linux en su subred privada. En el resultado, debería ver ladirección IP privada de la gateway NAT en uno de los saltos (suele ser el primero).

• Puede utilizar un sitio web o una herramienta de terceros que muestre la dirección IP de origen alconectarse desde una instancia de su subred privada. La dirección IP de origen debería ser la direcciónIP elástica de su gateway NAT. Puede obtener la dirección IP elástica y la dirección IP privada de sugateway NAT viendo su información en la página NAT Gateways (Gateways NAT) de la consola deAmazon VPC.

Si las pruebas anteriores no son satisfactorias, consulte Solución de problemas de gatewaysNAT (p. 255).

Comprobación de la conexión a Internet

El siguiente ejemplo muestra cómo comprobar si su instancia en una subred privada se puede conectar aInternet.

1. Lance una instancia en su subred pública (la usará como host bastión). Para obtener más información,consulte Lanzamiento de una instancia en su subred (p. 85). En el asistente de lanzamiento, asegúresede seleccionar una AMI de Amazon Linux y de asignar una dirección IP pública a su instancia.Asegúrese de que las reglas de su grupo de seguridad admiten el tráfico SSH entrante del rango dedirecciones IP de su red local y el tráfico SSH saliente al rango de direcciones IP de su subred privada(también puede utilizar 0.0.0.0/0 para el tráfico SSH tanto entrante como saliente en esta prueba).

2. Lance una instancia en su subred privada. En el asistente de lanzamiento, asegúrese de seleccionaruna AMI de Amazon Linux. No asigne una dirección IP pública a su instancia. Asegúrese de quelas reglas de su grupo de seguridad admiten el tráfico SSH entrante de la dirección IP privada de lainstancia que lanzó en la subred pública, así como todo el tráfico ICMP saliente. Debe elegir el mismopar de claves que utilizó para lanzar su instancia en la subred pública.

3. Configure el reenvío de agentes SSH en su equipo local, y conéctese a su host bastión en la subredpública. Para obtener más información, consulte Para configurar el reenvío de agentes SSH para Linuxo macOS (p. 247) o Para configurar el reenvío de agentes SSH para Windows (PuTTY) (p. 248).

4. Desde el host bastión, conéctese a su instancia en la subred privada y, a continuación, compruebe laconexión a Internet desde su instancia en la subred privada. Para obtener más información, consultePara comprobar la conexión a Internet (p. 248).

Para configurar el reenvío de agentes SSH para Linux o macOS

1. Desde su equipo local, añada su clave privada al agente de autenticación.

Para Linux, utilice el siguiente comando:

247


ssh-add -c mykeypair.pem

Para macOS, utilice el siguiente comando:

ssh-add -K mykeypair.pem

2. Conéctese a su instancia en la subred pública utilizando la opción -A para habilitar el reenvío deagentes SSH, y utilice la dirección pública de la instancia. Por ejemplo:

ssh -A [email protected]

Para configurar el reenvío de agentes SSH para Windows (PuTTY)

1. Descargue e instale Pageant desde la página de descargas de PuTTY, si aún no lo tiene instalado.2. Convierta su clave privada al formato .ppk. Para obtener más información, consulte Conversión de la

clave privada mediante PuTTYgen en la Guía del usuario de Amazon EC2 para instancias de Linux.3. Inicie Pageant, haga clic con el botón derecho en el icono de Pageant de la barra de tareas (puede

estar oculto) y elija Add Key. Seleccione el archivo .ppk que ha creado, escriba la frase de contraseñasi es necesario y elija Open.

4. Inicie una sesión de PuTTY y conéctese a su instancia en la subred pública utilizando su dirección IPpública. Para obtener más información, consulte la sección sobre cómo iniciar una sesión de PuTTY.En la categoría Auth, asegúrese de seleccionar la opción Allow agent forwarding y deje el cuadroPrivate key file for authentication en blanco.

Para comprobar la conexión a Internet

1. Desde su instancia en la subred pública, conéctese a su instancia en su subred privada utilizando sudirección IP privada. Por ejemplo:

ssh [email protected]

2. Desde su instancia privada, compruebe que puede conectarse a Internet ejecutando el comando pingpara un sitio web que tenga ICMP habilitado; por ejemplo:

ping ietf.org

PING ietf.org (4.31.198.44) 56(84) bytes of data.64 bytes from mail.ietf.org (4.31.198.44): icmp_seq=1 ttl=47 time=86.0 ms64 bytes from mail.ietf.org (4.31.198.44): icmp_seq=2 ttl=47 time=75.6 ms...

Pulse Ctrl+C en su teclado para cancelar el comando ping. Si el comando ping da error, consulteLas instancias no pueden obtener acceso a Internet (p. 258).

3. (Opcional) Si ya no necesita las instancias, termínelas. Para obtener más información, consulteTerminar la instancia en la Guía del usuario de Amazon EC2 para instancias de Linux.

Control del uso de gateways NATDe forma predeterminada, los usuarios de IAM no tienen permiso para trabajar con gateways NAT.Puede crear una política de usuarios de IAM que conceda permisos a los usuarios para crear, describir y

248

http://www.chiark.greenend.org.uk/~sgtatham/putty/

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/putty.html#putty-private-key


https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/putty.html#putty-ssh



eliminar gateways NAT. Actualmente no se admiten los permisos de nivel de recursos para ninguna de lasoperaciones API de ec2:*NatGateway*. Para obtener más información sobre las políticas de IAM paraAmazon VPC, consulte Identity and Access Management para Amazon VPC (p. 125).

Etiquetado de una gateway NATPuede etiquetar la gateway NAT como ayuda para identificarla o clasificarla según las necesidades desu organización. Para obtener información sobre cómo trabajar con etiquetas, consulte Etiquetado de losrecursos de Amazon EC2 en la Guía del usuario de Amazon EC2 para instancias de Linux.

Las etiquetas de asignación de costos se admiten para las gateways NAT, por lo tanto, también puedeusar etiquetas para organizar la factura de AWS y reflejar su propia estructura de costos. Para obtener másinformación, consulte Uso de etiquetas de asignación de costos en la Guía del usuario de AWS Billing andCost Management. Para obtener más información acerca de la configuración de un informe de asignaciónde costos con etiquetas, consulte Informe de asignación de costos mensual en la sección sobre facturaciónde cuentas de AWS.

Información general de API y CLIPuede realizar las tareas descritas en esta página utilizando la línea de comandos o al API. Para obtenermás información acerca de las interfaces de la línea de comandos, junto con una lista de las operacionesde API disponibles, consulte Acceso a Amazon VPC (p. 1).

Creación de una gateway NAT

• create-nat-gateway (AWS CLI)• New-EC2NatGateway (Herramientas de AWS para Windows PowerShell)• CreateNatGateway (API de consulta de Amazon EC2)

Etiquetar una gateway NAT

• create-tags (AWS CLI)• New-EC2Tag (Herramientas de AWS para Windows PowerShell)• CreateTags (API de consulta de Amazon EC2)

Descripción de una gateway NAT

• describe-nat-gateways (AWS CLI)• Get-EC2NatGateway (Herramientas de AWS para Windows PowerShell)• DescribeNatGateways (API de consulta de Amazon EC2)

Eliminación de una gateway NAT

• delete-nat-gateway (AWS CLI)• Remove-EC2NatGateway (Herramientas de AWS para Windows PowerShell)• DeleteNatGateway (API de consulta de Amazon EC2)

Monitorización de gateways de NAT con Amazon CloudWatchPuede monitorizar la gateway NAT con CloudWatch, que recopila información de la gateway NAT y creamétricas legibles y casi en tiempo real. Puede utilizar esta información para monitorizar la gateway NAT y

249

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html

https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html

https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/configurecostallocreport.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/create-nat-gateway.html

https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2NatGateway.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateNatGateway.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/create-tags.html

https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Tag.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateTags.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-nat-gateways.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2NatGateway.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeNatGateways.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-nat-gateway.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2NatGateway.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DeleteNatGateway.html


solucionar sus problemas. Los datos de las métricas de gateway NAT se proporcionan en intervalos de unminuto y las estadísticas se registran durante un periodo de 15 meses.

Para obtener más información sobre Amazon CloudWatch, consulte Guía del usuario de AmazonCloudWatch. Para obtener más información sobre los precios, consulte Precios de Amazon CloudWatch.

Métricas y dimensiones de gateway NAT

Las siguientes métricas están disponibles para las gateways de NAT.

Métrica Descripción

ActiveConnectionCount Número total de conexiones TCP simultáneasactivas a través de la gateway NAT.

Si el valor es cero, indica que no hay conexionesactivas a través de la gateway NAT.

Unidades: recuento

Estadísticas: la estadística más útil es Max.

BytesInFromDestination Número de bytes recibidos por la gateway NATdesde el destino.

Si el valor de BytesOutToSource es menorque el valor de BytesInFromDestination,puede que se estén perdiendo datos duranteel procesamiento de la gateway NAT o que lagateway NAT bloquee el tráfico.

Unidades: bytes

Estadísticas: la estadística más útil es Sum.

BytesInFromSource Número de bytes recibidos por la gateway NATdesde los clientes de la VPC.

Si el valor de BytesOutToDestination esmenor que el valor de BytesInFromSource,puede que se estén perdiendo datos durante elprocesamiento de la gateway NAT.

Unidades: bytes


BytesOutToDestination Número de bytes enviados a través de la gatewayNAT al destino.

Un valor mayor que cero indica que hay tráficoen dirección a Internet desde los clientes que seencuentran detrás de la gateway NAT. Si el valorde BytesOutToDestination es menor que elvalor de BytesInFromSource, puede que seestén perdiendo datos durante el procesamiento dela gateway NAT.

Unidades: bytes

250

https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/

https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/

http://aws.amazon.com/cloudwatch/pricing


Métrica DescripciónEstadísticas: la estadística más útil es Sum.

BytesOutToSource Número de bytes enviados a través de la gatewayNAT a los clientes de la VPC.

Un valor mayor que cero indica que hay tráficoprocedente de Internet a los clientes que seencuentran detrás de la gateway NAT. Si el valorde BytesOutToSource es menor que el valor deBytesInFromDestination, puede que se esténperdiendo datos durante el procesamiento de lagateway NAT o que la gateway NAT bloquee eltráfico.

Unidades: bytes


ConnectionAttemptCount Número de intentos de conexión realizados através de la gateway NAT.

Si el valor de ConnectionEstablishedCountes menor que el valor deConnectionAttemptCount, esto indica que losclientes que se encuentran detrás de la gatewayNAT han intentado establecer nuevas conexiones,pero que no han obtenido respuesta.

Unidad: recuento


ConnectionEstablishedCount Número de conexiones establecidas a través de lagateway NAT.

Si el valor de ConnectionEstablishedCountes menor que el valor deConnectionAttemptCount, esto indica que losclientes que se encuentran detrás de la gatewayNAT han intentado establecer nuevas conexiones,pero que no han obtenido respuesta.

Unidad: recuento


ErrorPortAllocation Número de veces que la gateway NAT no pudoasignar un puerto de origen.

Un valor mayor que cero indica que haydemasiadas conexiones simultáneas abiertas através de la gateway NAT.

Unidades: recuento


251



IdleTimeoutCount El número de conexiones que pasaroncorrectamente del estado Active al estado Idle.Una conexión con el estado Active pasa al estadoIdle si no se cierra bien y no hay ninguna actividaden los últimos 350 segundos.

Un valor mayor que cero indica que hayconexiones han entrado en el estado deinactividad. Si el valor de IdleTimeoutCountaumenta, podría indicar que los clientes quese encuentran detrás de la gateway NAT estánreutilizando conexiones obsoletas.

Unidad: recuento


PacketsDropCount Número de paquetes que la gateway NAT haperdido.

Un valor mayor que cero puede indicar que existeun problema transitorio con la gateway NAT. Siel valor es alto, consulte el Panel de estado delservicio de AWS.

Unidades: recuento


PacketsInFromDestination Número de paquetes recibidos por la gateway NATdesde el destino.

Si el valor de PacketsOutToSource es menorque el valor de PacketsInFromDestination,puede que se estén perdiendo datos duranteel procesamiento de la gateway NAT o que lagateway NAT bloquee el tráfico.

Unidad: recuento


PacketsInFromSource Número de paquetes recibidos por la gateway NATdesde los clientes de la VPC.

Si el valor de PacketsOutToDestination esmenor que el valor de PacketsInFromSource,puede que se estén perdiendo datos durante elprocesamiento de la gateway NAT.

Unidad: recuento


252

http://status.aws.amazon.com/

http://status.aws.amazon.com/



PacketsOutToDestination Número de paquetes enviados a través de lagateway NAT al destino.

Un valor mayor que cero indica que hay tráficoen dirección a Internet desde los clientes que seencuentran detrás de la gateway NAT. Si el valorde PacketsOutToDestination es menor que elvalor de PacketsInFromSource, puede que seestén perdiendo datos durante el procesamiento dela gateway NAT.

Unidad: recuento


PacketsOutToSource Número de paquetes enviados a través de lagateway NAT a los clientes de la VPC.

Un valor mayor que cero indica que hay tráficoprocedente de Internet a los clientes que seencuentran detrás de la gateway NAT. Si el valorde PacketsOutToSource es menor que el valorde PacketsInFromDestination, puede que seestén perdiendo datos durante el procesamiento dela gateway NAT o que la gateway NAT bloquee eltráfico.

Unidad: recuento


Para filtrar los datos de las métricas, use la siguiente dimensión.

Dimensión Descripción

NatGatewayId Filtra los datos de las métricas en función del ID degateway NAT.

Ver métricas de CloudWatch de gateways NAT

Las métricas de la gateway NAT se envían a CloudWatch en intervalos de un minuto. Puede ver lasmétricas de las gateways NAT de la manera siguiente.

Para consultar las métricas desde la consola de CloudWatch

Las métricas se agrupan en primer lugar por el espacio de nombres de servicio y, a continuación, por lasdiversas combinaciones de dimensiones dentro de cada espacio de nombres.

1. Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.2. En el panel de navegación, seleccione Metrics.3. En All metrics elija el espacio de nombres de métricas NAT gateway.4. Para ver las métricas, seleccione la dimensión de métricas.

253



Para ver métricas mediante la AWS CLI

En el símbolo del sistema, use el siguiente comando para enumerar las métricas que están disponiblespara el servicio de gateway NAT:

aws cloudwatch list-metrics --namespace "AWS/NATGateway"

Creación de alarmas de CloudWatch para monitorizar una gateway NAT

Puede crear una alarma de CloudWatch que envíe un mensaje de Amazon SNS cuando la alarmacambie de estado. Una alarma vigila una métrica determinada durante el periodo especificado. Envía unanotificación a un tema de Amazon SNS según el valor de la métrica con respecto a un umbral dado durantevarios periodos de tiempo.

Por ejemplo, puede crear una alarma que monitorice el volumen de tráfico que entra o sale de la gatewayNAT. La alarma siguiente monitoriza el volumen de tráfico saliente de los clientes de la VPC a través dela gateway NAT a Internet. Envía una notificación cuando el número de bytes alcanza un umbral de 5 000000 durante un periodo de 15 minutos.

Para crear una alarma para el tráfico saliente a través de la gateway NAT

1. Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.2. En el panel de navegación, elija Alarms, Create Alarm.3. Elija NAT gateway.4. Seleccione la gateway NAT y la métrica BytesOutToDestination; a continuación, elija Next.5. Configure la alarma del modo que se indica y elija Create Alarm cuando haya terminado:

• En Alarm Threshold, escriba el nombre y la descripción de la alarma. En Whenever, elija >= yescriba 5000000. Escriba 1 para los periodos consecutivos.

• En Actions, seleccione una notificación existente o elija New list para crear una.• En Alarm Preview, seleccione un periodo de 15 minutos y especifique una estadística de Sum.

Puede crear una alarma que monitorice la métrica ErrorPortAllocation y envíe una notificacióncuando el valor sea mayor que cero (0) durante tres periodos consecutivos de 5 minutos.

Para crear una alarma para monitorizar los errores de asignación de puertos

1. Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.2. En el panel de navegación, elija Alarms, Create Alarm.3. Elija NAT Gateway.4. Seleccione la gateway NAT y la métrica ErrorPortAllocation; a continuación, elija Next.5. Configure la alarma del modo que se indica y elija Create Alarm cuando haya terminado:

• En Alarm Threshold, escriba el nombre y la descripción de la alarma. En Whenever, elija > y escriba0. Escriba 3 para los periodos consecutivos.

• En Actions, seleccione una notificación existente o elija New list para crear una.• En Alarm Preview, seleccione un periodo de 5 minutos y especifique una estadística de Maximum.

Para obtener más ejemplos de creación de alarmas, consulte Creación de alarmas de AmazonCloudWatch en la Guía del usuario de Amazon CloudWatch.

254



https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html

https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html


Solución de problemas de gateways NATLos siguientes temas le ayudarán a solucionar problemas comunes que podría encontrarse a la hora decrear o utilizar una gateway NAT.

Problemas• La gateway NAT cambia a un estado de error (p. 255)• Cuotas de las direcciones IP elásticas y las gateway NAT (p. 256)• La zona de disponibilidad no es compatible (p. 257)• La gateway NAT ya no está visible (p. 257)• La gateway NAT no responde a un comando ping (p. 258)• Las instancias no pueden obtener acceso a Internet (p. 258)• Error de la conexión TCP a un destino (p. 259)• La salida del comando traceroute no muestra la dirección IP privada de la gateway NAT (p. 260)• La conexión a Internet se pierde después de 350 segundos (p. 260)• La conexión IPsec no se puede establecer (p. 260)• No se pueden iniciar más conexiones (p. 261)

La gateway NAT cambia a un estado de error

Problema

Al crear una gateway NAT, esta cambia al estado Failed.

Causa

Se produjo un error al crear la gateway NAT. El mensaje de error proporcionado indica el motivo del error.

Solución

Para ver el mensaje de error, vaya a la consola de Amazon VPC y, a continuación, elija NAT Gateways(Gateways NAT). Seleccione su gateway NAT y, a continuación, consulte el mensaje de error en el cuadroStatus (Estado) del panel de detalles.

La siguiente tabla enumera las causas posibles del error según lo que indique la consola de Amazon VPC.Tras aplicar los pasos recomendados como solución, puede intentar volver a crear una gateway NAT.

Note

Una gateway NAT con error se elimina automáticamente después de un breve periodo,normalmente de una hora.

Error mostrado Causa Solución

Subnet has insufficient freeaddresses to create this NATgateway

La subred que ha especificadono tiene ninguna dirección IPprivada libre. La gateway NATrequiere una interfaz de redcon una dirección IP privadaasignada desde el rango de lasubred.

Vaya a la página Subnets(Subredes) de la consola deAmazon VPC para comprobarcuántas direcciones IP haydisponibles en su subred.Puede ver las Available IPs(IP disponibles) en el panel dedetalles de su subred. Paracrear direcciones IP libres ensu subred, puede eliminar las

255


Error mostrado Causa Solucióninterfaces de red que no utilice, obien terminar las instancias queno necesite.

Network vpc-xxxxxxxx has nointernet gateway attached

Debe haber una gateway NATcreada en una VPC con unpuerto de enlace a Internet.

Cree un puerto de enlace aInternet y vincúlelo a su VPC.Para obtener más información,consulte Creación y asociaciónde un puerto de enlace aInternet (p. 236).

Elastic IP address eipalloc-xxxxxxxx could not be associatedwith this NAT gateway

La dirección IP elástica que haespecificado no existe o no sepuede encontrar.

Compruebe el ID de asignaciónde la dirección IP elástica paraasegurarse de haberlo escritocorrectamente. Asegúrese dehaber especificado una direcciónIP elástica que se encuentre enla misma región de AWS en laque está creando la gatewayNAT.

Elastic IP address eipalloc-xxxxxxxx is already associated

La dirección IP elástica que haespecificado ya está asociadaa otro recurso, y no se puedeasociar a la gateway NAT.

Compruebe qué recurso estáasociado a la dirección IPelástica. Vaya a la página ElasticIPs (IP elásticas) de la consolade Amazon VPC y consulte losvalores especificados para elID de instancia o el ID de lainterfaz de red. Si no necesitala dirección IP elástica para eserecurso, puede desasociarla.De forma alternativa, puedeasignar una nueva direcciónIP elástica a su cuenta. Paraobtener más información,consulte Uso de direcciones IPelásticas (p. 282).

Network interface eni-xxxxxxxx,created and used internally bythis NAT gateway is in an invalidstate. Inténtelo de nuevo.

Ha habido un problema al crearo utilizar la interfaz de red para lagateway NAT.

No puede resolver este error.Intente crear de nuevo unagateway NAT.

Cuotas de las direcciones IP elásticas y las gateway NAT

Problema

Cuando intenta asignar una dirección IP elástica, obtiene el siguiente error:

The maximum number of addresses has been reached.

Cuando intenta crear una gateway NAT, obtiene el siguiente mensaje de error:

Performing this operation would exceed the limit of 5 NAT gateways

256


Causa

Hay dos causas posibles:

• Ha alcanzado la cuota de direcciones IP elásticas para su cuenta en esa región.• Ha alcanzado la cuota de gateways NAT para su cuenta en esa zona de disponibilidad.

Solución

Si ha alcanzado la cuota de direcciones IP elásticas, puede anular la asociación de una dirección IPelástica de otro recurso. También puede solicitar un aumento de la cuota mediante el Formulario de límitesde Amazon VPC.

Si ha alcanzado la cuota de su gateway NAT, puede elegir una de las siguientes opciones:

• Solicite un aumento de las cuotas utilizando el Formulario de límites de Amazon VPC. La cuota degateways de NAT se aplica según la zona de disponibilidad.

• Compruebe el estado de su gateway NAT. Una gateway con los estados Pending, Available oDeleting cuenta al calcular la cuota. Si ha eliminado recientemente una gateway NAT, espere unosminutos para que el estado cambie de Deleting a Deleted. A continuación, intente crear una nuevagateway NAT.

• Si no necesita que su gateway NAT esté en una zona de disponibilidad específica, intente crear unagateway NAT en una zona de disponibilidad en la que no haya alcanzado la cuota.

Para obtener más información, consulte Cuotas de Amazon VPC (p. 342).

La zona de disponibilidad no es compatibleProblema

Cuando intenta crear una gateway NAT, obtiene el siguiente mensaje de error: NotAvailableInZone.

Causa

Puede que esté intentando crear la gateway NAT en una zona de disponibilidad limitada, es decir, unazona en la que la capacidad de ampliación esté restringida.

Solución

Las gateways NAT no son compatibles en estas zonas de disponibilidad. Puede crear una gateway NATen otra zona de disponibilidad y usarla para subredes privadas en la zona limitada. También puede moverlos recursos a una zona de disponibilidad no limitada para que sus recursos y su gateway NAT estén en lamisma zona.

La gateway NAT ya no está visibleProblema

Ha creado una gateway NAT, pero ya no está visible en la consola de Amazon VPC.

Causa

Puede que haya habido un error en la creación de su gateway NAT. Una gateway NAT con el estadoFailed estará visible en la consola de Amazon VPC durante un breve periodo (normalmente una hora).Después de una hora, se elimina automáticamente.

Solución

Revise la información en La gateway NAT cambia a un estado de error (p. 255) e intente crear una nuevagateway NAT.

257

https://console.aws.amazon.com/support/home#/case/create?issueType=service-limit-increase&limitType=vpc




La gateway NAT no responde a un comando pingProblema

Cuando intenta hacer ping a la dirección IP elástica de una gateway NAT o en la dirección IP privadadesde Internet (por ejemplo, desde su equipo doméstico) o desde alguna instancia en su VPC, no obtieneninguna respuesta.

Causa

Una gateway NAT solo pasa el tráfico desde una instancia de una subred privada a Internet.

Solución

Para comprobar si su gateway NAT está funcionando, consulte Comprobación de una gatewayNAT (p. 247).

Las instancias no pueden obtener acceso a InternetProblema

Ha creado una gateway NAT y ha seguido los pasos para probarla, pero el comando ping produce unerror o sus instancias de la subred privada no tienen acceso a Internet.

Causas

Este problema podría deberse a una de las siguientes causas:

• La gateway NAT no está lista para dirigir tráfico.• Sus tablas de ruteo no se han configurado correctamente.• Sus grupos de seguridad o las ACL de red están bloqueando el tráfico entrante o saliente.• Está utilizando un protocolo no admitido.

Solución

Compruebe la siguiente información:

• Compruebe que la gateway NAT tiene el estado Available. En la consola de Amazon VPC, vaya ala página NAT Gateways (Gateways NAT) y consulte la información de estado en el panel de detalles.Si la gateway NAT tiene un estado de error, puede que haya habido un error durante su creación. Paraobtener más información, consulte La gateway NAT cambia a un estado de error (p. 255).

• Asegúrese de haber configurado las tablas de ruteo correctamente:• La gateway NAT debe estar en una subred pública con una tabla de ruteo que direccione el tráfico de

Internet a un puerto de enlace a Internet. Para obtener más información, consulte Crear una tabla deruteo personalizada (p. 236).

• Su instancia debe estar en una subred privada con una tabla de ruteo que direccione el tráficode Internet a la gateway NAT. Para obtener más información, consulte Actualizar la tabla deruteo (p. 246).

• Compruebe que no haya otras entradas de tabla de ruteo que dirijan todo o parte del tráfico de Interneta otro dispositivo en lugar de a la gateway NAT.

• Asegúrese de que las reglas de su grupo de seguridad para su instancia privada permiten el tráfico desalida de Internet. Para que el comando ping funcione, las reglas también deben permitir el tráfico ICMPsaliente.

Note

La gateway NAT permite por sí misma todo el tráfico de salida, y el tráfico recibido en respuestaa una solicitud saliente (por tanto, es con estado).

258


• Asegúrese de que las ACL de red estén asociadas a la subred privada y de que las subredes públicasno tengan reglas que bloqueen el tráfico de entrada y salida de Internet. Para que el comando pingfuncione, las reglas también deben permitir el tráfico ICMP entrante y saliente.

Note

Puede habilitar los logs de flujo para que le ayuden a diagnosticar las conexiones perdidas acausa de las reglas de grupos de seguridad o de ACL de red. Para obtener más información,consulte Logs de flujo de VPC (p. 141).

• Si va a utilizar el comando ping, asegúrese de hacer ping a un host con ICMP habilitado. Si ICMP no seha habilitado, no recibirá paquetes de respuesta. Para comprobar esto, ejecute el mismo comando pingdesde el terminal de línea de comandos en su propio equipo.

• Asegúrese de que su instancia puede hacer ping a otros recursos, como, por ejemplo, otras instanciasde la subred privada (suponiendo que las reglas de ese grupo de seguridad lo permitan).

• Asegúrese de que su conexión esté utilizando únicamente un protocolo TCP, UDP o ICMP.

Error de la conexión TCP a un destino

Problema

Algunas de sus conexiones TCP desde instancias de una subred privada a un destino específico a travésde una gateway de NAT se realizan correctamente, pero otras producen errores o se agota el tiempo deespera.

Causas

Este problema podría deberse a una de las siguientes causas:

• El punto de enlace de destino responde con paquetes TCP fragmentados. Una gateway NAT noadmite actualmente la fragmentación de IP para TCP o ICMP. Para obtener más información, consulteComparación de las instancias NAT con las gateways NAT (p. 269).

• La opción tcp_tw_recycle, de la que se sabe que causa problemas cuando hay varias conexionesdesde detrás de un dispotivo NAT, está habilitada en el servidor remoto.

Soluciones

Haga lo siguiente para comprobar si el punto de enlace al que intenta conectarse está respondiendo conpaquetes TCP fragmentados:

1. Utilizar una instancia en una subred pública con una dirección IP pública para desencadenar unarespuesta lo suficientemente grande para provocar la fragmentación desde el punto de enlaceespecífico.

2. Utilizar tcpdump para verificar que el punto de conexión esté enviando paquetes fragmentados.

Important

Debe utilizar una instancia en una subred pública para realizar estas comprobaciones. Nopuede utilizar la instancia desde la que estaba fallando la conexión original ni una instancia enuna subred privada detrás de una gateway NAT o una instancia NAT.

Note

Las herramientas de diagnóstico que envían o reciben grandes paquetes ICMP informarán dela pérdida de paquetes. Por ejemplo, el comando ping -s 10000 example.com no funcionatras una gateway NAT.

3. Si el punto de conexión está enviando paquetes TCP fragmentados, puede utilizar una instancia NAT enlugar de una gateway NAT.

259


Si tiene acceso al servidor remoto, haga lo siguiente para comprobar si la opción tcp_tw_recycle estáhabilitada:

1. Desde el servidor, ejecute el comando siguiente.

cat /proc/sys/net/ipv4/tcp_tw_recycle

Si el resultado es 1, la opción tcp_tw_recycle está habilitada.2. Si se ha habilitado tcp_tw_recycle, le recomendamos deshabilitarla. Si necesita reutilizar las

conexiones, tcp_tw_reuse es una opción más segura.

Si no tiene acceso al servidor remoto, pruebe a deshabilitar temporalmente la opción tcp_timestamps enuna instancia de la subred privada. A continuación, vuelva a conectarse al servidor remoto. Si la conexiónse realiza correctamente, puede que el error anterior se deba a que la opción tcp_tw_recycle estáhabilitada en el servidor remoto. Si es posible, póngase en contacto con el propietario del servidor remotopara comprobar si esta opción está habilitada y solicitar que se deshabilite.

La salida del comando traceroute no muestra la dirección IP privada de lagateway NATProblema

Su instancia puede obtener acceso a Internet, pero al ejecutar el comando traceroute, la salida nomuestra la dirección IP privada de la gateway NAT.

Causa

Su instancia está obteniendo acceso a Internet mediante una gateway distinta, como una gateway deInternet.

Solución

En la tabla de ruteo de la subred en la que se encuentra su instancia, compruebe la siguiente información:

• Asegúrese de que hay una ruta que envía el tráfico de Internet a la gateway NAT.• Asegúrese de que no hay una ruta más específica que esté enviando el tráfico de Internet a otros

dispositivos, como una gateway privada virtual o un puerto de enlace a Internet.

La conexión a Internet se pierde después de 350 segundosProblema

Sus instancias pueden obtener acceso a Internet, pero la conexión se interrumpe transcurridos350 segundos.

Causa

Si una conexión que está utilizando una gateway NAT se queda inactiva durante 350 segundos o más, sutiempo de espera se agota.

Solución

Para impedir que se pierda la conexión, puede iniciar más tráfico a través de esta. También puede habilitarconexiones keepalive de TCP en la instancia con un valor inferior a 350 segundos.

La conexión IPsec no se puede establecerProblema

260

Amazon Virtual Private Cloud Guía del usuarioInstancias NAT

No puede establecer una conexión IPsec a un destino.

Causa

Las gateways NAT actualmente no admiten el protocolo IPsec.

Solución

Puede usar NAT-Traversal (NAT-T) para encapsular el tráfico IPsec en UDP, que es un protocolo admitidopara las gateways NAT. Asegúrese de probar la configuración de NAT-T e IPsec para verificar que eltráfico IPsec no se elimina.

No se pueden iniciar más conexiones

Problema

Ya tiene conexiones a un destino a través de una gateway NAT, pero no se pueden establecer más.

Causa

Puede que haya alcanzado el límite de conexiones simultáneas para una sola gateway NAT. Para obtenermás información, consulte Reglas y limitaciones de gateway NAT (p. 244). Si sus instancias de la subredprivada crean un gran número de conexiones, puede que alcance este límite.

Solución

Aplique alguna de las siguientes acciones:

• Cree una gateway NAT por zona de disponibilidad y reparta sus clientes entre estas zonas.• Cree gateways NAT adicionales en la subred pública y divida sus clientes en varias subredes privadas,

cada una con una ruta a una gateway NAT distinta.• Limite el número de conexiones que pueden crear sus clientes al destino.• Cierre las conexiones inactivas para liberar capacidad.

Instancias NATPuede utilizar una instancia de conversión de las direcciones de red (NAT) en una subred pública de suVPC para permitir que las instancias de la subred privada inicien el tráfico IPv4 saliente a Internet o a otrosservicios de AWS, pero impedir que las instancias reciban tráfico entrante iniciado por alguien en Internet.

Para obtener más información acerca de las subredes públicas y privadas, consulte Direccionamiento de lasubred (p. 80). Para obtener más información acerca de NAT, consulte NAT (p. 242).

NAT no es compatible con el tráfico IPv6; en su lugar, utilice un puerto de enlace a Internet de solo salida.Para obtener más información, consulte Gateways de Internet de solo salida (p. 239).

Note

También puede utilizar una gateway NAT, que es un servicio NAT administrado que ofrece unamejor disponibilidad y un mayor ancho de banda, y que requiere menos esfuerzo administrativo.Para casos de uso comunes, recomendamos utilizar una gateway NAT en lugar de una instanciaNAT. Para obtener más información, consulte Puerta de enlace NAT (p. 243) y Comparación delas instancias NAT con las gateways NAT (p. 269).

Contenido

261


• Conceptos básicos de las instancias NAT (p. 262)• Configuración de la instancia NAT (p. 263)• Creación del grupo de seguridad de NATSG (p. 265)• Deshabilitación de comprobaciones de origen/destino (p. 266)• Actualización de la tabla de ruteo principal (p. 266)• Comprobación de la configuración de su instancia NAT (p. 267)

Conceptos básicos de las instancias NATEl siguiente gráfico muestra los conceptos básicos de las instancias NAT. La tabla de ruteo principalestá asociada a la subred privada y envía el tráfico de las instancias de la subred privada a la instanciaNAT en la subred pública. La instancia NAT envía el tráfico al puerto de enlace a Internet para la VPC. Eltráfico se atribuye a la dirección IP elástica de la instancia NAT. La instancia NAT especifica un número depuerto alto para la respuesta; si la respuesta vuelve, la instancia NAT la envía a una instancia de la subredprivada en función del número de puerto de la respuesta.

Amazon ofrece las AMI de Amazon Linux, que están configuradas para ejecutarse como instancias NAT.Estas AMI incluyen la cadena amzn-ami-vpc-nat en los nombres para que pueda buscarlas en laconsola de Amazon EC2.

Al lanzar una instancia desde una AMI de NAT, se genera la siguiente configuración en la instancia:

262


• Se habilita el reenvío de IPv4 y las redirecciones de ICMP se deshabilitan en /etc/sysctl.d/10-nat-settings.conf.

• Al iniciarse, se ejecuta un script ubicado en /usr/sbin/configure-pat.sh que configura lasmáscaras IP iptables.

Note

Recomendamos que utilice siempre la última versión de la AMI de NAT para aprovechar lasactualizaciones de configuración.Le recomendamos que consulte Seguridad en Amazon EC2 en la Guía del usuario de AmazonEC2 para instancias de Linux.Si agrega y elimina bloques de CIDR IPv4 secundarios en su VPC, compruebe que usa la versiónamzn-ami-vpc-nat-hvm-2017.03.1.20170623-x86_64-ebs o posterior de la AMI.

La cuota de instancias NAT depende de la cuota de instancias para la región. Para obtener másinformación, consulte las preguntas frecuentes acerca de EC2. Para ver una lista de las AMI de NATdisponibles, consulte la matriz de AMI de Amazon Linux.

Para obtener información sobre la compatibilidad con Amazon Linux, consulte las preguntas frecuentessobre la AMI de Amazon Linux

Configuración de la instancia NATPuede utilizar el asistente de VPC para configurar una VPC con una instancia NAT; para obtener másinformación, consulte VPC con subredes privadas y públicas (NAT) (p. 27). El asistente realiza muchosde los pasos de configuración por usted, incluidos el lanzamiento de la instancia NAT y la configuracióndel direccionamiento. No obstante, si lo prefiere, puede crear y configurar una VPC y una instancia NATmanualmente. Para ello, siga los pasos que se indican a continuación.

1. Cree una VPC con dos subredes.Note

Los pasos siguientes sirven para crear y configurar manualmente una VPC, no para crear unaVPC mediante el asistente de VPC.

a. Cree una VPC (consulte Creación de una VPC (p. 82)).b. Cree dos subredes (consulte Crear una subred (p. 236)).c. Conecte a la VPC un puerto de enlace a Internet (consulte Creación y asociación de un puerto de

enlace a Internet (p. 236)).d. Cree una tabla de ruteo personalizada que envíe el tráfico cuyo destino esté fuera de la VPC al

puerto de enlace a Internet para que, a continuación, se asocie a una subred y se convierta enuna subred pública (consulte Crear una tabla de ruteo personalizada (p. 236)).

2. Cree el grupo de seguridad de NATSG (consulte Creación del grupo de seguridad deNATSG (p. 265)). Este grupo de seguridad se especifica al lanzar la instancia NAT.

3. Lance una instancia en su subred pública desde una AMI que se haya configurado para ejecutarsecomo instancia NAT. Amazon ofrece las AMI de Amazon Linux, que están configuradas paraejecutarse como instancias NAT. Estas AMI incluyen la cadena amzn-ami-vpc-nat en los nombrespara que pueda buscarlas en la consola de Amazon EC2.

a. Abra la consola de Amazon EC2.b. En el panel, elija el botón Launch Instance y complete el asistente de la siguiente forma:

i. En la página Choose an Amazon Machine Image (AMI), seleccione la categoría CommunityAMIs y busque amzn-ami-vpc-nat. En la lista de resultados, el nombre de cada AMIincluye la versión para que pueda seleccionar la AMI más reciente. Por ejemplo: 2013.09.Elija Select.

263

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-security.html

http://aws.amazon.com/ec2/faqs/#EC2_On-Demand_Instance_limits

http://aws.amazon.com/amazon-linux-ami/

https://aws.amazon.com/amazon-linux-ami/faqs/

https://aws.amazon.com/amazon-linux-ami/faqs/


ii. En la página Choose an Instance Type, seleccione el tipo de instancia y, a continuación, elijaNext: Configure Instance Details.

iii. En la página Configure Instance Details, seleccione la VPC que creó en la lista Network yseleccione la subred pública desde la lista Subnet.

iv. (Opcional) Seleccione la casilla de verificación Public IP para solicitar que la instancia NATreciba una dirección IP pública. Si elige no asignar una dirección IP pública ahora, puedeasignar una dirección IP elástica y asignarla a su instancia una vez lanzada. Para obtenermás información acerca de la asignación de una IP pública en el lanzamiento, consulteAsignación de una dirección IPv4 pública durante el lanzamiento de la instancia (p. 105). ElijaNext: Add Storage (Siguiente: Agregar almacenamiento).

v. Puede elegir añadir almacenamiento a su instancia y, en la página siguiente, añadiretiquetas. Elija Next: Configure Security Group cuando haya terminado.

vi. En la página Configure Security Group, seleccione la opción Select an existing security groupy seleccione el grupo de seguridad NATSG que ha creado. Elija Review and Launch (Revisary lanzar).

vii. Revise los ajustes que ha elegido. Realice los cambios que necesite y, a continuación, elijaLaunch para seleccionar un par de claves y lanzar su instancia.

4. (Opcional) Conéctese a la instancia NAT, haga las modificaciones que necesite y, a continuación,cree su propia AMI, que ha configurado para ejecutarse como instancia NAT. Puede utilizar esta AMIla próxima vez que necesite lanzar una instancia NAT. Para obtener más información, consulte lasección sobre creación de AMI de Amazon con respaldo EBS en la Guía del usuario de Amazon EC2para instancias de Linux.

5. Deshabilite el atributo SrcDestCheck para la instancia NAT (consulte Deshabilitación decomprobaciones de origen/destino (p. 266)).

6. Si no ha asignado una dirección IP pública a su instancia NAT durante el lanzamiento (paso 3), debeasociarle una dirección IP elástica.

a. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.b. En el panel de navegación, elija Elastic IPs y, a continuación, elija Allocate new address.c. Elija Allocate.d. Seleccione la dirección IP elástica de la lista y, a continuación, elija Actions, Associate address.e. Seleccione el recurso de interfaz de red y, a continuación, seleccione la interfaz de red para la

instancia NAT. Seleccione la dirección a la que desea asociar la IP elástica en la lista Private IP y,a continuación, elija Associate.

7. Actualice la tabla de ruteo principal para enviar el tráfico a la instancia NAT. Para obtener másinformación, consulte Actualización de la tabla de ruteo principal (p. 266).

Lanzamiento de una instancia NAT mediante la línea de comandosPara lanzar una instancia NAT en su red, utilice uno de los siguientes comandos. Para obtener másinformación, consulte Acceso a Amazon VPC (p. 1).


Para obtener el ID de una AMI configurada para ejecutarse como instancia NAT, utilice un comandopara describir imágenes, y utilice los filtros para que devuelvan solo los resultados de las AMI que sonpropiedad de Amazon y que tengan la cadena amzn-ami-vpc-nat en el nombre. El siguiente ejemploutiliza la AWS CLI:

aws ec2 describe-images --filter Name="owner-alias",Values="amazon" --filter Name="name",Values="amzn-ami-vpc-nat*"

264

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/creating-an-ami-ebs.html





Creación del grupo de seguridad de NATSGDefina el grupo de seguridad de NATSG según lo descrito en la siguiente tabla para permitir a su instanciaNAT recibir tráfico vinculado a Internet desde instancias de una subred privada, así como tráfico SSH desu red. La instancia NAT también puede enviar tráfico a Internet, lo que permite que las instancias de lasubred privada obtengan actualizaciones de software.

NATSG: reglas recomendadas

Inbound

Source Protocol Port Range Comments

10.0.1.0/24 TCP 80 Permite el tráfico HTTP entrante deservidores en la subred privada.

10.0.1.0/24 TCP 443 Permite el tráfico HTTPS entrante deservidores en la subred privada.

Rango de direcciones IP públicasde la red doméstica

TCP 22 Permite el acceso SSH entrantea la instancia NAT desde la reddoméstica (a través del puerto deenlace a Internet).

Outbound

Destination Protocol Port Range Comments

0.0.0.0/0 TCP 80 Permite el acceso HTTP saliente aInternet

0.0.0.0/0 TCP 443 Permite el acceso HTTPS saliente aInternet

Para crear el grupo de seguridad de NATSG

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Security Groups y, a continuación, elija Create Security Group.3. En el cuadro de diálogo Create Security Group, especifique NATSG como el nombre del grupo

de seguridad y proporcione una descripción. Seleccione el ID de su VPC de la lista VPC y, acontinuación, elija Yes, Create.

4. Seleccione el grupo de seguridad NATSG que acaba de crear. El panel de detalles muestrainformación detallada del grupo de seguridad, además de pestañas que permiten usar las reglasentrantes y salientes.

5. Añada reglas para el tráfico entrante utilizando la pestaña Inbound Rules, tal y como se indica acontinuación:

a. Elija Edit.b. Elija Add another rule y seleccione HTTP en la lista Type. En el campo Source, especifique el

rango de direcciones IP de su subred privada.c. Elija Add another rule y seleccione HTTPS en la lista Type. En el campo Source, especifique el

rango de direcciones IP de su subred privada.d. Elija Add another rule y seleccione SSH en la lista Type. En el campo Source, especifique el

rango de direcciones IP públicas de su red.e. Seleccione Save (Guardar).

265



6. Añada reglas para el tráfico saliente utilizando la pestaña Outbound Rules, tal y como se indica acontinuación:

a. Elija Edit.b. Elija Add another rule y seleccione HTTP en la lista Type. En el campo Destination, especifique

0.0.0.0/0

c. Elija Add another rule y seleccione HTTPS en la lista Type. En el campo Destination, especifique0.0.0.0/0

d. Seleccione Save (Guardar).

Para obtener más información, consulte Grupos de seguridad de su VPC (p. 166).

Deshabilitación de comprobaciones de origen/destinoCada instancia EC2 realiza las comprobaciones de origen/destino de forma predeterminada. Esto significaque la instancia debe ser el origen o el destino de todo tráfico que envíe o reciba. No obstante, unainstancia NAT debe poder enviar y recibir tráfico cuando el origen o el destino no sea la propia instancia.Por lo tanto, debe deshabilitar las comprobaciones de origen/destino en la instancia NAT.

Puede deshabilitar el atributo SrcDestCheck para una instancia NAT que se esté ejecutando o se hayadetenido mediante la consola o la línea de comandos.

Para deshabilitar la comprobación de origen/destino mediante la consola

1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, seleccione Instances (Instancias).3. Seleccione la instancia NAT, elija Actions (Acciones), Networking (Redes). Change Source/Dest.

Check (Cambiar comprobación de origen y destino).4. Para la instancia NAT, verifique que este atributo esté deshabilitado. En caso contrario, elija Yes,

Disable.5. Si la instancia NAT tiene una interfaz de red secundaria, selecciónela en Network interfaces

(Interfaces de red) en la pestaña Description (Descripción) y elija el ID de interfaz para ir a la páginade interfaces de red. Elija Actions (Acciones), Change Source/Dest. Check (Cambiar comprobación deorigen y destino), desactive la configuración y elija Save (Guardar).

Para deshabilitar la comprobación de origen/destino mediante la línea de comandos

Puede utilizar uno de los siguientes comandos. Para obtener más información, consulte Acceso a AmazonVPC (p. 1).

• modify-instance-attribute (AWS CLI)• Edit-EC2InstanceAttribute (Herramientas de AWS para Windows PowerShell)

Actualización de la tabla de ruteo principalLa subred privada de su VPC no está asociada a una tabla de ruteo personalizada; por tanto, utiliza latabla de ruteo principal. De forma predeterminada, la tabla de ruteo principal permite que las instanciasde su VPC se comuniquen entre sí. Debe añadir una ruta que envíe el resto del tráfico de la subred a lainstancia NAT.

Para actualizar la tabla de ruteo principal


266


https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-instance-attribute.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2InstanceAttribute.html



2. En el panel de navegación, elija Route Tables.3. Seleccione la tabla de ruteo principal para su VPC (la columna Main mostrará Yes). El panel de

detalles muestra pestañas para trabajar con sus rutas, sus asociaciones y la propagación de rutas.4. En la pestaña Routes, elija Edit, especifique 0.0.0.0/0 en el cuadro Destination, seleccione el ID de

la instancia NAT en la lista Target y, a continuación, elija Save.5. En la pestaña Subnet Associations, elija Edit y, a continuación, active la casilla de verificación

Associate para la subred. Seleccione Save (Guardar).

Para obtener más información, consulte Tablas de ruteo (p. 212).

Comprobación de la configuración de su instancia NATDespués de haber iniciado una instancia NAT y completado los pasos de configuración anteriores, puederealizar una prueba para comprobar si una instancia de su subred privada puede obtener acceso a Interneta través de la instancia NAT utilizando la instancia NAT como servidor bastión. Para ello, actualice lasreglas del grupo de seguridad de su instancia NAT para que permitan el tráfico ICMP entrante y salientey el tráfico SSH saliente, lance una instancia en su subred privada, configure el reenvío de agentes SSHpara obtener acceso a las instancias de su subred privada, conéctese a su instancia y, a continuación,pruebe la conectividad a Internet.

Para actualizar el grupo de seguridad de su instancia NAT

1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, elija Security Groups.3. Busque el grupo de seguridad asociado a su instancia NAT y elija Edit en la pestaña Inbound.4. Elija Add Rule (Añadir regla), seleccione All ICMP - IPv4 (Todos los ICMP - IPv4) en la lista Type

(Tipo) y seleccione Custom (Personalizado) en la lista Source (Origen). Escriba el rango dedirecciones IP de su subred privada; por ejemplo: 10.0.1.0/24. Seleccione Save (Guardar).

5. En la pestaña Outbound, elija Edit.6. Elija Add Rule (Añadir regla), seleccione SSH en la lista Type (Tipo) y seleccione Custom

(Personalizado) en la lista Destination (Destino). Escriba el rango de direcciones IP de su subredprivada; por ejemplo: 10.0.1.0/24. Seleccione Save (Guardar).

7. Elija Add Rule (Añadir regla), seleccione All ICMP - IPv4 (Todos los ICMP - IPv4) en la lista Type(Tipo) y seleccione Custom (Personalizado) en la lista Destination (Destino). Escriba 0.0.0.0/0 y, acontinuación, elija Save.

Para lanzar una instancia en su subred privada

1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, seleccione Instances (Instancias).3. Lance una instancia en su subred privada. Para obtener más información, consulte Lanzamiento de

una instancia en su subred (p. 85). Asegúrese de configurar las siguientes opciones en el asistente delanzamiento y, a continuación, elija Launch:

• En la página Choose an Amazon Machine Image (AMI), seleccione una AMI de Amazon Linux en lacategoría Quick Start.

• En la página Configure Instance Details, seleccione su subred privada de la lista Subnet y no asigneuna dirección IP pública a su instancia.

• En la página Configure Security Group, asegúrese de que su grupo de seguridad incluye una reglaentrante que permita el acceso al SSH desde la dirección IP privada de su instancia NAT o desde elrango de direcciones IP de su subred pública, y asegúrese de tener una regla saliente que permitael tráfico ICMP saliente.

267




• En el cuadro de diálogo Select an existing key pair or create a new key pair, seleccione el mismo parde claves que utilizó para lanzar la instancia NAT.

Para configurar el reenvío de agentes SSH para Linux u OS X

1. Desde su equipo local, añada su clave privada al agente de autenticación.

Para Linux, utilice el siguiente comando:

ssh-add -c mykeypair.pem

Para OS X, utilice el siguiente comando:

ssh-add -K mykeypair.pem

2. Conéctese a su instancia NAT utilizando la opción -A para habilitar el reenvío de agentes SSH; porejemplo:

ssh -A [email protected]

Para configurar el reenvío de agentes SSH para Windows (PuTTY)

1. Descargue e instale Pageant desde la página de descargas de PuTTY, si aún no lo tiene instalado.2. Convierta su clave privada al formato .ppk. Para obtener más información, consulte Conversión de la

clave privada mediante PuTTYgen.3. Inicie Pageant, haga clic con el botón derecho en el icono de Pageant de la barra de tareas (puede

estar oculto) y elija Add Key. Seleccione el archivo .ppk que ha creado, escriba la frase de contraseñasi es necesario, y elija Open.

4. Inicie una sesión de PuTTY para conectarse a su instancia NAT. En la categoría Auth, asegúresede seleccionar la opción Allow agent forwarding y deje el campo Private key file for authentication enblanco.

Para comprobar la conexión a Internet

1. Compruebe que su instancia NAT puede conectarse a Internet ejecutando el comando ping para unsitio web que tenga ICMP habilitado; por ejemplo:

ping ietf.org


Pulse Ctrl+C en su teclado para cancelar el comando ping.2. Desde su instancia NAT, conéctese a su instancia en su subred privada utilizando su dirección IP

privada. Por ejemplo:

ssh [email protected]

3. Desde su instancia privada, compruebe que puede conectarse a Internet ejecutando el comandoping:

268

http://www.chiark.greenend.org.uk/~sgtatham/putty/



Amazon Virtual Private Cloud Guía del usuarioComparación de las instancias NAT con las gateways NAT

ping ietf.org


Pulse Ctrl+C en su teclado para cancelar el comando ping.

En caso de error en el comando ping, compruebe la información siguiente:

• Compruebe que las reglas de grupo de seguridad de su instancia NAT permiten el tráfico ICMPentrante desde su subred privada. En caso contrario, su instancia NAT no podrá recibir el comandoping desde su instancia privada.

• Asegúrese de haber configurado las tablas de ruteo correctamente. Para obtener más información,consulte Actualización de la tabla de ruteo principal (p. 266).

• Asegúrese de haber deshabilitado la comprobación de origen/destino para su instancia NAT. Paraobtener más información, consulte Deshabilitación de comprobaciones de origen/destino (p. 266).

• Asegúrese de estar haciendo ping a un sitio web que tiene ICMP habilitado. En caso contrario, norecibirá paquetes de respuesta. Para comprobar esto, ejecute el mismo comando ping desde elterminal de línea de comandos en su propio equipo.

4. (Opcional) Termine su instancia privada si ya no la necesita. Para obtener más información, consulteTerminar la instancia en la Guía del usuario de Amazon EC2 para instancias de Linux.

Comparación de las instancias NAT con las gatewaysNATA continuación se proporciona un resumen general de las diferencias entre las instancias NAT y lasgateways NAT.

Atributo gateway NAT Instancia NAT

DisponibilidadAltamente disponibles. Las gateways NAT decada zona de disponibilidad se implementancon redundancia. Cree una gateway NAT encada zona de disponibilidad para garantizaruna arquitectura independiente de zonas.

Utilice un script para administrar laconmutación por error entre instancias.

Ancho debanda

Se puede escalar hasta 45 Gbps. Dependen del ancho de banda del tipo deinstancia.

MantenimientoAdministrado por AWS. No necesita realizarningún mantenimiento.

Administradas por usted. Por ejemplo,al instalar actualizaciones de softwareo parches de sistema operativo en lainstancia.

DesempeñoEl software está optimizado para la gestióndel tráfico de NAT.

Una AMI de Amazon Linux configurada pararealizar la NAT.

Costo Se cobra en función del número de gatewaysNAT que utilice, la duración del uso y la

Se cobra en función del número deinstancias NAT que utilice, la duración deluso y el tamaño y el tipo de instancia.

269


Amazon Virtual Private Cloud Guía del usuarioComparación de las instancias NAT con las gateways NAT

Atributo gateway NAT Instancia NATcantidad de datos que envíe mediante lasgateways NAT.

Tipo ytamaño

Oferta uniforme; no necesita decidir el tamañoni el tipo.

Elija un tipo de instancia y un tamañoadecuados, acordes con la estimación desu carga de trabajo.

DireccionesIPpúblicas

Elija la dirección IP elástica para asociar a lagateway NAT en el momento de la creación.

Utilice una dirección IP elástica o unadirección IP pública con una instancia NAT.Puede cambiar la dirección IP pública en elmomento de asociar una nueva dirección IPelástica a la instancia.

DireccionesIPprivadas

Se seleccionan automáticamente del rangode direcciones IP de la subred al crear lagateway.

Al lanzar la instancia, asigne una direcciónIP privada específica del rango dedirecciones IP de la subred.

Gruposdeseguridad

No se pueden asociar a una gateway NAT.Puede asociar grupos de seguridad a susrecursos detrás de la gateway NAT paracontrolar el tráfico entrante y saliente.

Asocie su instancia NAT y los recursosdetrás de su instancia NAT para controlar eltráfico entrante y saliente.

ACL dered

Utilice una ACL de red para controlar el tráficohacia la subred y procedente de esta en laque se encuentra su gateway NAT.

Utilice una ACL de red para controlar eltráfico hacia la subred y procedente de estaen la que se encuentra su instancia NAT.

Logs deflujo

Utilice los logs de flujo para capturar el tráfico. Utilice los logs de flujo para capturar eltráfico.

Enrutamientodepuertos

No es compatible. Personalice manualmente la configuraciónpara que admita el reenvío de puertos.

Servidoresbastión

No es compatible. Se pueden utilizar como servidor bastión.

Métricasde tráfico

Consulte las métricas de CloudWatch para lagateway NAT (p. 249).

Consulte las métricas de CloudWatch parala instancia.

Comportamientode lostiemposde espera

Cuando el tiempo de espera de una conexiónfinaliza, una gateway NAT devuelve unpaquete RST a los recursos situados detrásde la gateway NAT que intenten continuar laconexión (no envía un paquete FIN).

Cuando el tiempo de espera de unaconexión finaliza, una instancia NAT envíaun paquete FIN a los recursos situadosdetrás de la instancia NAT para cerrar laconexión.

Fragmentaciónde IP

Admiten el reenvío de paquetes IPfragmentados para el protocolo UDP.

No admiten la fragmentación para losprotocolos ICMP y TCP. Los paquetesfragmentados para estos protocolos seretirarán.

Admiten el reensamblado de paquetes IPfragmentados para los protocolos ICMP,UDP y TCP.

270

Amazon Virtual Private Cloud Guía del usuarioConjuntos de opciones de DHCP

Conjuntos de opciones de DHCPEl protocolo de configuración dinámica de host (DHCP) proporciona un estándar para la comunicaciónde información de configuración a hosts de redes TCP/IP. El campo options de los mensajes DHCPcontiene los parámetros de configuración. Algunos de estos parámetros son el nombre de dominio, elservidor del nombre de dominio y el tipo de nodo netbios.

Puede configurar conjuntos de opciones DHCP para sus nubes virtuales privadas (VPC).

Contenido• Información general acerca de los conjuntos de opciones de DHCP (p. 271)• Servidor DNS de Amazon (p. 272)• Cambio de las opciones de DHCP (p. 273)• Utilización de conjuntos de opciones de DHCP (p. 273)• Información general de API y comandos (p. 275)

Información general acerca de los conjuntos deopciones de DHCPLas instancias de Amazon EC2 que se lanzan en VPC no predeterminadas son privadas, por lo que no seles asigna ninguna dirección IPv4 pública a no ser que asigne de forma específica una dirección durante ellanzamiento o que modifique el atributo de dirección IPv4 pública de la subred. De forma predeterminada,AWS asignará a todas las instancias de VPC no predeterminadas un nombre de host que no se puederesolver (por ejemplo, ip-10-0-0-202). Es posible asignar su propio nombre de dominio a sus instancias yutilizar hasta cuatro servidores DNS propios. Para ello, debe especificar un conjunto especial de opcionesde DHCP para utilizarlas con la VPC.

La tabla siguiente muestra todas las opciones compatibles con los conjuntos de opciones de DHCP. Solopuede especificar las opciones que necesita en su conjunto de opciones de DHCP. Para obtener másinformación acerca de las opciones, consulte RFC 2132.

Nombre de opción de DHCP Descripción

domain-name-servers Direcciones IP de hasta cuatro servidores denombre de dominio o AmazonProvidedDNS. Elconjunto de opciones de DHCP predeterminadoespecifica AmazonProvidedDNS. Si va aespecificar más de un servidor de nombre dedominio, separe los valores con comas. Aunquepuede especificar hasta cuatro servidores denombre de dominio, tenga en cuenta que algunossistemas operativos podrían imponer límitesinferiores.

Si desea que su instancia reciba un nombrede host de DNS personalizado tal como seespecifica en domain-name, debe establecerdomain-name-servers con un servidor DNSpersonalizado.

domain-name Si va a utilizar AmazonProvidedDNS en us-east-1, especifique ec2.internal. Si va a

271


Amazon Virtual Private Cloud Guía del usuarioServidor DNS de Amazon

Nombre de opción de DHCP Descripciónutilizar AmazonProvidedDNS en otra región,especifique región.compute.internal (por ejemplo,ap-northeast-1.compute.internal). Delo contrario, especifique un nombre de dominio(por ejemplo, example.com). Este valor seutiliza para completar los nombres de host deDNS incompletos. Para obtener más informaciónsobre nombres de host de DNS y soporte de DNSen su VPC, consulte Utilización de DNS con suVPC (p. 276).

Important

Algunos sistemas operativos Linuxaceptan el uso de varios nombres dedominio separados por espacios. Sinembargo, otros sistemas operativosLinux y Windows tratan el valor comoun dominio único, lo que da lugar aun comportamiento inesperado. Sisu conjunto de opciones de DHCPestá asociado a una VPC que tieneinstancias con varios sistemas operativos,especifique solo un nombre de dominio.

ntp-servers Direcciones IP de hasta cuatro servidores deNetwork Time Protocol (NTP). Para obtenermás información, consulte la sección 8.3 deRFC 2132. El Amazon Time Sync Service estádisponible en 169.254.169.123. Para obtenermás información, consulte Establecer la hora en laGuía del usuario de Amazon EC2 para instanciasde Linux.

netbios-name-servers Direcciones IP de hasta cuatro servidores denombre NetBIOS.

netbios-node-type Tipo de nodo de NetBIOS (1, 2, 4 u 8). Lerecomendamos que especifique 2 (punto a punto onodo-P). Actualmente no se admiten la difusión nila multidifusión. Par obtener más información sobreestos tipos de nodos, consulte la sección 8.7 deRFC 2132 y la sección 10 de RFC1001.

Servidor DNS de AmazonAl crear una VPC, se crea automáticamente un conjunto de opciones de DHCP que se asocia a la VPC.Este conjunto incluye dos opciones: domain-name-servers=AmazonProvidedDNS y domain-name=domain-name-for-your-region. AmazonProvidedDNS es un servidor DNS de Amazon. Estaopción habilita el DNS para las instancias que necesitan comunicarse a través de la gateway de Internet dela VPC. La cadena AmazonProvidedDNS se asigna a un servidor DNS que se ejecuta en una direcciónIP reservada en la base del rango de red IPv4 de la VPC, más dos. Por ejemplo, el servidor DNS de la red10.0.0.0/16 se encuentra en 10.0.0.2. En el caso de las VPC con varios bloques de CIDR IPv4, la direcciónIP del servidor DNS se encuentra en el bloque de CIDR principal. El servidor DNS no reside dentro de unasubred específica o zona de disponibilidad en una VPC.

272


https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/set-time.html



Amazon Virtual Private Cloud Guía del usuarioCambio de las opciones de DHCP

Note

No puede filtrar tráfico hacia o desde un servidor DNS mediante ACL de red o grupos deseguridad.

Al lanzar una instancia en una VPC, dicha instancia recibe un nombre de host de DNS privado y unnombre de host de DNS público si recibe una dirección IPv4 pública. Si domain-name-servers en lasopciones de DHCP está configurado como AmazonProvidedDNS, el nombre de host de DNS públicoadopta el formato ec2-public-ipv4-address.compute-1.amazonaws.com para la región us-east-1 y el formato ec2-public-ipv4-address.region.compute.amazonaws.com para las demásregiones. El nombre de host privado adopta la forma ip-private-ipv4-address.ec2.internal parala región us-east-1 y la forma ip-private-ipv4-address.region.compute.internal para lasdemás regiones. Para modificar estos nombres de host de DNS personalizados, debe configurar domain-name-servers como servidor DNS personalizado.

El servidor DNS de Amazon de su VPC se utiliza para resolver los nombres de dominio de DNS queespecifique en una zona hospedada privada en Route 53. Para obtener más información acerca de laszonas alojadas privadas, consulte Uso de zonas alojadas privadas en la Guía para desarrolladores deAmazon Route 53.

Los servicios que utilizan el marco de trabajo de Hadoop como, por ejemplo Amazon EMR, requierenque las instancias resuelvan sus propios nombres completos del dominio (FQDN). En estos casos, laresolución de DNS puede producir error si la opción domain-name-servers está establecida con unvalor predeterminado. Para asegurarse de que la resolución de DNS se realiza correctamente, considerela posibilidad de añadir un programa de envío condicional que reenvíe las consultas del dominio region-name.compute.internal al servidor DNS de Amazon. Para obtener más información, consulteConfigurar una VPC para alojar clústeres en la Guía de administración de Amazon EMR.

Note

Puede utilizar la dirección IP del servidor DNS de Amazon 169.254.169.253, aunque algunosservidores no permite su utilización. Windows Server 2008, por ejemplo, no permite utilizar unservidor DNS que se encuentre en el rango de red 169.254.x.x.

Cambio de las opciones de DHCPLos conjuntos de opciones de DHCP no se pueden modificar una vez creados. Si quiere que su VPC utiliceun conjunto de opciones de DHCP distinto, tendrá que crear uno nuevo y asociarlo a la VPC. Tambiénpuede configurar la VPC para que no utilice opciones de DHCP.

Puede tener varios conjuntos de opciones de DHCP, aunque solo podrá asociar un conjunto de opcionesde DHCP a una VPC a la vez. Si elimina una VPC, también se desasocia de la VPC el conjunto deopciones de DHCP asociado a la VPC.

Una vez asociado el nuevo conjunto de opciones de DHCP a una VPC, las instancias existentes y nuevasque lance en la VPC utilizarán estas opciones. No es necesario reiniciar ni volver a lanzar las instancias.Los cambios se aplican automáticamente en unas pocas horas, en función de la frecuencia con la que lainstancia renueva la concesión de DHCP. Si lo desea, puede renovar explícitamente la concesión a travésdel sistema operativo de la instancia.

Utilización de conjuntos de opciones de DHCPEsta sección describe cómo usar los conjuntos de opciones de DHCP.

Tareas• Creación de un conjunto de opciones de DHCP (p. 274)• Modificación del conjunto de opciones de DHCP que utiliza la VPC (p. 274)• Modificación de una VPC para que no utilice ninguna opción de DHCP (p. 275)

273

https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zones-private.html

https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-vpc-host-job-flows.html

Amazon Virtual Private Cloud Guía del usuarioUtilización de conjuntos de opciones de DHCP

• Eliminación de un conjunto de opciones de DHCP (p. 275)

Creación de un conjunto de opciones de DHCPPuede crear tantos conjuntos de opciones de DHCP adicionales como desee. Sin embargo, solo podráasociar una VPC a un conjunto de opciones de DHCP a la vez. Tras crear un conjunto de opciones deDHCP, deberá configurar su VPC para que lo utilice. Para obtener más información, consulte Modificacióndel conjunto de opciones de DHCP que utiliza la VPC (p. 274).

Para crear un conjunto de opciones de DHCP

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija DHCP Options Sets y, a continuación, elija Create DHCP options set.3. En el cuadro de diálogo, escriba los valores de las opciones que desea utilizar y, a continuación, elija

Yes, Create.

Important

Si su VPC tiene una gateway de Internet, asegúrese de especificar su propio servidorDNS o el servidor DNS de Amazon (AmazonProvidedDNS) en el valor Domain nameservers (Servidores de nombres de dominio). De lo contrario, las instancias que necesitencomunicarse con Internet no tendrán acceso al DNS.

El nuevo conjunto de opciones de DHCP aparecerá en la lista de opciones de DHCP.4. Anote el ID del nuevo conjunto de opciones de DHCP (dopt-xxxxxxxx). Lo necesitará para asociar el

nuevo conjunto de opciones a su VPC.

Pese a haber creado un conjunto de opciones de DHCP, deberá asociarlo a su VPC para que las opcionessurtan efecto. Puede crear varios conjuntos de opciones de DHCP, aunque solo podrá asociar un conjuntode opciones de DHCP a su VPC a la vez.

Modificación del conjunto de opciones de DHCP que utiliza laVPCEs posible modificar el conjunto de opciones de DHCP que utiliza su VPC. Si desea que la VPC no utiliceninguna opción de DHCP, consulte Modificación de una VPC para que no utilice ninguna opción deDHCP (p. 275).

Note

El siguiente procedimiento supone que ya ha creado el conjunto de opciones de DHCP al quedesea cambiar. Si no lo ha hecho, cree el conjunto de opciones. Para obtener más información,consulte Creación de un conjunto de opciones de DHCP (p. 274).

Para cambiar el conjunto de opciones de DHCP asociado a una VPC

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Your VPCs.3. Seleccione la VPC y seleccione Edit DHCP Options Set de la lista Actions.4. En la lista DHCP Options Set, seleccione un conjunto de opciones de la lista y, a continuación, elija

Save.

Una vez asociado el nuevo conjunto de opciones de DHCP a la VPC, las instancias existentes y nuevasque lance en dicha VPC utilizarán estas opciones. No es necesario reiniciar ni volver a lanzar las

274



Amazon Virtual Private Cloud Guía del usuarioInformación general de API y comandos

instancias. Los cambios se aplican automáticamente en unas pocas horas, en función de la frecuencia conla que la instancia renueva la concesión de DHCP. Si lo desea, puede renovar explícitamente la concesióna través del sistema operativo de la instancia.

Modificación de una VPC para que no utilice ninguna opción deDHCPEs posible configurar la VPC para que no utilice ninguna opción de DHCP.

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Your VPCs.3. Seleccione la VPC y seleccione Edit DHCP Options Set de la lista Actions.4. En la lista DHCP Options Set, seleccione No DHCP Options Set en la lista y, a continuación, elija

Save.

No es necesario reiniciar ni volver a lanzar las instancias. Los cambios se aplican automáticamente enunas pocas horas, en función de la frecuencia con la que la instancia renueva la concesión de DHCP. Si lodesea, puede renovar explícitamente la concesión a través del sistema operativo de la instancia.

Eliminación de un conjunto de opciones de DHCPCuando ya no necesite el conjunto de opciones de DHCP, utilice el siguiente procedimiento para eliminarlo.La VPC no puede estar utilizando el conjunto de opciones.

Para eliminar un conjunto de opciones de DHCP

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija DHCP Options Sets.3. Seleccione el conjunto de opciones de DHCP que desea eliminar y, a continuación, elija Delete.4. En el cuadro de diálogo de confirmación, elija Yes, Delete.


Creación de un conjunto de opciones de DHCP para su VPC

• create-dhcp-options (AWS CLI)• New-EC2DhcpOption (Herramientas de AWS para Windows PowerShell)

Asociación de un conjunto de opciones de DHCP a la VPC especificada o configuración para queno se utilice ninguna opción de DHCP

• associate-dhcp-options (AWS CLI)• Register-EC2DhcpOption (Herramientas de AWS para Windows PowerShell)

Descripción de uno o varios conjuntos de opciones de DHCP

• describe-dhcp-options (AWS CLI)

275



https://docs.aws.amazon.com/cli/latest/reference/ec2/create-dhcp-options.html

https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2DhcpOption.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/associate-dhcp-options.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Register-EC2DhcpOption.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-dhcp-options.html

Amazon Virtual Private Cloud Guía del usuarioDNS

• Get-EC2DhcpOption (Herramientas de AWS para Windows PowerShell)

Eliminación de un conjunto de opciones de DHCP

• delete-dhcp-options (AWS CLI)• Remove-EC2DhcpOption (Herramientas de AWS para Windows PowerShell)

Utilización de DNS con su VPCEl sistema de nombres de dominio (DNS) es un estándar mediante el cual los nombres utilizados enInternet se resuelven a sus direcciones IP correspondientes. Un nombre de host DNS es un nombre quedenomina de forma única y absoluta a un equipo, y se compone de un nombre de host y de un nombre dedominio. Los servidores DNS resuelven los nombres de host DNS a sus direcciones IP correspondientes.

Las direcciones IPv4 públicas permiten la conexión a través de Internet, mientras que las direcciones IPv4privadas permiten la comunicación dentro de la red de la instancia (ya sea EC2-Classic o VPC). Paraobtener más información, consulte Direcciones IP en su VPC (p. 101).

Ofrecemos un servidor DNS de Amazon. Para usar su propio servidor DNS, cree un nuevo conjunto deopciones de DHCP para su VPC. Para obtener más información, consulte Conjuntos de opciones deDHCP (p. 271).

Contenido• Nombres de host DNS (p. 276)• Compatibilidad de la VPC con DNS (p. 277)• Cuotas de DNS (p. 278)• Visualización de nombres de host DNS para su instancia EC2 (p. 278)• Visualización y actualización de la compatibilidad de DNS para su VPC (p. 279)• Utilización de zonas hospedadas privadas (p. 280)

Nombres de host DNSAl lanzar una instancia en una VPC predeterminada, ofrecemos la instancia con nombres de host DNSpúblicos y privados que correspondan a las direcciones IPv4 públicas y privadas para la instancia. Allanzar una instancia en una VPC que no es predeterminada, ofrecemos la instancia con un nombre dehost DNS privado y podemos proporcionar un nombre de host DNS público, en función de los atributosde DNS (p. 277) que especifique para la VPC y de si su instancia tiene una dirección IPv4 pública. Paraobtener más información, consulte Direcciones IPv4 públicas y nombres de host DNS externos en la Guíadel usuario de Amazon EC2 para instancias de Linux.

Un nombre de host DNS privado (interno) proporcionado por Amazon se resuelve en la dirección IPv4privada de la instancia, y tiene el formato ip-private-ipv4-address.ec2.internal para la regiónus-east-1 y ip-private-ipv4-address.region.compute.internal para las demás regiones(donde private-ipv4-address es la dirección IP de búsqueda inversa). Puede utilizar el nombre dehost DNS privado para la comunicación entre instancias de la misma red, pero no podemos resolver elnombre de host DNS fuera de la red en la que se encuentra la instancia.

Un nombre de host DNS público (externo) tiene el formato ec2-public-ipv4-address.compute-1.amazonaws.com para la región us-east-1 y el formato ec2-public-ipv4-address.region.compute.amazonaws.com para las demás regiones. Resolvemos un nombre de hostDNS público en la dirección IPv4 pública de la instancia fuera de la red de la instancia, y en una direcciónIPv4 privada de la instancia desde dentro de la red de la instancia.

276

https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2DhcpOption.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-dhcp-options.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2DhcpOption.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-instance-addressing.html#concepts-public-addresses

Amazon Virtual Private Cloud Guía del usuarioCompatibilidad de la VPC con DNS

No proporcionamos nombres de host DNS para direcciones IPv6.

Compatibilidad de la VPC con DNSLa VPC tiene atributos que determinan si las instancias lanzadas en la VPC reciben nombres de hostDNS públicos que se corresponden con sus direcciones IP públicas, y si la resolución de DNS a través delservidor DNS de Amazon es compatible con la VPC.

Atributo Descripción

enableDnsHostnames Indica si las instancias con direcciones IP públicasobtienen los nombres de host DNS públicoscorrespondientes.

Si este atributo es true, las instancias de la VPCobtienen nombres de host DNS públicos, pero solosi el atributo enableDnsSupport también estáconfigurado con el valor true.

enableDnsSupport Indica si la se admite la resolución de DNS.

Si este atributo es false, el servidor DNSproporcionado por Amazon que resuelve nombresde host DNS públicos en direcciones IP no estáhabilitado.

Si este atributo es true, las consultas al servidorDNS proporcionado por Amazon en la direcciónIP 169.254.169.253 o la dirección IP reservadaen la base del rango de red IPv4 de la VPC másdos se realizarán correctamente. Para obtenermás información, consulte Servidor DNS deAmazon (p. 272).

Si los dos atributos están configurados con el valor true, se producirán las siguientes situaciones:

• Las instancias con direcciones IP públicas obtienen los nombres de host DNS públicoscorrespondientes.

• El servidor DNS proporcionado por Amazon podrá resolver los nombres de host DNS privadosproporcionados por Amazon.

Si uno de los atributos o ambos están configurados con el valor false, ocurrirá lo siguiente:

• Las instancias con direcciones IP públicas no obtienen los nombres de host DNS públicoscorrespondientes.

• El servidor DNS proporcionado por Amazon no podrá resolver los nombres de host DNS privadosproporcionados por Amazon.

• Las instancias reciben nombres de host DNS privados personalizados si hay un nombre de dominiopersonalizado en el conjunto de opciones de DHCP (p. 271). Si no está utilizando el servidor DNSproporcionado por Amazon, sus servidores de nombres de dominio personalizados deberán resolver elnombre de host según corresponda.

De forma predeterminada, ambos atributos están configurados como true en una VPC predeterminadao una VPC creada mediante el asistente de VPC. De forma predeterminada, en una VPC creada de

277

Amazon Virtual Private Cloud Guía del usuarioCuotas de DNS

cualquier otra forma, el atributo enableDnsSupport tiene el valor true. Para comprobar si la VPC estáhabilitada para estos atributos, consulte Visualización y actualización de la compatibilidad de DNS para suVPC (p. 279).

Important

Si utiliza nombres de dominio DNS personalizados definidos en una zona alojada privada enAmazon Route 53, o utiliza un DNS privado con puntos de enlace de la VPC de tipo interfaz (AWSPrivateLink), debe asignar a los atributos enableDnsHostnames y enableDnsSupport el valortrue.

El servidor DNS de Amazon puede resolver nombres de host DNS privados en direcciones IPv4 privadaspara todos los espacios de direcciones, incluido aquél en el que el rango de direcciones IPv4 de la VPCqueda fuera de los rangos de direcciones IPv4 privadas especificados por RFC 1918.

Important

Si creó su VPC antes de octubre de 2016, el servidor de Amazon no puede resolver nombresde host DNS privados si el rango de direcciones IPv4 de su VPC queda fuera de los rangos dedirecciones IPv4 privadas especificados por RFC 1918. Si desea habilitar el servidor DNS deAmazon para que resuelva nombres de host DNS privados para estas direcciones, contacte conAWS Support.

Si habilita los nombres de host DNS y la compatibilidad de DNS en una VPC previamente incompatible,una instancia que ya haya lanzado en esa VPC obtendrá un nombre de host DNS público si tiene unadirección IPv4 pública o una dirección IP elástica.

Cuotas de DNSCada instancia Amazon EC2 limita el número de paquetes que se pueden enviar al servidor DNSproporcionado por Amazon hasta un máximo de 1 024 paquetes por segundo por interfaz de red. Estacuota no puede incrementarse. El número de consultas DNS por segundo admitidas por el servidor deDNS proporcionado por Amazon varía según el tipo de consulta, el tamaño de respuesta y el protocolo enuso. Para obtener más información y recomendaciones para una arquitectura de DNS escalable, consulteel documento técnico Hybrid Cloud DNS Solutions for Amazon VPC.

Visualización de nombres de host DNS para suinstancia EC2Puede ver los nombres de host DNS para una instancia en ejecución o una interfaz de red utilizando laconsola de Amazon EC2 o la línea de comandos.

Los campos Public DNS (IPv4) (DNS público [IPv4]) y Private DNS (DNS privado) están disponiblescuando las opciones de DNS están habilitadas para la VPC asociada a la instancia. Para obtener másinformación, consulte the section called “Compatibilidad de la VPC con DNS” (p. 277).

InstanciaPara ver los nombres de host DNS para una instancia utilizando la consola

1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, seleccione Instances (Instancias).3. Seleccione la instancia de la lista.4. En el panel de detalles, los campos Public DNS (IPv4) y Private DNS mostrarán los nombres de host

DNS, si corresponde.

278


https://aws.amazon.com/contact-us/

https://d1.awsstatic.com/whitepapers/hybrid-cloud-dns-options-for-vpc.pdf


Amazon Virtual Private Cloud Guía del usuarioVisualización y actualización de la

compatibilidad de DNS para su VPC

Para ver los nombres de host DNS para una instancia utilizando la línea de comandos

Puede utilizar uno de los siguientes comandos. Para obtener más información acerca de estas interfacesde línea de comandos, consulte Acceso a Amazon VPC (p. 1).

• describe-instances (AWS CLI)• Get-EC2Instance (Herramientas de AWS para Windows PowerShell)

Interfaz de redPara ver el nombre de host DNS privado para una interfaz de red utilizando la consola

1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, elija Network Interfaces.3. Seleccione la interfaz de red de la lista.4. En el panel de detalles, el campo Private DNS (IPv4) (DNS privado (IPv4)) mostrará el nombre de host

DNS privado.

Para ver los nombres de host DNS para una interfaz de red utilizando la línea de comandos


• describe-network-interfaces (AWS CLI)• Get-EC2NetworkInterface (Herramientas de AWS para Windows PowerShell)

Visualización y actualización de la compatibilidad deDNS para su VPCPuede ver y actualizar los atributos de compatibilidad de DNS para su VPC utilizando la consola deAmazon VPC,

Para describir y actualizar la compatibilidad de DNS para una VPC utilizando la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Your VPCs.3. Seleccione la VPC de la lista.4. Revise la información en la pestaña Summary. En este ejemplo, se han habilitado ambas

configuraciones.

5. Para actualizar estas configuraciones, elija Actions y Edit DNS Resolution o Edit DNS Hostnames. Enel cuadro de diálogo que se abre, elija Yes (Sí) o No, y luego elija Save (Guardar).

Para describir la compatibilidad de DNS para una VPC utilizando la línea de comandos


• describe-vpc-attribute (AWS CLI)

279


https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Instance.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-network-interfaces.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2NetworkInterface.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpc-attribute.html

Amazon Virtual Private Cloud Guía del usuarioUtilización de zonas hospedadas privadas

• Get-EC2VpcAttribute (Herramientas de AWS para Windows PowerShell)

Para actualizar la compatibilidad de DNS para una VPC utilizando la línea de comandos


• modify-vpc-attribute (AWS CLI)• Edit-EC2VpcAttribute (Herramientas de AWS para Windows PowerShell)

Utilización de zonas hospedadas privadasSi desea obtener acceso a los recursos de su VPC utilizando nombres de dominio DNS personalizados,como ejemplo.com, en lugar de utilizar direcciones IPv4 privadas o nombres de host DNS privadosproporcionados por AWS, puede crear una zona hospedada privada en Route 53. Una zona hospedadaprivada es un contenedor que aloja información acerca de cómo deseas dirigir el tráfico de un dominioy sus subdominios en una o varias VPC sin tener que exponer sus recursos en Internet. A continuación,puede crear conjuntos de registros de recursos de Route 53, que determinan cómo responde Route 53ante las consultas para su dominio y subdominios. Por ejemplo, si desea que las solicitudes del navegadorse dirijan a un servidor web en su VPC, creará un registro A en su zona hospedada privada y especificarála dirección IP en ese servidor web. Para obtener más información acerca de la creación de una zonaalojada privada, consulte Uso de zonas alojadas privadas en la Guía para desarrolladores de AmazonRoute 53.

Para obtener acceso a recursos utilizando nombres de dominio DNS personalizados, debe estar conectadoa una instancia en su VPC. Desde su instancia, puede comprobar que su recurso de la zona hospedadaprivada esté accesible desde su nombre DNS personalizado mediante el comando ping; por ejemplo,ping mywebserver.example.com. (Debe asegurarse de que las reglas del grupo de seguridad de suinstancia permiten el tráfico ICMP entrante para que el comando ping funcione).

Puede obtener acceso a una zona hospedada privada desde una instancia de EC2-Classic vinculadaa su VPC mediante ClassicLink, siempre que su VPC esté habilitada para la compatibilidad de DNScon ClassicLink. Para obtener más información, consulte Habilitación de la compatibilidad de DNS paraClassicLink en la Guía del usuario de Amazon EC2 para instancias de Linux. En caso contrario, las zonashospedadas privadas no admitirán las relaciones transitivas fuera de la VPC; por ejemplo, no es posibleobtener acceso a los recursos utilizando sus nombres DNS privados personalizados desde el otro lado deuna conexión VPN.

Important

Si utiliza nombres de dominio DNS personalizados definidos en una zona alojada privada enAmazon Route 53, debe establecer los atributos enableDnsHostnames y enableDnsSupportcomo true.

Interconexión de VPCUna interconexión de VPC es una conexión de redes entre dos VPC que permite direccionar el tráficoentre ellas de forma privada. Las instancias de ambas VPC se pueden comunicar entre sí siempre que seencuentren en la misma red. Puede crear una interconexión de VPC entre sus propias VPC, con una VPCde otra cuenta de AWS o con una VPC de otra región de AWS.

AWS utiliza la infraestructura existente de una VPC para crear una interconexión de VPC. No se trata deninguna gateway o conexión de AWS Site-to-Site VPN y no usa ningún hardware físico individual. Por lotanto, no existen puntos de error de comunicaciones ni cuellos de botella de ancho de banda.

280

https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2VpcAttribute.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-attribute.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2VpcAttribute.html

https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zones-private.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/vpc-classiclink.html#classiclink-enable-dns-support

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/vpc-classiclink.html#classiclink-enable-dns-support

Amazon Virtual Private Cloud Guía del usuarioDirecciones IP elásticas

Para obtener más información acerca del uso de interconexiones de VPC con ejemplos de escenarios deutilización de interconexiones de VPC, consulte la Amazon VPC Peering Guide.

Direcciones IP elásticasLas direcciones IP elásticas son direcciones IPv4 estáticas y públicas, diseñadas para la informática enla nube dinámica. Puede asociar una dirección IP elástica a cualquier instancia o a cualquier interfaz dered de cualquier VPC de su cuenta. Con una dirección IP elástica, puede enmascarar los errores de lasinstancias reasignando rápidamente la dirección a otra instancia de su VPC. Tenga en cuenta que laventaja de asociar la dirección IP elástica a la interfaz de red en lugar de directamente a la instancia es quepuede mover todos los atributos de la interfaz de red de una instancia a otra en un solo paso.

Actualmente no se admiten las direcciones IP elásticas para IPv6.

Contenido• Conceptos básicos de las direcciones IP elásticas (p. 281)• Uso de direcciones IP elásticas (p. 282)• Información general de API y CLI (p. 284)

Conceptos básicos de las direcciones IP elásticasA continuación se describen los conceptos básicos que debe saber acerca de las direcciones IP elásticas:

• En primer lugar, asignará una dirección IP elástica para su uso en una VPC y, a continuación, laasociará a una instancia en su VPC (se puede asignar únicamente a una instancia cada vez).

• Las direcciones IP elásticas son una propiedad de las interfaces de red. Puede asociar una dirección IPelástica a una instancia actualizando la interfaz de red vinculada a la instancia.

• Si asocia una dirección IP elástica a la interfaz de red eth0 de su instancia, su dirección IPv4 públicaactual (en caso de que la tenga) se liberará al grupo de direcciones IP públicas EC2-VPC. Si anula laasociación de la dirección IP elástica, a la interfaz de red eth0 se le asignará automáticamente unanueva dirección IPv4 pública en unos minutos. Esto no es aplicable si ha vinculado una segunda interfazde red a su instancia.

• Existen diferencias entre las direcciones IP elásticas que se utilizan en una VPC y las que se utilizan enEC2-Classic. Para obtener más información, consulte Diferencias en la dirección IP elástica entre EC2-Classic y Amazon EC2-VPC en la Guía del usuario de Amazon EC2 para instancias de Linux.

• También puede desplazar una dirección IP elástica de una instancia a otra. La instancia puede estar enla misma VPC o en otra, pero no en EC2-Classic.

• Sus direcciones IP elásticas permanecerán asociadas a su cuenta de AWS hasta que las libereexplícitamente.

• Para garantizar un uso eficiente de las direcciones IP elásticas, hemos establecido un pequeño cargopor horas cuando estas no están asociadas a una instancia en ejecución, o bien cuando están asociadasa una instancia detenida o a una interfaz de red no conectada. Mientras su instancia esté en ejecución,no se le cobrará por una dirección IP elástica asociada a la instancia, pero sí por las direcciones IPelásticas adicionales asociadas a la instancia. Para obtener más información, consulte la página Preciosde Amazon EC2.

• El límite es de cinco direcciones IP elásticas; como ayuda para conservarlas, puede utilizar undispositivo NAT (consulte NAT (p. 242)).

• Puede obtener acceso a las direcciones IP elásticas desde una gateway de Internet de una VPC. Si haconfigurado una conexión de AWS Site-to-Site VPN entre su VPC y su red, el tráfico VPN atravesará unagateway privada virtual, no una gateway de Internet; por lo tanto, no podrá obtener acceso a la direcciónIP elástica.

281




https://aws.amazon.com/ec2/pricing/on-demand/#Elastic_IP_Addresses

https://aws.amazon.com/ec2/pricing/on-demand/#Elastic_IP_Addresses

Amazon Virtual Private Cloud Guía del usuarioUso de direcciones IP elásticas

• Puede mover a la plataforma de VPC una dirección IP elástica que haya asignado para utilizarla en laplataforma de EC2-Classic. Para obtener más información, consulte la sección sobre la migración de unadirección IP elástica de EC2-Classic a EC2-VPC en la Guía del usuario de Amazon EC2.

• Puede etiquetar una dirección IP elástica asociada para usarse en una VPC, pero no se permitenetiquetas de asignación de costos. Si recupera una dirección IP elástica, las etiquetas no se recuperan.

• Puede utilizar cualquiera de las siguientes opciones para las direcciones IP elásticas:• Que Amazon proporcione las direcciones IP elásticas. Al seleccionar esta opción, puede asociar las

direcciones IP elásticas a un grupo de bordes de red. Esta es la ubicación desde la que anunciamos elbloque CIDR. Establecer el grupo de bordes de red limita el bloque de CIDR a este grupo.

• Utilice sus propias direcciones IP Para obtener información sobre cómo traer sus propias direccionesIP, consulte Bring Your Own IP Addresses (BYOIP) en Guía del usuario de Amazon EC2 parainstancias de Linux.

Uso de direcciones IP elásticasPuede asignar una dirección IP elástica en su cuenta y, a continuación, asociarla a una instancia en unaVPC.

Para asignar una dirección IP elástica para su uso en una VPC

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Elastic IPs.3. Elija Allocate new address (Asignar nueva dirección).4. Especifique las direcciones IP elásticas.

Utilice un grupo de direcciones proporcionado por Amazon.

• Seleccione Amazon pool (grupo de Amazon).• En Network border group (Grupo de bordes de red), seleccione el grupo desde el cuál AWS anuncia

las direcciones IP.

Use sus propias direcciones.

• Seleccione Owned by me (De mi propiedad).• En Pool (Grupo), seleccione el grupo que ha creado.

5. Elija Allocate.

Note

Si su cuenta es compatible con EC2-Classic, elija primero VPC.

Para ver sus direcciones IP elásticas

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Elastic IPs.3. Para filtrar la lista mostrada, comience escribiendo en el cuadro de búsqueda parte de la dirección IP

elástica o el ID de la instancia a la que está asignada.

Para asociar una dirección IP elástica a una instancia en ejecución en una VPC

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Elastic IPs.

282

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/elastic-ip-addresses-eip.html#migrating-eip

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/elastic-ip-addresses-eip.html#migrating-eip





Amazon Virtual Private Cloud Guía del usuarioUso de direcciones IP elásticas

3. Seleccione una dirección IP elástica asignada para su uso con una VPC (la columna Scope tiene unvalor de vpc), elija Actions y, a continuación, elija Associate address.

4. Elija Instance o Network interface y, a continuación, seleccione la instancia o el ID de interfaz de red.Seleccione la dirección IP privada a la que desea asociar la dirección IP elástica. Elija Associate.

Note

Una interfaz de red puede tener varios atributos, incluida una dirección IP elástica. Puedecrear una interfaz de red y adjuntarla y separarla de las instancias de la VPC. La ventaja dehacer que la dirección IP elástica sea un atributo de la interfaz de red en lugar de asociarladirectamente a la instancia es que puede mover todos los atributos de la interfaz de red deuna instancia a otra en un solo paso. Para obtener más información, consulte Interfaces deredes elásticas.

Después de asociar la dirección IP elástica a su instancia, recibirá un nombre de host DNS (si los nombresde host DNS están habilitados). Para obtener más información, consulte Utilización de DNS con suVPC (p. 276).

Puede aplicar etiquetas a las direcciones IP elásticas para poder identificarlas o clasificarlas según lasnecesidades de su organización.

Para etiquetar una dirección IP elástica

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Elastic IPs.3. Seleccione las direcciones IP elásticas y elija Tags.4. Elija Add/Edit Tags, seleccione las claves y los valores de etiquetas necesarios y elija Save.

Para cambiar la instancia a la que está asociada una dirección IP elástica, anule la asociación de lainstancia actualmente asociada y, a continuación, asóciela a la nueva instancia en la VPC.

Para anular la asociación de una dirección IP elástica

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Elastic IPs.3. Seleccione la dirección IP elástica, elija Actions y, a continuación, elija Disassociate address.4. Cuando se le solicite, elija Disassociate address.

Si ya no necesita una dirección IP elástica, es recomendable liberarla (la dirección no debe estar asociadaa una instancia). Se le cobrarán cargos por las direcciones IP elásticas asignadas para su uso con unaVPC que no estén asociadas a una instancia.

Para liberar una dirección IP elástica

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Elastic IPs.3. Seleccione la dirección IP elástica, elija Actions y, a continuación, elija Release addresses.4. Cuando se le solicite, elija Release.

Si libera su dirección IP elástica, es posible que pueda recuperarla. No podrá recuperar la dirección IPelástica si se ha asignado a otra cuenta de AWS o si supera la cuota de direcciones IP elásticas.

Actualmente, solo puede recuperar una dirección IP elástica con la API de Amazon EC2 o una herramientade la línea de comandos.

283






Amazon Virtual Private Cloud Guía del usuarioInformación general de API y CLI

Para recuperar una dirección IP elástica con la AWS CLI

• Utilice el comando allocate-address y especifique la dirección IP con el parámetro --address.

aws ec2 allocate-address --domain vpc --address 203.0.113.3

Información general de API y CLIPuede realizar las tareas descritas en esta página utilizando la línea de comandos o una API. Para obtenermás información acerca de las interfaces de la línea de comandos, junto con una lista de API disponibles,consulte Acceso a Amazon VPC (p. 1).

Adquisición de una dirección IP elástica

• allocate-address (AWS CLI)• New-EC2Address (Herramientas de AWS para Windows PowerShell)

Asociación de una dirección IP elástica a una instancia o una interfaz de red

• associate-address (AWS CLI)• Register-EC2Address (Herramientas de AWS para Windows PowerShell)

Descripción de una o varias direcciones IP elásticas

• describe-addresses (AWS CLI)• Get-EC2Address (Herramientas de AWS para Windows PowerShell)

Etiquetado de una dirección IP elástica

• create-tags (AWS CLI)• New-EC2Tag (Herramientas de AWS para Windows PowerShell)

Anulación de la asociación de una dirección IP elástica

• disassociate-address (AWS CLI)• Unregister-EC2Address (Herramientas de AWS para Windows PowerShell)

Liberación de una dirección IP elástica

• release-address (AWS CLI)• Remove-EC2Address (Herramientas de AWS para Windows PowerShell)

ClassicLinkCon ClassicLink, puede enlazar su instancia de EC2-Classic a una VPC de su cuenta, dentro de la mismaregión. Esto permite asociar los grupos de seguridad de VPC a la instancia EC2-Classic, lo que permitela comunicación entra la instancia de EC2-Classic y las instancias de la VPC mediante direcciones IPv4privadas. Con ClassicLink, no es preciso utilizar direcciones IP elásticas ni direcciones IPv4 públicas

284

https://docs.aws.amazon.com/cli/latest/reference/ec2/allocate-address.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/allocate-address.html

https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Address.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/associate-address.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Register-EC2Address.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-addresses.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Address.html


https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Tag.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/disassociate-address.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Unregister-EC2Address.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/release-address.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2Address.html

Amazon Virtual Private Cloud Guía del usuarioClassicLink

para establecer la comunicación entre las instancias de estas plataformas. Para obtener más informaciónacerca de las direcciones IPv4 privadas y públicas, consulte Direcciones IP en su VPC (p. 101).

ClassicLink está disponible para todos los usuarios con cuentas que admitan la plataforma EC2-Classic, ypuede utilizarse con cualquier instancia EC2-Classic.

El uso de ClassicLink no supone ningún cargo adicional. Se aplicará la tarifa estándar por la transferenciade datos y el uso de instancias por hora.

Para obtener más información acerca de ClassicLink y cómo utilizarlo, consulte los siguientes temas en laGuía del usuario de Amazon EC2:

• Conceptos básicos de ClassicLink• Limitaciones de ClassicLink• Uso de ClassicLink• Información general de la API y la CLI de ClassicLink

285

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/vpc-classiclink.html#classiclink-basics

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/vpc-classiclink.html#classiclink-limitations

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/vpc-classiclink.html#working-with-classiclink

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/vpc-classiclink.html#classiclink-api-cli

Amazon Virtual Private Cloud Guía del usuarioConceptos de puntos de enlace de VPC

Servicios de punto de enlace de laVPC y Puntos de conexión de la VPC(AWS PrivateLink)

Un Punto de conexión VPC le permite conectar de forma privada su VPC a los servicios de AWScompatibles y a servicios de punto de enlace de la VPC basados en AWS PrivateLink sin necesidad de unagateway de Internet, un dispositivo NAT, una conexión de VPN o una conexión de AWS Direct Connect.Las instancias de su VPC no necesitan direcciones IP públicas para comunicarse con los recursos delservicio. El tráfico entre su VPC y el servicio no sale de la red de Amazon.

Los puntos de conexión son dispositivos virtuales. Son componentes de VPC escalados horizontalmente,redundantes y de alta disponibilidad. Permiten la comunicación entre instancias de su VPC y servicios sinimponer riesgos de disponibilidad o restricciones de ancho de banda en el tráfico de red.

Conceptos de puntos de enlace de VPCA continuación se enumeran los conceptos clave de los puntos de enlace VPC:

• Servicio de punto de enlace: Su propia aplicación en su VPC. Otras entidades principales de AWSpueden crear una conexión desde su VPC a su servicio de punto de enlace

• Punto de enlace de gateway: un punto de enlace de gateway (p. 302) es una gateway que ustedespecifica como destino de una ruta en la tabla de ruteo para el tráfico dirigido a un servicio de AWScompatible.

• Punto de enlace de interfaz: un punto de enlace de interfaz (p. 288) es una interfaz de red elástica conuna dirección IP privada del intervalo de direcciones IP de su subred que actúa como punto de entradapara el tráfico dirigido a un servicio compatible.

Uso de los puntos de enlace de la VPCPuede crear, acceder y administrar puntos de enlace de la VPC mediante cualquiera de los siguientesprocedimientos:

• Consola de administración de AWS: proporciona una interfaz web que se puede utilizar para obteneracceso a los puntos de enlace de la VPC.

• AWS Command Line Interface(AWS CLI): Proporciona comandos para un amplio abanico de serviciosde AWS, incluido Amazon VPC. La AWS CLI es compatible con Windows, macOS y Linux. Para obtenermás información, consulte AWS Command Line Interface.

• SDK de AWS: Proporcionan API específicas del idioma. Los SDK de AWS se ocupan de muchos delos detalles de conexión, como el cálculo de firmas, la gestión de intentos de solicitud y la gestión deerrores. Para obtener más información, consulte SDK de AWS.

• API de consulta: Proporciona acciones de API de nivel bajo a las que se llama mediante solicitudesHTTPS. Utilizar la API de consulta es la forma más directa de obtener acceso a Amazon VPC. Sinembargo, requiere que la aplicación gestione detalles de bajo nivel, como, por ejemplo, la generación delhash para firmar la solicitud y controlar errores. Para obtener más información, consulte la Amazon EC2API Reference.

286

https://aws.amazon.com/cli/

https://aws.amazon.com/tools/#SDKs



Amazon Virtual Private Cloud Guía del usuarioPuntos de conexión de la VPC

Puntos de conexión de la VPCUn Punto de conexión VPC le permite conectar de forma privada su VPC a los servicios de AWScompatibles y a servicios de punto de enlace de la VPC basados en AWS PrivateLink sin necesidad de unagateway de Internet, un dispositivo NAT, una conexión de VPN o una conexión de AWS Direct Connect.Las instancias de su VPC no necesitan direcciones IP públicas para comunicarse con los recursos delservicio. El tráfico entre su VPC y el servicio no sale de la red de Amazon.

Los puntos de conexión son dispositivos virtuales. Son componentes de VPC escalados horizontalmente,redundantes y de alta disponibilidad. Permiten la comunicación entre instancias de su VPC y servicios sinimponer riesgos de disponibilidad o restricciones de ancho de banda en el tráfico de red.

Existen dos tipos de puntos de enlace de Puntos de conexión de la VPC: los puntos de enlace de interfaz ylos puntos de enlace de gateway. Cree el tipo de Punto de conexión VPC necesario en función del serviciocompatible.

Puntos de enlace de interfaz (con tecnología AWS PrivateLink)

Un punto de enlace de interfaz (p. 288) es una interfaz de red elástica con una dirección IP privada delrango de direcciones IP de su subred que actúa como punto de entrada para el tráfico dirigido a un serviciocompatible. Se admiten los siguientes servicios:

• Amazon API Gateway• Amazon AppStream 2.0• AWS App Mesh• Amazon Athena• AWS CloudFormation• AWS CloudTrail• Amazon CloudWatch• Amazon CloudWatch Events• Amazon CloudWatch Logs• AWS CodeBuild• AWS CodeCommit• AWS CodePipeline• AWS Config• AWS DataSync• API de Amazon EC2• Elastic Load Balancing• Amazon EC2 Container Registry• Amazon Elastic Container Service• AWS Glue• AWS Key Management Service• Amazon Kinesis Data Firehose• Amazon Kinesis Data Streams• Amazon Rekognition• Amazon SageMaker y tiempo de ejecución de Amazon SageMaker• Bloc de notas de Amazon SageMaker• AWS Secrets Manager• AWS Security Token Service• AWS Service Catalog

287

https://aws.amazon.com/privatelink/

https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-private-apis.html

https://docs.aws.amazon.com/appstream2/latest/developerguide/creating-streaming-from-interface-vpc-endpoints.html

https://docs.aws.amazon.com/app-mesh/latest/userguide/vpc-endpoints.html

https://docs.aws.amazon.com/athena/latest/ug/interface-vpc-endpoint.html

https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-vpce-bucketnames.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-and-interface-VPC.html

https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch-and-interface-VPC.html

https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/cloudwatch-events-and-interface-VPC.html

https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch-logs-and-interface-VPC.html

https://docs.aws.amazon.com/codebuild/latest/userguide/use-vpc-endpoints-with-codebuild.html

https://docs.aws.amazon.com/codecommit/latest/userguide/codecommit-and-interface-VPC.html

https://docs.aws.amazon.com/codepipeline/latest/userguide/vpc-support.html#use-vpc-endpoints-with-codepipeline

https://docs.aws.amazon.com/config/latest/developerguide/config-VPC-endpoints.html

https://docs.aws.amazon.com/datasync/latest/userguide/datasync-in-vpc.html

https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/load-balancer-vpc-endpoints.html

https://docs.aws.amazon.com/AmazonECR/latest/userguide/vpc-endpoints.html

https://docs.aws.amazon.com/AmazonECS/latest/developerguide/vpc-endpoints.html

https://docs.aws.amazon.com/glue/latest/dg/infrastructure-security.html

https://docs.aws.amazon.com/kms/latest/developerguide/kms-vpc-endpoint.html

https://docs.aws.amazon.com/firehose/latest/dev/vpc-endpoint.html

https://docs.aws.amazon.com/streams/latest/dev/vpc.html

https://docs.aws.amazon.com/rekognition/latest/dg//vpc.html

https://docs.aws.amazon.com/sagemaker/latest/dg/interface-vpc-endpoint.html

https://docs.aws.amazon.com/sagemaker/latest/dg/notebook-interface-endpoint.html

https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotation-network-rqmts.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_sts_vpce.html

Amazon Virtual Private Cloud Guía del usuarioPuntos de enlace de interfaz

• Amazon SNS• Amazon SQS• AWS Administrador de sistemas• AWS Storage Gateway• AWS Transfer for SFTP• Servicios de punto de enlace (p. 319) alojados por otras cuentas de AWS• Servicios compatibles de socios de AWS Marketplace

Puntos de enlace de gateway

Los puntos de enlace de gateway (p. 302) son gateways que especifica como destino de una ruta en latabla de ruteo para el tráfico dirigido a un servicio de AWS compatible. Se admiten los siguientes serviciosde AWS:

• Amazon S3• DynamoDB

Control del uso de Puntos de conexión de la VPC

De forma predeterminada, los usuarios de IAM no tienen permiso para trabajar con puntos de conexión.Puede crear una política de usuarios de IAM que conceda permisos a los usuarios para crear, modificar yeliminar puntos de enlace. Actualmente no se admiten los permisos de nivel de recursos para ninguna delas acciones de la API ec2:*VpcEndpoint*, ni tampoco para la acción ec2:DescribePrefixLists.No puede crear una política de IAM que conceda permisos a los usuarios para utilizar un punto de enlace ouna lista de prefijos específicos. A continuación se muestra un ejemplo.

{ "Version": "2012-10-17", "Statement":[{ "Effect":"Allow", "Action":"ec2:*VpcEndpoint*", "Resource":"*" } ]}

Para obtener información acerca del control de acceso a servicios utilizando puntos de enlace de laVPC, consulte the section called “Control del acceso a los servicios con Puntos de conexión de laVPC” (p. 317).

Interfaz Puntos de conexión de la VPC (AWSPrivateLink)Un punto de enlace de VPC (punto de enlace de interfaz) le permite conectar con servicios basados enAWS PrivateLink. Entre estos servicios se cuentan algunos servicios de AWS, servicios alojados por otrosclientes y socios de AWS en sus propias VPC (denominados servicios de punto de enlace) y servicioscompatibles de socios de AWS Marketplace. El propietario del servicio es el proveedor y usted, comoentidad principal que crea el punto de conexión de la interfaz, es el consumidor del servicio.

Se admiten los siguientes servicios:

• Amazon API Gateway• Amazon AppStream 2.0

288

https://docs.aws.amazon.com/sns/latest/dg/sns-vpc.html

https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-vpc-endpoints.html

https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-setting-up-vpc.html

https://docs.aws.amazon.com/storagegateway/latest/userguide/gateway-private-link.html

https://docs.aws.amazon.com/transfer/latest/userguide/create-server-vpc.html

https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-private-apis.html

https://docs.aws.amazon.com/appstream2/latest/developerguide/creating-streaming-from-interface-vpc-endpoints.html


• AWS App Mesh• Amazon Athena• AWS CloudFormation• AWS CloudTrail• Amazon CloudWatch• Amazon CloudWatch Events• Amazon CloudWatch Logs• AWS CodeBuild• AWS CodeCommit• AWS CodePipeline• AWS Config• AWS DataSync• API de Amazon EC2• Elastic Load Balancing• Amazon EC2 Container Registry• Amazon Elastic Container Service• AWS Glue• AWS Key Management Service• Amazon Kinesis Data Firehose• Amazon Kinesis Data Streams• Amazon Rekognition• Amazon SageMaker y tiempo de ejecución de Amazon SageMaker• Bloc de notas de Amazon SageMaker• AWS Secrets Manager• AWS Security Token Service• AWS Service Catalog• Amazon SNS• Amazon SQS• AWS Administrador de sistemas• AWS Storage Gateway• AWS Transfer for SFTP• Servicios de punto de enlace (p. 319) alojados por otras cuentas de AWS• Servicios compatibles de socios de AWS Marketplace

A continuación se indican los pasos generales para establecer un punto de conexión de interfaz:

1. Elegir la VPC en la que se va a crear el punto de enlace de interfaz e indicar el nombre del servicio deAWS, servicio de punto de enlace o servicio de AWS Marketplace con el que se va a conectar.

2. Elegir una subred de la VPC para utilizar el punto de conexión de interfaz. Vamos a crear una interfazde red de punto de conexión en la subred. Puede especificar más de una subred en zonas dedisponibilidad distintas (si el servicio lo admite) para asegurarse de que el punto de conexión de interfazsea resistente a errores de zonas de disponibilidad. En tal caso, crearemos una interfaz de red de puntode conexión en cada subred especificada.

Note

Una interfaz de red de punto de conexión es una interfaz de red administrada por el solicitante.Puede verla en su cuenta, pero no puede administrarla. Para obtener más información,consulte Interfaces de redes elásticas.

289

https://docs.aws.amazon.com/app-mesh/latest/userguide/vpc-endpoints.html

https://docs.aws.amazon.com/athena/latest/ug/interface-vpc-endpoint.html


https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-and-interface-VPC.html



https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch-logs-and-interface-VPC.html

https://docs.aws.amazon.com/codebuild/latest/userguide/use-vpc-endpoints-with-codebuild.html

https://docs.aws.amazon.com/codecommit/latest/userguide/codecommit-and-interface-VPC.html

https://docs.aws.amazon.com/codepipeline/latest/userguide/vpc-support.html#use-vpc-endpoints-with-codepipeline

https://docs.aws.amazon.com/config/latest/developerguide/config-VPC-endpoints.html

https://docs.aws.amazon.com/datasync/latest/userguide/datasync-in-vpc.html


https://docs.aws.amazon.com/AmazonECR/latest/userguide/vpc-endpoints.html

https://docs.aws.amazon.com/AmazonECS/latest/developerguide/vpc-endpoints.html

https://docs.aws.amazon.com/glue/latest/dg/infrastructure-security.html

https://docs.aws.amazon.com/kms/latest/developerguide/kms-vpc-endpoint.html

https://docs.aws.amazon.com/firehose/latest/dev/vpc-endpoint.html

https://docs.aws.amazon.com/streams/latest/dev/vpc.html

https://docs.aws.amazon.com/rekognition/latest/dg//vpc.html

https://docs.aws.amazon.com/sagemaker/latest/dg/interface-vpc-endpoint.html

https://docs.aws.amazon.com/sagemaker/latest/dg/notebook-interface-endpoint.html

https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotation-network-rqmts.html


https://docs.aws.amazon.com/sns/latest/dg/sns-vpc.html

https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-vpc-endpoints.html


https://docs.aws.amazon.com/storagegateway/latest/userguide/gateway-private-link.html

https://docs.aws.amazon.com/transfer/latest/userguide/create-server-vpc.html



3. Especificar los grupos de seguridad que se asociarán a la interfaz de red de punto de conexión. Lasreglas de grupo de seguridad controlan el tráfico proveniente de los recursos de su VPC hacia la interfazde red de punto de conexión. Si no se especifica un grupo de seguridad, se asociará el grupo deseguridad predeterminado para la VPC.

4. (Opcional, solo para servicios de AWS y de socios de AWS Marketplace) Habilitar un DNSprivado (p. 290) para el punto de enlace con el fin de que pueda hacer solicitudes al servicio utilizandosu nombre de host DNS predeterminado.

Important

El DNS privado está habilitado de forma predeterminada para los puntos de enlace creados porlos servicios de AWS y los servicios de socios de AWS Marketplace.El DNS privado está habilitado en las otras subredes que se encuentran en la misma VPC y lamisma zona de disponibilidad o local.

5. Cuando el proveedor de servicios y el consumidor estén en cuentas distintas, consulte the section called“Consideraciones sobre zonas de disponibilidad de punto de enlace” (p. 293) para obtener informaciónacerca de cómo usar los ID de zona de disponibilidad para identificar la zona de disponibilidad del puntode enlace de interfaz.

6. Una vez creado el punto de enlace de interfaz, estará disponible para su uso cuando lo acepte elproveedor del servicio. El proveedor del servicio debe configurar este de modo que acepte solicitudesde forma automática o manual. En general, los servicios de AWS y de AWS Marketplace aceptanautomáticamente todas las solicitudes de punto de enlace. Para obtener más información sobre el ciclode vida de un punto de conexión, consulte Ciclo de vida de los puntos de conexión de interfaz (p. 293).

Los servicios no pueden iniciar solicitudes de recursos de su VPC a través del punto de conexión. Elpunto de enlace solo proporciona respuestas al tráfico que se inicia a partir de recursos de la VPC. Antesde integrar un servicio y un punto de enlace, revise la documentación del punto de enlace de la VPCespecífica del servicio para cualquier configuración y limitación específicas del servicio.

Contenido• DNS privado (p. 290)• Propiedades y limitaciones de los puntos de conexión de interfaz (p. 292)• Conexión a centros de datos locales (p. 293)• Ciclo de vida de los puntos de conexión de interfaz (p. 293)• Consideraciones sobre zonas de disponibilidad de punto de enlace (p. 293)• Precios de los puntos de enlace de interfaz (p. 294)• Creación de un punto de conexión de interfaz (p. 294)• Visualización del punto de conexión de interfaz (p. 298)• Creación y administración de una notificación para un punto de conexión de interfaz (p. 298)• Acceso a un servicio a través de un punto de conexión de interfaz (p. 300)• Modificación de un punto de enlace de interfaz (p. 300)

DNS privadoCuando se crea un punto de enlace de interfaz, generamos nombres de host DNS específicos para esepunto que puede usar para comunicarse con el servicio. Para los servicios de AWS y los servicios delos socios de AWS Marketplace, el DNS privado (habilitado de forma predeterminada) asocia una zonahospedada privada a su VPC. La zona hospedada contiene un registro definido para el nombre de DNSpredeterminado para el servicio (por ejemplo, ec2.us-east-1.amazonaws.com) que se convierte en lasdirecciones IP privadas de las interfaces de red de punto de enlace de la VPC. De este modo podrá hacersolicitudes al servicio utilizando su nombre de host DNS predeterminado, en lugar de los nombres de hostDNS específicos del punto de conexión. Por ejemplo, si sus aplicaciones existentes hacen solicitudes a un

290


servicio de AWS podrán continuar haciéndolo a través del punto de conexión de interfaz sin necesidad deningún cambio en la configuración.

En el ejemplo que se muestra en el siguiente diagrama, hay un punto de enlace de interfaz para AmazonKinesis Data Streams y una interfaz de red de punto de enlace en la subred 2. No se ha habilitado elDNS privado para el punto de enlace de la interfaz y no se ha especificado el nombre de DNS privado(por ejemplo, myPrivateLinkService.example.com). Las instancias de cada subred se puedencomunicar con Amazon Kinesis Data Streams a través del punto de enlace de interfaz utilizando unnombre de host DNS específico del punto de enlace (nombre de DNS B). Las instancias de la subred 1pueden comunicarse con Amazon Kinesis Data Streams a través del espacio de direcciones IP públicas enla región de AWS mediante el nombre de DNS privado.

En el siguiente diagrama, se ha habilitado el DNS privado para el punto de enlace y se ha asignado unnombre al DNS privado. Las instancias de cualquiera de las subredes pueden comunicarse con AmazonKinesis Data Streams a través del extremo de la interfaz mediante el nombre DNS privado.

291


Important

Para utilizar un DNS privado, debe establecer true en los siguientes atributos de la VPC:enableDnsHostnames y enableDnsSupport. Para obtener más información, consulteVisualización y actualización de la compatibilidad de DNS para su VPC (p. 279). Los usuariosde IAM deben tener permiso para trabajar con zonas alojadas. Para obtener más información,consulte Autenticación y control de acceso de Route 53.

Propiedades y limitaciones de los puntos de conexión de interfazPara utilizar los puntos enlace de interfaz, debe conocer sus propiedades y sus limitaciones actuales:

• Para cada punto de enlace de interfaz solo puede elegir una subred por cada zona de disponibilidad.• Los puntos de enlace de la interfaz admiten el uso de políticas para servicios que admiten políticas de

punto de enlace. Para obtener información acerca de los servicios que admiten políticas, consulte thesection called “Control del acceso a los servicios con Puntos de conexión de la VPC” (p. 317).

• Puede que algunos servicios no estén disponibles a través de un punto de enlace de interfaz en todaslas zonas de disponibilidad. Para conocer las zonas de disponibilidad compatibles, use el comandodescribe-vpc-endpoint-services o la consola de Amazon VPC. Para obtener más información, consulteCreación de un punto de conexión de interfaz (p. 294).

• Cuando se crea un punto de enlace de interfaz, el punto de enlace se crea en la zona de disponibilidadque corresponde a su cuenta y que es independiente de las demás cuentas. Cuando el proveedor deservicios y el consumidor estén en cuentas distintas, consulte the section called “Consideraciones sobrezonas de disponibilidad de punto de enlace” (p. 293) para obtener información acerca de cómo usar losID de zona de disponibilidad para identificar la zona de disponibilidad del punto de enlace de interfaz.

292

https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/auth-and-access-control.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpc-endpoint-services.html


• De forma predeterminada, cada punto de enlace de interfaz admite un ancho de banda de hasta 10Gbps por cada zona de disponibilidad. Es posible agregar automáticamente más capacidad en funcióndel uso.

• Si la ACL de red de la subred restringe el tráfico, es posible que no pueda enviar tráfico a través de lainterfaz de red de punto de conexión. Asegúrese de agregar las reglas adecuadas que permitan el tráficodesde y hacia el bloque de CIDR de la subred.

• Un punto de conexión de interfaz solo admite tráfico TCP.• Al crear un punto de enlace, puede asociar una política de punto de enlace que controle el acceso

al servicio al que se va a conectar. Para obtener más información, consulte prácticas recomendadasde la política y the section called “Control del acceso a los servicios con Puntos de conexión de laVPC” (p. 317).

• Revise los límites específicos del servicio para el servicio de punto de enlace.• Los puntos de enlace solo se admiten en la misma región. No se puede crear un punto de enlace entre

una VPC y un servicio de otra región.• Los puntos de enlace solo son compatibles con el tráfico IPv4.• No se puede transferir un punto de enlace de una VPC a otra, ni de un servicio a otro.• El número de puntos de enlace que puede crear por VPC es limitado. Para obtener más información,

consulte Puntos de conexión de la VPC (p. 346).

Conexión a centros de datos localesPuede utilizar los siguientes tipos de conexiones para una conexión entre un extremo de interfaz y sucentro de datos local:

• AWS Direct Connect• AWS Site-to-Site VPN

Ciclo de vida de los puntos de conexión de interfazUn punto de conexión de interfaz atraviesa varias etapas, que comienzan cuando lo crea (con la solicitudde conexión). En cada etapa, el consumidor y el proveedor del servicio pueden ejecutar distintas acciones.

Se aplican las siguientes reglas:

• El proveedor del servicio puede configurar este de modo que acepte solicitudes de punto de enlacede interfaz de forma automática o manual. En general, los servicios de AWS y de AWS Marketplaceaceptan automáticamente todas las solicitudes de punto de enlace.

• Un proveedor de servicio no puede eliminar un punto de conexión de interfaz que comunique con suservicio. Únicamente el consumidor del servicio que solicitó la conexión de ese punto de interfaz puedeeliminar el punto de conexión.

• Un proveedor de servicio puede rechazar el punto de enlace de interfaz después de haberlo aceptado(ya sea manual o automáticamente) y de que se encuentre en el estado available.

Consideraciones sobre zonas de disponibilidad de punto deenlaceCuando se crea un punto de enlace de interfaz, el punto de enlace se crea en la zona de disponibilidadque corresponde a su cuenta y que es independiente de las demás cuentas. Cuando el proveedor deservicios y el consumidor estén en cuentas distintas, utilice el ID de zona de disponibilidad para identificar

293

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-policy-examples.html#security_iam_service-with-iam-policy-best-practices



de forma inequívoca y sistemática la zona de disponibilidad del punto de enlace de interfaz. Por ejemplo,use1-az1 es un ID de zona de disponibilidad para la región us-east-1 y está en la misma ubicación entodas las cuentas de AWS. Para obtener información sobre los ID de zona de disponibilidad, consulte ID dezona de disponibilidad para sus recursos en la Guía del usuario de AWS RAM o utilice describe-availability-zones.

Puede que algunos servicios no estén disponibles a través de un punto de enlace de interfaz en todas laszonas de disponibilidad. Puede utilizar cualquiera de las operaciones siguientes para detectar qué zonasde disponibilidad admite un servicio:

• describe-vpc-endpoint-services (AWS CLI)• DescribeVpcEndpointServices (API)• La consola de Amazon VPC cuando crea un punto de enlace de interfaz. Para obtener más información,

consulte the section called “Creación de un punto de conexión de interfaz” (p. 294).

Precios de los puntos de enlace de interfazSe le cobrará por la creación y el uso de cada punto de conexión de interfaz a un servicio. Se aplicarántarifas de procesamiento de datos y uso por horas. Para obtener más información, consulte Precios deAWS PrivateLink.

Creación de un punto de conexión de interfazPara crear un punto de enlace de interfaz, debe especificar la VPC en la que desee crearlo, así como elservicio con el que desea establecer la conexión.

Para servicios de AWS o servicios de socios de AWS Marketplace, puede opcionalmente habilitar la DNSprivada (p. 290) para el punto de enlace para habilitar realizar solicitudes para el servicio utilizando sunombre de host de DNS.

Important

El DNS privado está habilitado de forma predeterminada para los puntos de enlace creados porlos servicios de AWS y los servicios de socios de AWS Marketplace.

Si desea información específica sobre los servicios de AWS, consulte Puntos de conexión de laVPC (p. 287).

Para crear un punto de conexión de interfaz con un servicio de AWS utilizando la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Endpoints, Create Endpoint.3. En Service category, asegúrese de que está seleccionado AWS services.4. En Service Name, elija el nombre del servicio con el que desea conectar. En Type, asegúrese de que

el valor es Interface.5. Complete la siguiente información y, a continuación, elija Create endpoint.

• En VPC, seleccione la VPC en la que se va a crear el punto de conexión.• En Subredes, seleccione las subredes (zonas de disponibilidad) en las que crear las interfaces de

red de punto de conexión.

Es posible que algunos servicios de AWS no puedan usarse en todas las zonas de disponibilidad.• Para habilitar un DNS privado para el punto de enlace de interfaz, en Enable Private DNS Name

(Habilitar nombre de DNS privado), active la casilla de verificación .

294



https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-availability-zones.html


https://docs.aws.amazon.com/cli/latest/reference/ec2describe-vpc-endpoint-services.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpcEndpointServices.html

https://aws.amazon.com/privatelink/pricing/

https://aws.amazon.com/privatelink/pricing/



Esta opción está habilitada de forma predeterminada. Para utilizar la opción de DNS privado,los atributos siguientes de la VPC deben tener el valor true: enableDnsHostnames yenableDnsSupport. Para obtener más información, consulte Visualización y actualización de lacompatibilidad de DNS para su VPC (p. 279).

• En Security group, seleccione los grupos de seguridad que deban asociarse a las interfaces de redde punto de conexión.

Para crear un punto de conexión de interfaz a un servicio de punto de conexión deberá conocer el nombredel servicio con el que desea conectar. El proveedor del servicio puede indicarle ese nombre.

Para crear un punto de conexión de interfaz a un servicio de punto de conexión

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Endpoints, Create Endpoint.3. En Service category, elija Find service by name.4. En Service Name, escriba el nombre del servicio (por ejemplo, com.amazonaws.vpce.us-

east-1.vpce-svc-0e123abc123198abc) y elija Verify.5. Complete la siguiente información y, a continuación, elija Create endpoint.



Es posible que el servicio no pueda usarse en todas las zonas de disponibilidad.• En Security group, seleccione los grupos de seguridad que deban asociarse a las interfaces de red

de punto de conexión.

Para crear un punto de conexión de interfaz a un servicio de un socio de AWS Marketplace

1. Vaya a la página PrivateLink de AWS Marketplace y suscríbase a un servicio de un proveedor desoftware como servicio (SaaS). Los servicios compatibles con puntos de conexión de interfaz incluyenla opción de conectar a través de un punto de interfaz.

2. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.3. En el panel de navegación, elija Endpoints, Create Endpoint.4. En Service category, elija Your AWS Marketplace services.5. Elija el servicio de AWS Marketplace al que se ha suscrito.6. Complete la siguiente información y, a continuación, elija Create endpoint.



Es posible que el servicio no pueda usarse en todas las zonas de disponibilidad.• En Security group, seleccione los grupos de seguridad que deban asociarse a las interfaces de red

de punto de conexión.

Para crear un punto de conexión de interfaz con la AWS CLI

1. Use el comando describe-vpc-endpoint-services para obtener una lista de los servicios disponibles.En la respuesta obtenida, observe el nombre del servicio con el que va a conectar. El campoServiceType indica si la conexión al servicio se hace a través de un punto de enlace de interfaz o deun punto de enlace de gateway. El campo ServiceName indica el nombre del servicio.

295


https://aws.amazon.com/marketplace/saas/privatelink




aws ec2 describe-vpc-endpoint-services

{ "VpcEndpoints": [ { "VpcEndpointId": "vpce-08a979e28f97a9f7c", "VpcEndpointType": "Interface", "VpcId": "vpc-06e4ab6c6c3b23ae3", "ServiceName": "com.amazonaws.us-east-2.monitoring", "State": "available", "PolicyDocument": "{\n \"Statement\": [\n {\n \"Action\": \"*\", \n \"Effect\": \"Allow\", \n \"Principal\": \"*\", \n \"Resource\": \"*\"\n }\n ]\n}", "RouteTableIds": [], "SubnetIds": [ "subnet-0931fc2fa5f1cbe44" ], "Groups": [ { "GroupId": "sg-06e1d57ab87d8f182", "GroupName": "default" } ], "PrivateDnsEnabled": false, "RequesterManaged": false, "NetworkInterfaceIds": [ "eni-019b0bb3ede80ebfd" ], "DnsEntries": [ { "DnsName": "vpce-08a979e28f97a9f7c-4r5zme9n.monitoring.us-east-2.vpce.amazonaws.com", "HostedZoneId": "ZC8PG0KIFKBRI" }, { "DnsName": "vpce-08a979e28f97a9f7c-4r5zme9n-us-east-2c.monitoring.us-east-2.vpce.amazonaws.com", "HostedZoneId": "ZC8PG0KIFKBRI" } ], "CreationTimestamp": "2019-06-04T19:10:37.000Z", "Tags": [], "OwnerId": "123456789012" } ]

2. Para crear un punto de enlace de interfaz, utilice el comando create-vpc-endpoint y especifique el IDde VPC, el tipo de Punto de conexión VPC (interfaz), el nombre del servicio, las subredes que usaránel punto de enlace y los grupos de seguridad que se asociarán a sus interfaces de red.

En el siguiente ejemplo se crea un punto de conexión de interfaz al servicio Elastic Load Balancing.

aws ec2 create-vpc-endpoint --vpc-id vpc-ec43eb89 --vpc-endpoint-type Interface --service-name com.amazonaws.us-east-1.elasticloadbalancing --subnet-id subnet-abababab --security-group-id sg-1a2b3c4d

{ "VpcEndpoint": { "PolicyDocument": "{\n \"Statement\": [\n {\n \"Action\": \"*\", \n \"Effect\": \"Allow\", \n \"Principal\": \"*\", \n \"Resource\": \"*\"\n }\n ]\n}",

296

https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpc-endpoint.html


"VpcId": "vpc-ec43eb89", "NetworkInterfaceIds": [ "eni-bf8aa46b" ], "SubnetIds": [ "subnet-abababab" ], "PrivateDnsEnabled": true, "State": "pending", "ServiceName": "com.amazonaws.us-east-1.elasticloadbalancing", "RouteTableIds": [], "Groups": [ { "GroupName": "default", "GroupId": "sg-1a2b3c4d" } ], "VpcEndpointId": "vpce-088d25a4bbf4a7abc", "VpcEndpointType": "Interface", "CreationTimestamp": "2017-09-05T20:14:41.240Z", "DnsEntries": [ { "HostedZoneId": "Z7HUB22UULQXV", "DnsName": "vpce-088d25a4bbf4a7abc-ks83awe7.elasticloadbalancing.us-east-1.vpce.amazonaws.com" }, { "HostedZoneId": "Z7HUB22UULQXV", "DnsName": "vpce-088d25a4bbf4a7abc-ks83awe7-us-east-1a.elasticloadbalancing.us-east-1.vpce.amazonaws.com" }, { "HostedZoneId": "Z1K56Z6FNPJRR", "DnsName": "elasticloadbalancing.us-east-1.amazonaws.com" } ] }}

Como alternativa, el ejemplo siguiente crea un punto de conexión de interfaz a un servicio de puntode conexión de otra cuenta de AWS (el proveedor le indicará el nombre del servicio de punto deconexión).

aws ec2 create-vpc-endpoint --vpc-id vpc-ec43eb89 --vpc-endpoint-type Interface --service-name com.amazonaws.vpce.us-east-1.vpce-svc-0e123abc123198abc --subnet-id subnet-abababab --security-group-id sg-1a2b3c4d

En la respuesta obtenida, observe el valor de los campos DnsName. Puede usar estos nombres deDNS para el acceso al servicio de AWS.

Para describir los servicios disponibles con las Herramientas de AWS para Windows PowerShell ola API

• Get-EC2VpcEndpointService (Herramientas de AWS para Windows PowerShell)• DescribeVpcEndpointServices (API de consulta de Amazon EC2)

297

https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2VpcEndpointService.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ApiReference-query-DescribeVpcEndpointServices.html


Para crear un Punto de conexión VPC con las Herramientas de AWS para Windows PowerShell ola API

• New-EC2VpcEndpoint (Herramientas de AWS para Windows PowerShell)• CreateVpcEndpoint (API de consulta de Amazon EC2)

Visualización del punto de conexión de interfazUna vez creado un punto de conexión de interfaz, puede ver la información sobre él.

Para ver información acerca de un punto de conexión de interfaz con la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Endpoints y seleccione el punto de conexión de interfaz.3. Para ver información acerca del punto de conexión de interfaz, elija Details. El campo DNS Names

muestra los nombres de DNS que deben usarse para el acceso al servicio,4. Para ver las subredes en las que se ha creado el punto de conexión de interfaz y el ID de la interfaz de

red del punto de conexión en cada subred, elija Subnets.5. Para ver los grupos de seguridad asociados a la interfaz de red del punto de conexión, elija Security

group.

Para describir un punto de conexión de interfaz con la AWS CLI

• Puede describir un punto de enlace con el comando describe-vpc-endpoints.

aws ec2 describe-vpc-endpoints --vpc-endpoint-ids vpce-088d25a4bbf4a7abc

Para describir los Puntos de conexión de la VPC con las Herramientas de AWS para WindowsPowerShell o la API

• Get-EC2VpcEndpoint (Herramientas de AWS para Windows PowerShell)• DescribeVpcEndpoints (API de consulta de Amazon EC2)

Creación y administración de una notificación para un punto deconexión de interfazPuede crear una notificación para recibir alertas cuando se produzcan eventos específicos en el punto deconexión de interfaz. Por ejemplo, puede recibir un correo electrónico cuando el proveedor del servicioacepte el punto de conexión de interfaz. Para crear una notificación, debe asociarle un tema de AmazonSNS a la notificación. Suscribiéndose al tema de SNS recibirá una notificación por correo electrónicocuando se produzca el evento en el punto de conexión.

El tema de Amazon SNS utilizado para las notificaciones debe contar con una política de tema que permitaal servicio de punto de conexión de VPC de Amazon publicar notificaciones en su nombre. Asegúrese deincluir la instrucción siguiente al comienzo de la política de tema. Para obtener más información, consultela sección sobre administración del acceso a los temas de Amazon SNS en la Guía para desarrolladoresde Amazon Simple Notification Service.

{ "Version": "2012-10-17", "Statement": [

298

https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2VpcEndpoint.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ApiReference-query-CreateVpcEndpoint.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpc-endpoints.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2VpcEndpoint.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ApiReference-query-DescribeVpcEndpoints.html

https://docs.aws.amazon.com/sns/latest/dg/


https://docs.aws.amazon.com/sns/latest/dg/AccessPolicyLanguage.html


{ "Effect": "Allow", "Principal": { "Service": "vpce.amazonaws.com" }, "Action": "SNS:Publish", "Resource": "arn:aws:sns:region:account:topic-name" } ]}

Para crear una notificación para un punto de conexión de interfaz

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Endpoints y seleccione el punto de conexión de interfaz.3. Elija Actions, Create notification.4. Elija el ARN del tema de SNS al que desea asociar la notificación.5. En Events, seleccione los eventos de punto de conexión para los que se deben recibir notificaciones.6. Elija Create Notification.

Después de crear una notificación, puede cambiar el tema de SNS asociado a la notificación. Tambiénpuede especificar diferentes eventos de punto de enlace para la notificación.

Para modificar una notificación para un servicio de punto de conexión

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Endpoints y seleccione el punto de conexión de interfaz.3. Elija Actions, Modify Notification.4. Especifique el ARN del tema de SNS y cambie los eventos de punto de conexión como sea necesario.5. Elija Modify Notification.

Si ya no necesita una notificación, puede eliminarla.

Para eliminar una notificación

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Endpoints y seleccione el punto de conexión de interfaz.3. Elija Actions, Delete notification.4. Elija Yes, Delete (Sí, eliminar).

Para crear y administrar una notificación con la AWS CLI

1. Para crear una notificación para un punto de enlace de interfaz, utilice el comando create-vpc-endpoint-connection-notification. Especifique el ARN del tema SNS, los eventos para los que se va anotificar y el ID del punto de enlace, como se muestra en el ejemplo siguiente.

aws ec2 create-vpc-endpoint-connection-notification --connection-notification-arn arn:aws:sns:us-east-2:123456789012:EndpointNotification --connection-events Accept Reject --vpc-endpoint-id vpce-123abc3420c1931d7

2. Para ver las notificaciones, utilice el comando describe-vpc-endpoint-connection-notifications.

aws ec2 describe-vpc-endpoint-connection-notifications

299




https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpc-endpoint-connection-notification.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpc-endpoint-connection-notifications.html


3. Para cambiar el tema de SNS o los eventos de punto de enlace objeto de notificación, utilice elcomando modify-vpc-endpoint-connection-notification.

aws ec2 modify-vpc-endpoint-connection-notification --connection-notification-id vpce-nfn-008776de7e03f5abc --connection-events Accept --connection-notification-arn arn:aws:sns:us-east-2:123456789012:mytopic

4. Para eliminar una notificación, utilice el comando delete-vpc-endpoint-connection-notifications.

aws ec2 delete-vpc-endpoint-connection-notifications --connection-notification-ids vpce-nfn-008776de7e03f5abc

Acceso a un servicio a través de un punto de conexión de interfazUna vez creado un punto de conexión de interfaz, puede enviar solicitudes al servicio correspondiente através de una URL de punto de conexión. Puede utilizar las siguientes:

• El nombre de host DNS regional específico del punto de enlace que generamos para el puntode enlace de interfaz. El nombre de host incluye en su nombre un identificador único de puntode enlace, un identificador de servicio, la región y vpce.amazonaws.com. Por ejemplo,vpce-0fe5b17a0707d6abc-29p5708s.ec2.us-east-1.vpce.amazonaws.com.

• El nombre de host DNS de zona específico del punto de enlace para cada zona de disponibilidad en laque el punto de enlace está disponible. El nombre de host incluye la zona de disponibilidad. Por ejemplo,vpce-0fe5b17a0707d6abc-29p5708s-us-east-1a.ec2.us-east-1.vpce.amazonaws.com.Podría utilizar esta opción si su arquitectura aísla zonas de disponibilidad (por ejemplo, para contenciónde errores o para reducir los costos de transferencia de datos regionales).

Una solicitud al nombre de host de DNS de zona está destinada a la ubicación de zona de disponibilidadcorrespondiente en la cuenta del proveedor de servicios, que podría no tener el mismo nombre de zonade disponibilidad que su cuenta. Para obtener más información, consulte Conceptos de región y zona dedisponibilidad.

• Si ha habilitado un DNS privado para el punto de enlace (una zona alojada privada; aplicable solo aservicios de AWS y de socios de AWS Marketplace), el nombre de host DNS predeterminado para elservicio de AWS en la región. Por ejemplo, ec2.us-east-1.amazonaws.com.

• La dirección IP privada de la interfaz de red del punto de enlace de la VPC.

Por ejemplo, en una subred en la que exista un punto de enlace de interfaz a Elastic Load Balancing ypara la que no se haya habilitado la opción de DNS privado, utilice el siguiente comando de la AWS CLIdesde una instancia para describir los balanceadores de carga. El comando utiliza el nombre de host DNSregional específico del punto de enlace para enviar la solicitud a través del punto de enlace de interfaz.

aws elbv2 describe-load-balancers --endpoint-url https://vpce-0f89a33420c193abc-bluzidnv.elasticloadbalancing.us-east-1.vpce.amazonaws.com/

Si ha habilitado la opción de DNS privado, no es necesario que especifique la URL del punto de enlaceen la solicitud. La AWS CLI usa el punto de enlace predeterminado para el servicio AWS en la región(elasticloadbalancing.us-east-1.amazonaws.com).

Modificación de un punto de enlace de interfazPuede modificar un punto de enlace de interfaz cambiando la subred en la que se encuentra, cambiandolos grupos de seguridad asociados a su interfaz de red y modificando las etiquetas.. Si quita una subreddel punto de enlace de interfaz, la interfaz de red correspondiente de la subred se eliminará.

300

https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint-connection-notification.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpc-endpoint-connection-notifications.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-regions-availability-zones.html#concepts-regions-availability-zones



Para cambiar las subredes de un punto de conexión de interfaz

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Endpoints y seleccione el punto de conexión de interfaz.3. Elija Actions, Manage Subnets.4. Seleccione o quite la selección de las subredes como sea necesario y elija Modify Subnets.

Para agregar o quitar los grupos de seguridad asociados a un punto de conexión de interfaz

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Endpoints y seleccione el punto de conexión de interfaz.3. Elija Actions, Manage security groups.4. Seleccione o quite la selección de los grupos de seguridad según sea necesario y elija Save

(Guardar).

Para añadir o eliminar una etiqueta del punto de enlace de interfaz

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Endpoints (Puntos de enlace).3. Seleccione el punto de enlace de interfaz y elija Actions (Acciones), Add/Edit Tags (Añadir o editar

etiquetas).4. Puede añadir o eliminar una etiqueta.

[Añadir una etiqueta] Elija Create tag (Crear etiqueta) y haga lo siguiente:• En Key (Clave), escriba el nombre de la clave.• En Value (Valor), escriba el valor de la clave.

[Eliminar una etiqueta] Elija el botón de eliminación (“x”) situado a la derecha de la clave y valor de laetiqueta.

Para modificar un Punto de conexión VPC con la AWS CLI

1. Utilice el comando describe-vpc-endpoints para obtener el ID del punto de conexión de interfaz.

aws ec2 describe-vpc-endpoints

2. En el ejemplo siguiente se usa el comando modify-vpc-endpoint para agregar la subred subnet-aabb1122 al punto de enlace de interfaz.

aws ec2 modify-vpc-endpoint --vpc-endpoint-id vpce-0fe5b17a0707d6abc --add-subnet-id subnet-aabb1122

Para modificar un Punto de conexión VPC con las Herramientas de AWS para WindowsPowerShell o una API

• Edit-EC2VpcEndpoint (Herramientas de AWS para Windows PowerShell)• ModifyVpcEndpoint (API de consulta de Amazon EC2)

301





https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2VpcEndpoint.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ApiReference-query-ModifyVpcEndpoint.html

Amazon Virtual Private Cloud Guía del usuarioPuntos de enlace de gateway

Para añadir o eliminar una etiqueta de Punto de conexión VPC mediante Herramientas de AWSpara Windows PowerShell o una API

• tag-resource (AWS CLI)• TagResource (Herramientas de AWS para Windows PowerShell)• untag-resource (AWS CLI)• TagResource (Herramientas de AWS para Windows PowerShell)

Puntos de conexión de la VPC de gatewayPara crear y configurar un punto de enlace de gateway siga estos pasos generales:

1. Especifique la VPC en la que desea crear el punto de enlace, así como el servicio al que se va aconectar. Los servicios se identifican con una lista de prefijos: el nombre y el ID de un servicio parauna región. Los ID de lista de prefijos utilizan el formato pl-xxxxxxx; los nombres de lista de prefijos,el formato "com.amazonaws.región.servicio". Utilice el nombre de la lista de prefijos (nombre deservicio) para crear un punto de enlace.

2. Adjunte una política de punto de conexión a su punto de conexión que permita obtener acceso a todoso a algunos de los servicios a los que se va a conectar. Para obtener más información, consulte Uso depolíticas de Punto de enlace VPC (p. 317).

3. Especifique una o varias tablas de ruteo en las que crear rutas para el servicio. Las tablas de ruteocontrolan el direccionamiento del tráfico entre su VPC y el otro servicio. Las subredes asociadas a unade estas tablas de ruteo tienen acceso al punto de enlace y el tráfico desde las instancias de estassubredes al servicio se direcciona a través del punto de enlace.

En el siguiente diagrama, las instancias de la subred 2 tienen acceso a Amazon S3 a través del punto deenlace de gateway.

302

https://docs.aws.amazon.com/cli/latest/reference/directconnect/tag-resource.html

https://docs.aws.amazon.com/directconnect/latest/APIReference/API_TagResource.html

https://docs.aws.amazon.com/cli/latest/reference/directconnect/untag-resource.html

https://docs.aws.amazon.com/directconnect/latest/APIReference/API_UntagResource.html


Puede crear varios puntos de conexión en una sola VPC, por ejemplo, a varios servicios. También puedecrear varios puntos de conexión para un único servicio, y puede utilizar distintas tablas de ruteo paraaplicar diferentes políticas de acceso desde distintas subredes al mismo servicio.

Una vez que ha creado un punto de conexión, puede modificar la política de punto de conexión adjunta asu punto de conexión, así como añadir o quitar las tablas de ruteo utilizadas por el punto de conexión.

El uso de puntos de enlace de gateway no supone ningún cargo adicional. Se aplicará la tarifa estándarpor la transferencia de datos y el uso de recursos. Para obtener más información acerca de los precios,consulte Precios de Amazon EC2.

Contenido• Direccionamiento para puntos de enlace de gateway (p. 303)• Limitaciones de los puntos de enlace de gateway (p. 305)• Puntos de enlace para Amazon S3 (p. 306)• PUntos de conexión para Amazon DynamoDB (p. 311)• Creación de un punto de enlace de gateway (p. 313)• Modificación de su grupo de seguridad (p. 315)• Modificación de un punto de enlace de gateway (p. 315)• Añadir o eliminar etiquetas del punto de enlace de gateway (p. 316)

Direccionamiento para puntos de enlace de gatewayCuando se crea o modifica un punto de conexión, debe especificar las tablas de ruteo de la VPC utilizadaspara obtener acceso al servicio a través del punto de conexión. Se añadirá automáticamente una ruta acada una de las tablas de ruteo con el ID de la lista de prefijos del servicio (pl-xxxxxxxx) como destino yel ID del punto de conexión (vpce-xxxxxxxx) como objetivo. Por ejemplo:

Destino Objetivo

10.0.0.0/16 Local

pl-1a2b3c4d vpce-11bb22cc

El ID de la lista de prefijos representa, de forma lógica, el rango de direcciones IP públicas utilizadaspor el servicio. Todas las instancias de subredes asociadas a las tablas de ruteo especificadas utilizanautomáticamente ese punto de enlace para acceder al servicio. Las subredes que no están asociadas a lastablas de ruta especificadas no utilizan el punto de enlace. Esto le permite mantener los recursos de otrassubredes separados de su punto de conexión.

Para ver el rango actual de direcciones IP públicas de un servicio, puede utilizar el comando describe-prefix-lists.

Note

El rango de direcciones IP públicas de un servicio puede cambiar de vez en cuando. Tengaen cuenta las implicaciones antes de tomar decisiones de direccionamiento u otras decisionesbasadas en el rango actual de direcciones IP de un servicio.

Se aplican las siguientes reglas:

• Puede tener varias rutas de punto de enlace a diferentes servicios en una tabla de ruteo, y puede tenervarias rutas de punto de enlace al mismo servicio en diferentes tablas de ruteo. Pero no puede tenervarias rutas de punto de enlace al mismo servicio en una sola tabla de ruteo. Por ejemplo, si crea dos

303

http://aws.amazon.com/ec2/pricing/

https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-prefix-lists.html



puntos de enlace a Amazon S3 en su VPC, no puede crear rutas de punto de enlace para ambos puntosde enlace en la misma tabla de ruteo.

• No puede añadir, modificar ni eliminar de forma explícita una ruta de punto de conexión en su tablade ruteo utilizando las API de tabla de ruteo, ni utilizando la página de tablas de ruteo de la consolade Amazon VPC. Solo puede añadir una ruta de punto de conexión asociando una tabla de ruteo a unpunto de conexión. Para cambiar las tablas de ruteo asociadas a su punto de conexión, puede modificarel punto de conexión (p. 315).

• Las rutas de punto de conexión se eliminan automáticamente al quitar la asociación en la tabla de ruteodel punto de conexión (al modificar el punto de conexión), o al eliminar el punto de conexión.

Para determinar cómo dirigir tráfico, se usa la ruta más específica que coincida con el tráfico en cuestión(coincidencia del prefijo más largo). Si tiene una ruta existente en la tabla de ruteo para todo el tráfico deInternet (0.0.0.0/0) que apunte a una gateway de Internet, la ruta del punto de enlace prevalece paratodo el tráfico destinado al servicio, ya que el rango de direcciones IP del servicio es más específico que0.0.0.0/0. El resto del tráfico de Internet se dirige a la gateway de Internet, incluido el tráfico destinadoal servicio en otras regiones.

Sin embargo, si tiene rutas más específicas existentes a rangos de direcciones IP que apunten a unagateway de Internet o a un dispositivo NAT, estas rutas prevalecen. Si tiene rutas existentes destinadas aun rango de direcciones IP que es idéntico al rango de direcciones IP utilizado por el servicio, entonces susrutas tienen preferencia.

Ejemplo: ruta de punto de conexión en una tabla de ruteo

En este escenario, tiene una ruta existente en la tabla de ruteo para todo el tráfico de Internet(0.0.0.0/0) que apunta a una gateway de Internet. Todo el tráfico de la subred que esté destinado a otroservicio de AWS utilizará el gateway de Internet.

Destino Objetivo

10.0.0.0/16 Local

0.0.0.0/0 igw-1a2b3c4d

Crea un punto de conexión a un servicio compatible de AWS, y asocia su tabla de ruteo al punto deconexión. Automáticamente, se añade una ruta de punto de enlace a la tabla de ruteo, con destino apl-1a2b3c4d (suponga que esto representa el servicio para el cual ha creado el punto de enlace). Ahora,todo el tráfico de la subred que esté destinado a ese servicio de AWS en la misma región se dirigirá alpunto de enlace y no a la gateway de Internet. El resto del tráfico de Internet se dirige a la gateway deInternet, incluido el tráfico destinado a otros servicios, y el destinado al servicio de AWS en otras regiones.

Destino Objetivo

10.0.0.0/16 Local

0.0.0.0/0 igw-1a2b3c4d


Ejemplo: Ajuste de las tablas de ruteo para puntos de conexión

En esta situación, 54.123.165.0/24 se encuentra en el rango de direcciones IP de Amazon S3 yconfiguró su tabla de ruteo para permitir que las instancias de su subred se comuniquen con bucketsde Amazon S3 a través una gateway de Internet. Ha agregado una ruta con 54.123.165.0/24 como

304


destino y la gateway de Internet como destino. A continuación, crea un punto de conexión y le asociaesta tabla de ruteo. Se añadirá una ruta del punto de conexión automáticamente a la tabla de ruteo. Acontinuación, utilice el comando describe-prefix-lists para ver el rango de direcciones IP de Amazon S3.El rango es 54.123.160.0/19, que es menos específico que el rango que está apuntando a su gatewayde Internet. Esto significa que el tráfico destinado al rango 54.123.165.0/24 de direcciones IP seguiráutilizando la gateway de Internet, y no utilizará el punto de enlace (siempre que siga siendo el rango dedirecciones IP públicas para Amazon S3).

Destino Objetivo

10.0.0.0/16 Local

54.123.165.0/24 igw-1a2b3c4d


Para asegurarse de que todo el tráfico destinado a Amazon S3 en la misma región se direcciona a travésdel punto de enlace, debe ajustar las rutas en la tabla de ruteo. Para ello, puede eliminar la ruta a lagateway de Internet. Ahora, todo el tráfico destinad a Amazon S3 en la misma región utilizará el punto deenlace, y la subred asociada a la tabla de ruteo será una subred privada.

Destino Objetivo

10.0.0.0/16 Local


Limitaciones de los puntos de enlace de gatewayPara utilizar los puntos de enlace de gateway, debe conocer sus limitaciones actuales:

• No es posible utilizar un ID de lista de prefijos en una regla saliente en una ACL de red para permitir nidenegar el tráfico saliente al servicio especificado en un punto de conexión. Si sus reglas de ACL dered restringen el tráfico, debe especificar el bloque de CIDR (rango de direcciones IP) para el servicioen su lugar. No obstante, sí puede utilizar un ID de lista de prefijos en una regla de grupos de seguridadsaliente. Para obtener más información, consulte Grupos de seguridad (p. 318).

• Los puntos de enlace solo se admiten en la misma región. No se puede crear un punto de enlace entreuna VPC y un servicio de otra región.

• Los puntos de enlace solo son compatibles con el tráfico IPv4.• No se puede transferir un punto de enlace de una VPC a otra, ni de un servicio a otro.• El número de puntos de enlace que puede crear por VPC es limitado. Para obtener más información,

consulte Puntos de conexión de la VPC (p. 346).• Las conexiones de punto de conexión no se pueden ampliar más allá de la VPC. Los recursos del

otro lado de una conexión de VPN, una interconexión de VPC, transit gateway, una conexión de AWSDirect Connect o una conexión de ClassicLink en su VPC no pueden utilizar el punto de enlace paracomunicarse con los recursos del servicio del punto de enlace.

• Debe habilitar la resolución de DNS en su VPC, o si está utilizando su propio servidor DNS, asegúresede que las solicitudes de DNS al servicio requerido (como Amazon S3) se resuelven correctamente enlas direcciones IP mantenidas por AWS. Para obtener más información, consulte Utilización de DNS consu VPC (p. 276) y Rangos de direcciones IP de AWS AWS en la Referencia general de Amazon WebServices.

• Revise los límites específicos del servicio para el servicio de punto de enlace.

305


https://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html


Para obtener más información sobre las reglas y limitaciones específicas de Amazon S3, consulte Puntosde enlace para Amazon S3 (p. 306).

Para obtener más información sobre las reglas y limitaciones específicas de DynamoDB, consulte PUntosde conexión para Amazon DynamoDB (p. 311).

Puntos de enlace para Amazon S3Si ya ha configurado el acceso a sus recursos de Amazon S3 desde su VPC, puede seguir utilizando losnombres DNS de Amazon S3 para obtener acceso a dichos recursos después de haber configurado unpunto de enlace. Sin embargo, tenga en cuenta lo siguiente:

• Su punto de conexión tiene una política que controla la utilización del punto de conexión para teneracceso a los recursos de Amazon S3. La política predeterminada permite obtener acceso a cualquierusuario o servicio de la VPC utilizando las credenciales de cualquier cuenta de AWS a cualquier recursode Amazon S3, incluidos los recursos de Amazon S3 para una cuenta de AWS distinta de la cuenta ala que está asociada la VPC. Para obtener más información, consulte Control del acceso a los servicioscon Puntos de conexión de la VPC (p. 317).

• Las direcciones IPv4 de origen de las instancias de las subredes afectadas según lo recibido porAmazon S3 cambiarán de direcciones IPv4 públicas a direcciones IPv4 privadas de la VPC. Un punto deconexión cambia las rutas de red y desconecta las conexiones TCP abiertas. Las tareas se interrumpendurante el cambio y las conexiones anteriores que utilizaban las direcciones IPv4 públicas no sereanudan. Recomendamos no tener ninguna tarea importante en ejecución al crear o modificar un puntode conexión, o bien asegurarse de que su software se puede conectar automáticamente a Amazon S3después de la interrupción de la conexión.

• No es posible utilizar una política de IAM o una política de bucket para permitir el acceso desde un rangode CIDR IPv4 de VPC (el rango de direcciones IPv4 privadas). Los bloques de CIDR de VPC puedenestar solapados o ser idénticos, lo que puede producir resultados inesperados. Por lo tanto, no puedeutilizar la condición aws:SourceIp en sus políticas de IAM para solicitudes a Amazon S3 a través deun punto de enlace de la VPC. Esto se aplica a las políticas de IAM para usuarios y funciones, así comoa todas las políticas de bucket. Si una instrucción incluye la condición aws:SourceIp, el valor fallarápara coincidir con el rango o la dirección IP proporcionados. En su lugar, puede hacer lo siguiente:• Utilice sus tablas de ruteo para controlar qué instancias pueden obtener acceso a los recursos en

Amazon S3 a través del punto de conexión.• Para las políticas de bucket, puede restringir el acceso a un punto de conexión específico o a una VPC

específica. Para obtener más información, consulte Utilización de políticas de buckets de AmazonS3 (p. 309).

• Actualmente, los puntos de conexión no admiten las solicitudes entre regiones. Asegúrese de crearsu punto de conexión en la misma región que su bucket. Puede encontrar la ubicación de su bucketutilizando la consola de Amazon S3, o bien utilizando el comando get-bucket-location. Utilice unpunto de enlace de Amazon S3 específico de la región para obtener acceso a su bucket. Por ejemplo:mybucket.s3-us-west-2.amazonaws.com. Para obtener más información acerca de los puntosde enlace de Amazon S3 específicos de regiones, consulte Amazon Simple Storage Service (S3) enReferencia general de Amazon Web Services. Si utiliza la AWS CLI para hacer solicitudes a Amazon S3,establezca la región predeterminada en la misma región que el bucket o utilice el parámetro --regionen las solicitudes.

Note

Trate la región EE. UU. Estándar de Amazon S3 como asignada a la región us-east-1.• Actualmente, los puntos de conexión solo son compatibles con el tráfico IPv4.

Antes de utilizar puntos de enlace con Amazon S3, asegúrese también de haber leído las siguienteslimitaciones generales: Limitaciones de los puntos de enlace de gateway (p. 305). Para obtenerinformación sobre la creación y visualización de los buckets de S3, consulte Cómo crear un bucket de S3

306

https://docs.aws.amazon.com/cli/latest/reference/s3api/get-bucket-location.html

https://docs.aws.amazon.com/general/latest/gr/rande.html#s3_region

https://docs.aws.amazon.com/AmazonS3/latest/user-guide/create-bucket.html


y Cómo ver las propiedades de un bucket de S3 en la Guía del usuario de la consola de Amazon SimpleStorage Service,

Si utiliza otros servicios de AWS en su VPC, puede que estos utilicen los buckets de S3 para determinadastareas. Asegúrese de que su política de puntos de conexión permite el acceso completo a Amazon S3(la política predeterminada) o de que permite el acceso a los buckets específicos utilizados por estosservicios. De forma alternativa, puede crear únicamente un punto de conexión en una subred que no estéutilizada por ninguno de estos servicios, para permitir que los servicios sigan obteniendo acceso a losbuckets de S3 utilizando direcciones IP públicas.

La siguiente tabla enumera los servicios de AWS que pueden verse afectados por un punto de conexión,así como información específica de cada servicio.

Servicio de AWS Nota

Amazon AppStream 2.0 Su política de puntos de conexión debe permitirel acceso a los buckets específicos utilizados porAppStream 2.0 para almacenar el contenido de losusuarios. Para obtener más información, consulteCarpetas de inicio y puntos de conexión de laVPC, en la Guía de administración de AmazonAppStream 2.0.

AWS CloudFormation Si tiene recursos en su VPC que deben respondera una condición de espera o una solicitud derecurso personalizado, su política de puntos deconexión debe permitir al menos el acceso a losbuckets específicos utilizados por estos recursos.Para obtener más información, consulte AWSCloudFormation y puntos de conexión de la VPC.

CodeDeploy Su política de puntos de enlace debe permitir elacceso completo a Amazon S3, o bien permitir elacceso a los buckets de S3 que ha creado parasus implementaciones de CodeDeploy.

Elastic Beanstalk Su política de puntos de conexión debe permitiral menos el acceso a los buckets de S3 utilizadospara las aplicaciones de Elastic Beanstalk. Paraobtener más información, consulte Uso de ElasticBeanstalk con Amazon S3 en la Guía paradesarrolladores de AWS Elastic Beanstalk.

AWS OpsWorks Su política de puntos de conexión debe permitiral menos el acceso a los buckets específicosutilizados por AWS OpsWorks. Para obtener másinformación, consulte Ejecución de stack en unaVPC, en la AWS OpsWorks User Guide.

AWS Administrador de sistemas Su política de punto de enlace debe permitir elacceso a los buckets de Amazon S3 utilizados porPatch Manager para las operaciones de base dereferencia de parches de la región de AWS. Estosbuckets contienen el código que el servicio debases de referencia de parches recupera y ejecutaen las instancias. Para obtener más información,consulte Configuración de puntos de enlace de la

307

https://docs.aws.amazon.com/AmazonS3/latest/user-guide/view-bucket-properties.html

https://docs.aws.amazon.com/appstream2/latest/developerguide/managing-network.html#managing-network-vpce-iam-policy

https://docs.aws.amazon.com/appstream2/latest/developerguide/managing-network.html#managing-network-vpce-iam-policy



https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/AWSHowTo.S3.html

https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/AWSHowTo.S3.html

https://docs.aws.amazon.com/opsworks/latest/userguide/workingstacks-vpc.html

https://docs.aws.amazon.com/opsworks/latest/userguide/workingstacks-vpc.html



Servicio de AWS NotaVPC para Administrador de sistemas en la Guíadel usuario de AWS Administrador de sistemas.

Para ver una lista de los permisos de buckets deS3 necesarios para las operaciones del Agente deSSM, consulte Permisos mínimos del bucket deS3 para Agente de SSM en la Guía del usuario deAWS Administrador de sistemas.

Amazon EC2 Container Registry Su política de puntos de enlace debe permitir elacceso a los buckets de Amazon S3 utilizadospor Amazon ECR para almacenar las capasde imágenes de Docker. Para obtener másinformación, consulte Puntos de enlace de laVPC de interfaz (AWS PrivateLink) en la Guía delusuario de Amazon EC2 Container Registry.

Amazon WorkDocs Si utiliza un cliente de Amazon WorkDocs enAmazon WorkSpaces o una instancia EC2, supolítica de puntos de enlace debe permitir elacceso completo a Amazon S3.

Amazon WorkSpaces Amazon WorkSpaces no depende directamente deAmazon S3. Sin embargo, si proporciona accesoa Internet a los usuarios de Amazon WorkSpaces,tenga en cuenta que los sitios web, los correos enHTML y los servicios de otras compañías puedendepender de Amazon S3. Asegúrese de que supolítica de puntos de conexión permite el accesocompleto a Amazon S3 para que estos serviciospuedan seguir funcionando correctamente.

El tráfico entre su VPC y los buckets de S3 no sale de la red de Amazon.

Utilización de políticas de punto de conexión para Amazon S3

A continuación se muestran ejemplos de políticas de punto de conexión para obtener acceso a AmazonS3. Para obtener más información, consulte Uso de políticas de Punto de enlace VPC (p. 317). El usuariodebe determinar las restricciones de política que satisfacen las necesidades empresariales. Por ejemplo,puede especificar la región ("packages.us-west-1.amazonaws.com") para evitar un nombre de bucket deS3 ambiguo.

Important

Todos los tipos de políticas (políticas de usuario de IAM, políticas de punto de enlace, políticasde bucket de S3 y políticas de ACL de Amazon S3, en caso de haberlas) deben conceder lospermisos necesarios para que el acceso a Amazon S3 se realice correctamente.

Example Ejemplo: restricción del acceso a un bucket específico

Puede crear una política que restrinja el acceso únicamente a unos buckets específicos de S3. Esto es útilsi tiene otros servicios de AWS en su VPC que utilizan los buckets de S3. El siguiente es el ejemplo de unapolítica que restringe el acceso solo a my_secure_bucket.

{ "Statement": [

308


https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-agent-minimum-s3-permissions.html

https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-agent-minimum-s3-permissions.html

https://docs.aws.amazon.com/AmazonECR/latest/userguide/vpc-endpoints.htm

https://docs.aws.amazon.com/AmazonECR/latest/userguide/vpc-endpoints.htm


{ "Sid": "Access-to-specific-bucket-only", "Principal": "*", "Action": [ "s3:GetObject", "s3:PutObject" ], "Effect": "Allow", "Resource": ["arn:aws:s3:::my_secure_bucket", "arn:aws:s3:::my_secure_bucket/*"] } ]}

Example Ejemplo: habilitación de acceso a repositorios de la AMI de Amazon Linux

Los repositorios de AMI de Amazon Linux son buckets de Amazon S3 en cada región. Si desea que lasinstancias de su VPC obtengan acceso a los repositorios a través de un punto de enlace, puede crear unapolítica de puntos de enlace que permita el acceso a estos buckets.

La siguiente política permite obtener acceso a los repositorios de Amazon Linux.

{ "Statement": [ { "Sid": "AmazonLinuxAMIRepositoryAccess", "Principal": "*", "Action": [ "s3:GetObject" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::packages.*.amazonaws.com/*", "arn:aws:s3:::repo.*.amazonaws.com/*" ] } ]}

La siguiente política permite obtener acceso a los repositorios de Amazon Linux 2.

{ "Statement": [ { "Sid": "AmazonLinux2AMIRepositoryAccess", "Principal": "*", "Action": [ "s3:GetObject" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::amazonlinux.*.amazonaws.com/*" ] } ]}

Utilización de políticas de buckets de Amazon S3

Puede utilizar las políticas de bucket para controlar el acceso a los buckets desde puntos de conexiónespecíficos o VPC específicas.

309


No es posible utilizar la condición aws:SourceIp en sus políticas de bucket para solicitudes a AmazonS3 a través de un punto de enlace de la VPC. La condición falla al hacer coincidir cualquier rango dedirecciones IP o cualquier dirección IP especificados, y esto puede tener un efecto no deseado al hacersolicitudes a un bucket de Amazon S3. Por ejemplo:

• Tiene una política de bucket con un efecto Deny y una condición NotIpAddress para conceder accesodesde un rango único o limitado solo de direcciones IP. Para las solicitudes al bucket a través de unpunto de conexión, la condición NotIpAddress siempre coincide, y se aplica el efecto de la instrucción,a la vez que se asumen otras restricciones de coincidencia de la política. El acceso al bucket se deniega.

• Tiene una política de bucket con un efecto Deny y una condición IpAddress para denegar acceso aun rango único o limitado solo de direcciones IP. Para las solicitudes al bucket a través de un puntode conexión, la condición no coincide, y la instrucción no se aplica. El acceso al bucket se permite,asumiendo que hay otras instrucciones que permiten el acceso sin una condición IpAddress.

En su lugar, ajuste su política de bucket para limitar el acceso a una VPC específica o a un punto deconexión específico.

Para obtener más información acerca de las políticas de bucket para Amazon S3, consulte el documentoUso de políticas de bucket y usuario en la Guía para desarrolladores de Amazon Simple Storage Service.

Example Ejemplo: restricción del acceso a un punto de conexión específico

El siguiente es un ejemplo de una política de bucket de S3 que permite el acceso a un bucket específico,my_secure_bucket, solo desde el punto de conexión vpce-1a2b3c4d. La política deniegatodo el acceso al bucket si el punto de conexión especificado no se está utilizando. La condiciónaws:sourceVpce se utiliza para especificar el punto de conexión. La condición aws:sourceVpce norequiere un nombre de recurso de Amazon (ARN, Amazon resource name) para el recurso de punto deconexión de la VPC, solo el ID de punto de conexión.

{ "Version": "2012-10-17", "Id": "Policy1415115909152", "Statement": [ { "Sid": "Access-to-specific-VPCE-only", "Principal": "*", "Action": "s3:*", "Effect": "Deny", "Resource": ["arn:aws:s3:::my_secure_bucket", "arn:aws:s3:::my_secure_bucket/*"], "Condition": { "StringNotEquals": { "aws:sourceVpce": "vpce-1a2b3c4d" } } } ]}

Example Ejemplo: restricción del acceso a una VPC específica

Puede crear una política de bucket para restringir el acceso a una VPC específica con la condiciónaws:sourceVpc. Esto es útil si tiene múltiples puntos de conexión configurados en la misma VPC y deseaadministrar el acceso a sus buckets de S3 para todos sus puntos de conexión. El siguiente es el ejemplode una política que le brinda a la VPC vpc-111bbb22 acceso a my_secure_bucket y sus objetos.La política deniega todo el acceso al bucket si la VPC especificada no se está utilizando. La condiciónaws:sourceVpc no requiere un ARN para el recurso de VPC, solo el ID de VPC.

{

310

https://docs.aws.amazon.com/AmazonS3/latest/dev/using-iam-policies.html


"Version": "2012-10-17", "Id": "Policy1415115909152", "Statement": [ { "Sid": "Access-to-specific-VPC-only", "Principal": "*", "Action": "s3:*", "Effect": "Deny", "Resource": ["arn:aws:s3:::my_secure_bucket", "arn:aws:s3:::my_secure_bucket/*"], "Condition": { "StringNotEquals": { "aws:sourceVpc": "vpc-111bbb22" } } } ]}

PUntos de conexión para Amazon DynamoDBSi ya ha configurado el acceso a las tablas de DynamoDB desde su VPC, podrá seguir teniendo acceso alas tablas como lo haría tras configurar un punto de enlace de gateway. Sin embargo, tenga en cuenta losiguiente:

• Su punto de conexión tiene una política que controla la utilización del punto de conexión para teneracceso a los recursos de DynamoDB. La política predeterminada permite a cualquier usuario o serviciode la VPC el acceso a cualquier recurso de DynamoDB con las credenciales de cualquier cuenta deAWS. Para obtener más información, consulte Control del acceso a los servicios con Puntos de conexiónde la VPC (p. 317).

• DynamoDB no admite políticas basadas en recursos (por ejemplo, en tablas). El acceso a DynamoDBse controla a través de la política del punto de enlace y las políticas de IAM para los roles y usuariosindividuales de IAM.

• No podrá obtener acceso a Amazon DynamoDB Streams a través de un punto de conexión de la VPC.• Actualmente, los puntos de enlace no admiten las solicitudes entre regiones. Asegúrese de crear su

punto de enlace en la misma región que sus tablas de DynamoDB.• Si utiliza AWS CloudTrail para registrar operaciones de DynamoDB, los archivos de registro contendrán

la dirección IP privada de la instancia EC2 en la VPC y el ID del punto de enlace para las accionesrealizadas a través del punto de enlace.

• Las direcciones IPv4 de origen de las instancias de las subredes afectadas cambiarán de direccionesIPv4 públicas a direcciones IPv4 privadas de la VPC. Un punto de conexión cambia las rutas de red ydesconecta las conexiones TCP abiertas. Las tareas se interrumpen durante el cambio y las conexionesanteriores que utilizaban las direcciones IPv4 públicas no se reanudan. Recomendamos no tenerninguna tarea importante en ejecución al crear o modificar un punto de conexión, o bien asegurarsede que su software se puede conectar automáticamente a DynamoDB después de la interrupción de laconexión.

Antes de utilizar puntos de enlace con DynamoDB, asegúrese también de haber leído las siguienteslimitaciones generales: Limitaciones de los puntos de enlace de gateway (p. 305).

Para obtener más información sobre cómo crear un punto de enlace de la VPC de la gateway, consultePuntos de conexión de la VPC de gateway (p. 302).

Utilización de políticas de punto de conexión para DynamoDBUna política de punto de enlace es una política de IAM que asocia a un punto de enlace que permitaobtener acceso a todos o a algunos de los servicios a los que se va a conectar. A continuación semuestran ejemplos de políticas de punto de conexión para obtener acceso a DynamoDB.

311


Important

Todos los tipos de políticas (políticas de usuario de IAM y políticas de punto de enlace) debenconceder los permisos necesarios para que el acceso a DynamoDB se realice correctamente.

Example Ejemplo: acceso de solo lectura

Puede crear una política que restrinja las acciones a solo mostrar y describir tablas de DynamoDBmediante el punto de conexión de la VPC.

{ "Statement": [ { "Sid": "ReadOnly", "Principal": "*", "Action": [ "dynamodb:DescribeTable", "dynamodb:ListTables" ], "Effect": "Allow", "Resource": "*" } ]}

Example Ejemplo: restricción del acceso a una tabla específica

Puede crear una política que restrinja el acceso a una tabla específica de DynamoDB. En este ejemplo, lapolítica de punto de conexión permite obtener acceso solo a StockTable.

{ "Statement": [ { "Sid": "AccessToSpecificTable", "Principal": "*", "Action": [ "dynamodb:Batch*", "dynamodb:Delete*", "dynamodb:DescribeTable", "dynamodb:GetItem", "dynamodb:PutItem", "dynamodb:Update*" ], "Effect": "Allow", "Resource": "arn:aws:dynamodb:us-east-1:123456789012:table/StockTable" } ]}

Uso de políticas de IAM para controlar el acceso a los recursos de DynamoDB

Puede utilizar una política de IAM para sus usuarios, grupos o funciones de IAM y restringir el acceso a lastablas de DynamoDB solo desde un determinado punto de enlace de la VPC. Para ello, puede utilizar laclave de condición aws:sourceVpce para el recurso de tabla de su política de IAM.

Para obtener más información acerca de la administración del acceso a DynamoDB, consulteAutenticación y control de acceso de Amazon DynamoDB, en la Guía para desarrolladores de AmazonDynamoDB.

312

https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/authentication-and-access-control.html


Example Ejemplo: restricción del acceso de un punto de conexión específico

En este ejemplo, a los usuarios se les deniega el permiso para trabajar con tablas de DynamoDB, exceptosi se obtiene acceso a estas desde el punto de enlace vpce-11aa22bb.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AccessFromSpecificEndpoint", "Action": "dynamodb:*", "Effect": "Deny", "Resource": "arn:aws:dynamodb:region:account-id:table/*", "Condition": { "StringNotEquals" : { "aws:sourceVpce": "vpce-11aa22bb" } } } ]}

Creación de un punto de enlace de gatewayPara crear un punto de conexión, debe especificar la VPC en la que desee crear el punto de conexión, asícomo el servicio en el que desee establecer la conexión.

Para crear un punto de enlace de gateway con la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Endpoints, Create Endpoint.3. En Service Name, elija el nombre del servicio con el que desea conectar. Para crear un punto

de enlace de gateway a DynamoDB o Amazon S3, asegúrese de que en la columna Type (Tipo)aparezca Gateway.

4. Complete la siguiente información y elija Create endpoint.

• En VPC, seleccione la VPC en la que se va a crear el punto de conexión.• En Configure route tables, seleccione las tablas de ruteo que debe usar el punto de conexión.

Agregaremos automáticamente a las tablas de ruteo seleccionadas una ruta para dirigir por el puntode conexión el tráfico destinado al servicio.

• En Policy, elija el tipo de política. Puede dejar la opción predeterminada, Full Access, para permitirel acceso completo al servicio. De forma alternativa, puede seleccionar Custom (Personalizado) y, acontinuación, utilizar AWS Policy Generator (Generador de políticas de AWS) para crear una políticapersonalizada, o escribir su propia política en la ventana de políticas.

Una vez creado un punto de conexión, puede ver información sobre él.

Para ver información sobre un punto de enlace de gateway con la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Endpoints y seleccione el punto de conexión.3. Para ver información acerca del punto de conexión, elija Summary. Puede obtener el nombre de la

lista de prefijos para el servicio en el cuadro Service.4. Para ver información sobre las tablas de ruteo que utiliza el punto de conexión, elija Route Tables.5. Para ver la política de IAM asociada al punto de enlace, elija Policy (Política).

Note

La pestaña Policy muestra la política del punto de conexión. No muestra información acercade las políticas de IAM para usuarios de IAM que tengan permiso para trabajar con puntos de

313




enlace. Tampoco muestra políticas específicas de servicios, como las políticas de buckets deS3.

Para crear y ver un punto de conexión con la AWS CLI

1. Use el comando describe-vpc-endpoint-services para obtener una lista de los servicios disponibles.En la respuesta obtenida, observe el nombre del servicio con el que desea conectar. El camposerviceType indica si la conexión al servicio se hace a través de un punto de enlace de interfaz o deun punto de enlace de gateway.

aws ec2 describe-vpc-endpoint-services

{ "serviceDetailSet": [ { "serviceType": [ { "serviceType": "Gateway" } ...

2. Para crear un punto de enlace de gateway (por ejemplo, a Amazon S3), utilice el comando create-vpc-endpoint y especifique el ID de VPC, el nombre del servicio y las tablas de ruteo que usará el puntode enlace. De forma opcional, puede usar el parámetro --policy-document para especificar unapolítica personalizada que controle el acceso al servicio. Si no se usa este parámetro, adjuntaremosuna política predeterminada que permite el acceso completo al servicio.

aws ec2 create-vpc-endpoint --vpc-id vpc-1a2b3c4d --service-name com.amazonaws.us-east-1.s3 --route-table-ids rtb-11aa22bb

3. Describa el punto de enlace usando el comando describe-vpc-endpoints.


Para describir los servicios disponibles con las Herramientas de AWS para Windows PowerShell ola API

• Get-EC2VpcEndpointService (Herramientas de AWS para Windows PowerShell)• DescribeVpcEndpointServices (API de consulta de Amazon EC2)

Para crear un Punto de conexión VPC con las Herramientas de AWS para Windows PowerShell ola API

• New-EC2VpcEndpoint (Herramientas de AWS para Windows PowerShell)• CreateVpcEndpoint (API de consulta de Amazon EC2)

Para describir los Puntos de conexión de la VPC con las Herramientas de AWS para WindowsPowerShell o la API

• Get-EC2VpcEndpoint (Herramientas de AWS para Windows PowerShell)• DescribeVpcEndpoints (API de consulta de Amazon EC2)

314





https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2VpcEndpointService.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ApiReference-query-DescribeVpcEndpointServices.html

https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2VpcEndpoint.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ApiReference-query-CreateVpcEndpoint.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2VpcEndpoint.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ApiReference-query-DescribeVpcEndpoints.html


Modificación de su grupo de seguridadSi el grupo de seguridad de la VPC asociado a su instancia restringe el tráfico saliente, debe añadir unaregla para permitir que el tráfico destinado al servicio de AWS salga de la instancia.

Para añadir una regla saliente para un punto de enlace de gateway

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Security Groups.3. Seleccione el grupo de seguridad de su VPC, elija la pestaña Outbound Rules y, a continuación, elija

Edit.4. Seleccione el tipo de tráfico de la lista Type y, si es necesario, escriba el rango del puerto. Por

ejemplo, si utiliza su instancia para recuperar objetos de Amazon S3, elija HTTPS en la lista Type(Tipo).

5. La lista Destination (Destino) muestra los ID de la lista de prefijos y los nombres de los serviciosdisponibles de AWS. Elija el ID de la lista de prefijos para el servicio de AWS, o introdúzcalo.

6. Seleccione Save.

Para obtener más información acerca de los grupos de seguridad, consulte Grupos de seguridad de suVPC (p. 166).

Para obtener del nombre de la lista de prefijos, el ID y el rango de direcciones IP para un serviciode AWS con la línea de comandos o la API

• describe-prefix-lists (AWS CLI)• Get-EC2PrefixList (Herramientas de AWS para Windows PowerShell)• DescribePrefixLists (API de consulta de Amazon EC2)

Modificación de un punto de enlace de gatewayPuede modificar un punto de enlace de gateway cambiando o quitando su política y agregando o quitandolas tablas de ruteo utilizadas por el punto de enlace.

Para cambiar la política asociada a un punto de enlace de gateway

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Endpoints y seleccione el punto de conexión.3. Elija Actions, Edit policy.4. Puede elegir Full Access para permitir el acceso completo. De forma alternativa, elija Custom

(Personalizado) y, a continuación, utilice AWS Policy Generator para crear una política personalizada,o introduzca su propia política en la ventana de políticas. Cuando haya terminado, elija Save(Guardar).

Note

Puede que los cambios de la política tarden unos minutos en aplicarse.

Para añadir o quitar tablas de ruteo utilizadas por un punto de enlace de gateway

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Endpoints y seleccione el punto de conexión.3. Elija Actions, Manage route tables.

315



https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2PrefixList.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ApiReference-query-DescribePrefixLists.html




4. Seleccione o quite la selección de las tablas de ruteo necesarias y elija Modify Route Tables (Modificartablas de ruteo).

Para modificar un punto de enlace de gateway con la AWS CLI.

1. Utilice el comando describe-vpc-endpoints para obtener el ID del punto de enlace de gateway.


2. En el ejemplo siguiente se usa el comando modify-vpc-endpoint para asociar la tabla de ruteo rtb-aaa222bb al punto de enlace de gateway y restablecer el documento de política.

aws ec2 modify-vpc-endpoint --vpc-endpoint-id vpce-1a2b3c4d --add-route-table-ids rtb-aaa222bb --reset-policy

Para modificar un Punto de conexión VPC con las Herramientas de AWS para WindowsPowerShell o una API

• Edit-EC2VpcEndpoint (Herramientas de AWS para Windows PowerShell)• ModifyVpcEndpoint (API de consulta de Amazon EC2)

Añadir o eliminar etiquetas del punto de enlace de gatewayLas etiquetas proporcionan una forma de identificar el punto de enlace de gateway. Puede añadir oeliminar una etiqueta.

Para aádir o eliminar una etiqueta del punto de enlace de gateway

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Endpoints (Puntos de enlace).3. Seleccione el punto de enlace de gateway y elija Actions (Acciones), Add/Edit Tags (Añadir o editar

etiquetas).4. Añada o elimine una etiqueta.


[Eliminar una etiqueta] Elija el botón de eliminación (“x”) situado a la derecha de la clave y valor de laetiqueta.

Para añadir o eliminar una etiqueta mediante Herramientas de AWS para Windows PowerShell ouna API

• create-tags (AWS CLI)• CreateTags (Herramientas de AWS para Windows PowerShell)• delete-tags (AWS CLI)• DeleteTags (Herramientas de AWS para Windows PowerShell)

316


https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2VpcEndpoint.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ApiReference-query-ModifyVpcEndpoint.html




https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-tags.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DeleteTags.html

Amazon Virtual Private Cloud Guía del usuarioControl del acceso a los servicios

con Puntos de conexión de la VPC

Control del acceso a los servicios con Puntos deconexión de la VPCAl crear un punto de enlace, puede asociar una política de punto de enlace que controle el acceso alservicio al que se va a conectar. Las políticas de punto de conexión deben escribirse en formato JSON.

Si va a utilizar un punto de enlace para Amazon S3, también puede utilizar las políticas de bucket deAmazon S3 para controlar el acceso a los buckets desde puntos de enlace específicos, o VPC específicas.Para obtener más información, consulte Utilización de políticas de buckets de Amazon S3 (p. 309).

Contenido• Uso de políticas de Punto de enlace VPC (p. 317)• Grupos de seguridad (p. 318)

Uso de políticas de Punto de enlace VPCUna política de Punto de conexión VPC es una política de recursos de IAM que puede adjuntar a unpunto de enlace cuando lo crea o modifica. Si no adjunta una política al crear un punto de conexión,adjuntaremos por usted una política predeterminada que le permita obtener acceso completo al servicio.Una política de punto de conexión no anula ni reemplaza las políticas de usuario de IAM ni las políticasespecíficas de servicios (como las políticas de bucket de S3). Se trata de una política independiente paracontrolar el acceso desde el punto de conexión al servicio especificado.

No puede asociar más de una política a un punto de enlace. Sin embargo, puede modificar la política encualquier momento. Si modifica una política, puede que los cambios tarden unos minutos en aplicarse.Para obtener más información sobre la elaboración de políticas, consulte la sección sobre Informacióngeneral de políticas de IAM en la Guía del usuario de IAM.

Su política de punto de conexión puede ser como cualquier política de IAM. No obstante, tenga en cuentalo siguiente:

• Solo valdrán las partes de la política relacionadas con el servicio especificado. No se puede utilizaruna política de punto de conexión que permita que los recursos de su VPC realicen otras acciones; porejemplo, si agrega acciones de EC2 a una política de punto de conexión para un punto de conexión aAmazon S3, no tendrán ningún efecto.

• Su política debe contener un elemento principal. Para puntos de enlace de gateway solo, no puedelimitar el elemento principal a un rol o usuario de IAM específico. Especifique "*" para conceder accesoa todos los roles y usuarios de IAM. Además, para puntos de enlace de gateway solo, si especificael elemento principal en el formato "AWS":"AWS-account-ID" o "AWS":"arn:aws:iam::AWS-account-ID:root", se concede acceso solo al usuario raíz de la cuenta de AWS y no a todos losusuarios y roles de IAM para la cuenta.

• El tamaño de una política de punto de enlace no puede tener más de 20 480 caracteres (incluidosespacios en blanco).

Los siguientes servicios son compatibles con las políticas de puntos de enlace:

• Amazon API Gateway• Auto Scaling de aplicaciones• AWS Auto Scaling• Amazon CloudWatch• Amazon CloudWatch Events• Amazon CloudWatch Logs• AWS CodeBuild

317

https://docs.aws.amazon.com/IAM/latest/UserGuide/PoliciesOverview.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/PoliciesOverview.html


https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-vpc-endpoint-policies.html

https://docs.aws.amazon.com/autoscaling/application/userguide/application-auto-scaling-vpc-endpoints.html

https://docs.aws.amazon.com/autoscaling/plans/userguide/aws-auto-scaling-vpc-endpoints.html



https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch-logs-and-interface-VPC.html#CloudWatchLogs-VPC-endpoint-policy

https://docs.aws.amazon.com/codebuild/latest/userguide/use-vpc-endpoints-with-codebuild.html#creating-vpc-endpoint-policy

Amazon Virtual Private Cloud Guía del usuarioEliminación de un Punto de enlace VPC

• AWS CodeCommit• Amazon EC2 Auto Scaling• Amazon Elastic File System• Elastic Load Balancing• Amazon EC2 Container Registry• Amazon EMR• Amazon Kinesis Data Firehose• Amazon Kinesis Data Streams• Amazon SageMaker y tiempo de ejecución de Amazon SageMaker• Instancia de bloc de notas de Amazon SageMaker• AWS Secrets Manager• AWS Security Token Service• Amazon SNS• Amazon SQS• AWS Step Functions

Para ver los ejemplos de políticas de punto de conexión de Amazon S3 y DynamoDB, consulte lossiguientes temas:

• Utilización de políticas de punto de conexión para Amazon S3 (p. 308)• Utilización de políticas de punto de conexión para DynamoDB (p. 311)

Grupos de seguridadDe forma predeterminada, los grupos de seguridad de Amazon VPC permiten todo el tráfico saliente, amenos que haya restringido específicamente el acceso saliente.

Cuando se crea un punto de conexión de interfaz, generamos nombres de host VPC específicos paraese punto que puede usar para comunicar con el servicio. Si no especifica ningún grupo de seguridad seasociará a la interfaz de red de punto de conexión el grupo de seguridad predeterminado para la VPC.Debe asegurarse de que las reglas del grupo de seguridad permitan la comunicación entre la interfaz dered de punto de conexión y los recursos de la VPC que se comunican con el servicio.

En el caso de un punto de enlace de gateway, si las reglas salientes de su grupo de seguridad estánrestringidas, deberá añadir una regla que permita el tráfico saliente desde su VPC al servicio quehaya especificado en el punto de enlace. Para ello, puede utilizar el ID de lista de prefijo del serviciocomo destino en la regla saliente. Para obtener más información, consulte Modificación de su grupo deseguridad (p. 315).

Eliminación de un Punto de enlace VPCSi ya no necesita un punto de conexión, puede eliminarlo. Al eliminar un punto de enlace de gateway,también se eliminan las rutas del punto de enlace en las tablas de ruteo utilizadas por el punto de enlace,pero esto no afecta a los grupos de seguridad asociados a la VPC en la que reside el punto de enlace.Cuando se elimina un punto de conexión de interfaz también se eliminan sus interfaces de red.

Para eliminar un punto de conexión

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Endpoints y seleccione el punto de conexión.3. Elija Actions, Delete Endpoint.4. En la pantalla de confirmación, elija Yes, Delete.

318

https://docs.aws.amazon.com/codecommit/latest/userguide/codecommit-and-interface-VPC.html#create-vpc-endpoint-policy-for-codecommit

https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-vpc-endpoints.html

https://docs.aws.amazon.com/efs/latest/ug/efs-vpc-endpoints.html#create-vpce-policy-efs


https://docs.aws.amazon.com/AmazonECR/latest/userguide/vpc-endpoints.html#ecr-vpc-endpoint-policy

https://docs.aws.amazon.com/emr/latest/ManagementGuide/interface-vpc-endpoint.html#api-private-link-policy

https://docs.aws.amazon.com/firehose/latest/dev/vpc.html

https://docs.aws.amazon.com/streams/latest/dev/vpc.html#interface-vpc-endpoints-policies

https://docs.aws.amazon.com/sagemaker/latest/dg/interface-vpc-endpoint.html#api-private-link-policy

https://docs.aws.amazon.com/sagemaker/latest/dg/notebook-interface-endpoint.html#nbi-private-link-policy

https://docs.aws.amazon.com/secretsmanager/latest/userguide/vpc-endpoint-overview.html#vpc-endpoint-policy


https://docs.aws.amazon.com/sns/latest/dg/sns-vpc-endpoint-policy.html

https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-internetwork-traffic-privacy.html#sqs-vpc-endpoint-policy

https://docs.aws.amazon.com/step-functions/latest/dg/vpc-iam.html


Amazon Virtual Private Cloud Guía del usuarioServicios de punto de enlace de la VPC (AWS PrivateLink)

Para eliminar un Punto de conexión VPC

• delete-vpc-endpoints (AWS CLI)• Remove-EC2VpcEndpoint (Herramientas de AWS para Windows PowerShell)• DeleteVpcEndpoints (API de consulta de Amazon EC2)

Servicios de punto de enlace de la VPC (AWSPrivateLink)

Puede crear su propia aplicación en la VPC y configurarla como un servicio basado en AWS PrivateLink (loque se conoce como servicio de punto de enlace). Otras entidades principales de AWS pueden crear unaconexión desde su propia VPC al servicio de punto de conexión utilizando un punto de enlace de la VPCde tipo interfaz (p. 288). Usted es el proveedor del servicio y las entidades principales de AWS que creanconexiones con el servicio son los consumidores del servicio.

Contenido• Información general (p. 319)• Consideraciones sobre zonas de disponibilidad de servicio de punto de enlace (p. 321)• Nombres de DNS del servicio de punto de enlace (p. 321)• Conexión a centros de datos locales (p. 293)• Uso de Proxy Protocol para la información de conexión (p. 322)• Limitaciones de los servicios de punto de enlace (p. 322)• Creación de una configuración de servicio de punto de conexión de VPC (p. 323)• Concesión y retirada de permisos para el servicio de punto de enlace (p. 324)• Cambio de los Balanceador de carga de red y la configuración de aceptación (p. 326)• Aceptación y rechazo de solicitudes de conexión a través de un punto de enlace de interfaz (p. 327)• Creación y administración de una notificación para un servicio de punto de conexión (p. 328)• Añadir o eliminar etiquetas del servicio de punto de enlace de la VPC (p. 330)• Eliminación de una configuración de servicio de punto de enlace (p. 331)

Información generalA continuación se indican los pasos generales para crear un servicio de punto de conexión:

1. Crear un Balanceador de carga de red para la aplicación en la VPC y configurarlo para cada subred(zona de disponibilidad) en la que el servicio deba estar disponible. El balanceador de carga recibesolicitudes de los consumidores y las dirige al servicio. Para obtener más información, consulteIntroducción a Network Load Balancers en la Guía del usuario de Network Load Balancers. Lerecomendamos que configure su servicio en todas las zonas de disponibilidad de la región.

2. Crear una configuración de servicio de punto de enlace de VPC y especificar el Balanceador de cargade red.

A continuación se indican los pasos generales para permitir que los consumidores del servicio se conectenal servicio.

1. Conceder permisos a consumidores del servicio específicos (cuentas de AWS, usuarios de IAM y rolesde IAM) para crear una conexión con el servicio de punto de enlace.

319

https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpc-endpoints.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2VpcEndpoint.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ApiReference-query-DeleteVpcEndpoints.html

https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancer-getting-started.html

Amazon Virtual Private Cloud Guía del usuarioInformación general

2. Un consumidor del servicio al que se le hayan concedido permisos crea un punto de enlace de interfazal servicio, y de forma opcional, en cada zona de disponibilidad en la que se haya configurado elservicio.

3. Para activar la conexión, acepte la solicitud de conexión del punto de enlace de interfaz. De formapredeterminada, las solicitudes de conexión se deben aceptan manualmente. Sin embargo, puedeconfigurar las opciones de aceptación del servicio de punto de enlace para que todas las solicitudes deconexión se acepten automáticamente.

La combinación de permisos y opciones de aceptación puede ayudarle a controlar qué consumidores delservicio (entidades principales de AWS) pueden obtener acceso al servicio. Por ejemplo, puede otorgarpermisos a determinadas entidades principales en las que confíe y aceptar automáticamente todas lassolicitudes de conexión, o puede conceder permisos a un grupo más amplio de entidades principales yaceptar manualmente únicamente las solicitudes de conexión específicas en las que confíe.

En el diagrama siguiente, el propietario de la cuenta de la VPC B es un proveedor que tiene un servicioejecutándose en instancias de la subred B. El propietario de la VPC B tiene un punto de conexión deservicio (vpce-svc-1234) con un Balanceador de carga de red asociado que apunta a las instancias de lasubred B como objetivos. Las instancias de la subred A de la VPC A usan un punto de conexión de interfazpara el acceso a los servicios de la subred B.

Para tolerancia a errores y baja latencia, recomendamos utilizar un Balanceador de carga de redcon objetivos en cada zona de disponibilidad de la región de AWS. Para contribuir a lograr una altadisponibilidad para consumidores de servicio que utilizan nombres de host de DNS de zona (p. 300) paraacceder al servicio, puede habilitar el equilibrio de carga entre zonas. El equilibrio de carga entre zonaspermite al balanceador de carga distribuir el tráfico entre los objetivos registrados en todas las zonas dedisponibilidad habilitadas. Para obtener más información, consulte el artículo relacionado con el balanceode cargas entre zonas en la Guía del usuario de Network Load Balancers. Se podrían aplicar cargos portransferencia de datos regionales a su cuenta si habilita el balanceo de carga entre zonas.

En el siguiente diagrama, el propietario de VPC B es el proveedor de servicios y ha configurado unBalanceador de carga de red con destinos en dos zonas de disponibilidad distintas. El consumidor deservicio (VPC A) ha creado puntos de enlace de interfaz en las mismas dos zonas de disponibilidad en su

320

https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html#cross-zone-load-balancing

https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html#cross-zone-load-balancing

Amazon Virtual Private Cloud Guía del usuarioConsideraciones sobre zonas de

disponibilidad de servicio de punto de enlace

VPC. Las solicitudes de servicio a partir de instancias en una VPC A pueden utilizar cualquier punto deenlace de interfaz.

Consideraciones sobre zonas de disponibilidad deservicio de punto de enlaceCuando se crea un servicio de punto de enlace, el servicio se crea en la zona de disponibilidadcorrespondiente a su cuenta y es independiente de las demás cuentas. Cuando el proveedor de serviciosy el consumidor estén en cuentas distintas, utilice el ID de zona de disponibilidad para identificar de formainequívoca y sistemática la zona de disponibilidad del servicio de punto de enlace. Por ejemplo, use1-az1 es un ID de zona de disponibilidad para la región us-east-1 y tiene la misma ubicación en cadacuenta de AWS. Para obtener información sobre los ID de zona de disponibilidad, consulte ID de zona dedisponibilidad para sus recursos en la Guía del usuario de AWS RAM o utilice describe-availability-zones.

Nombres de DNS del servicio de punto de enlaceCuando se crea un punto de enlace de la VPC, AWS genera nombres de host de DNS específicospara ese punto que puede usar para comunicarse con el servicio. Estos nombres incluyen el ID depunto de enlace de la VPC, el nombre de la zona de disponibilidad y Nombre de la región, por ejemplo,vpce-1234-abcdev-us-east-1.vpce-svc-123345.us-east-1.vpce.amazonaws.com. De forma predeterminada,los consumidores acceden al servicio con ese nombre de DNS y normalmente necesitan modificar laconfiguración de la aplicación.

Si el servicio de punto de enlace es para un servicio de AWS o un servicio disponible en AWS Marketplace,hay un nombre de DNS predeterminado. Para otros servicios, el proveedor de servicios puede configurarun nombre DNS privado para que los consumidores puedan acceder al servicio utilizando un nombre DNSexistente sin realizar cambios en sus aplicaciones. Para obtener más información, consulte the sectioncalled “Nombre de DNS privado” (p. 331).

Los proveedores de servicios pueden utilizar la clave de contexto de condiciónec2:VpceServicePrivateDnsName en una declaración de políticas de IAM para controlar qué nombres DNSprivados se pueden crear. Para obtener más información, consulte Acciones definidas por Amazon EC2 enla Guía del usuario de IAM.

321





Amazon Virtual Private Cloud Guía del usuarioConexión a centros de datos locales

Requisitos de nombres de DNS privadoLos proveedores de servicios pueden especificar un nombre DNS privado para un nuevo servicio de puntode enlace o un servicio de punto de enlace existente. Para utilizar un nombre de DNS privado, habilite lacaracterística y, a continuación, especifique un nombre de DNS privado. Antes de que los consumidorespuedan utilizar el nombre de DNS privado, debe comprobar que tiene el control del dominio/subdominio.Puede iniciar la verificación de la propiedad del dominio mediante Consola de Amazon VPC o la API.Una vez completada la verificación de la propiedad del dominio, los clientes acceden al punto de enlacemediante el nombre de DNS privado.

Conexión a centros de datos localesPuede utilizar los siguientes tipos de conexiones para una conexión entre un extremo de interfaz y sucentro de datos local:

• AWS Direct Connect• AWS Site-to-Site VPN

Uso de Proxy Protocol para la información deconexiónLos Balanceador de carga de red comunican las direcciones IP de origen a la aplicación (el servicio).Cuando los consumidores envían tráfico al servicio a través de un punto de conexión de interfaz, lasdirecciones IP de origen comunicadas a la aplicación son las direcciones IP privadas de los nodos deBalanceador de carga de red, y no las direcciones IP de los consumidores.

Si necesita las direcciones IP de los consumidores del servicio y los ID de los puntos de conexión deinterfaz correspondientes, habilite Proxy Protocol en el balanceador de carga y obtenga las direcciones IPdel encabezado de Proxy Protocol. Para obtener más información, consulte Proxy Protocol en la Guía delusuario de Network Load Balancers.

Limitaciones de los servicios de punto de enlacePara utilizar los servicios de punto de enlace, debe conocer sus reglas y limitaciones actuales:

• Los servicios de punto de conexión solo admiten tráfico IPv4 sobre TCP.• Los consumidores de servicios pueden utilizar los nombres de host de DNS específicos del punto de

enlace para acceder al servicio de punto de enlace o al nombre de DNS privado.• Si un servicio de punto de enlace está asociado a varias instancias de Balanceador de carga de red,

para una zona de disponibilidad específica, un punto de enlace de interfaz establece una conexión solocon un balanceador de carga.

• Para el servicio de punto de enlace, el balanceador de carga de red asociado puede admitir 55 000conexiones simultáneas o alrededor de 55 000 conexiones por minuto con cada uno de los distintosdestinos (dirección IP y puerto). Si se superan estas conexiones, el riesgo de que se produzcan erroresde asignación de puertos será mayor. Para solucionar los errores de asignación de puertos, añadamás destinos al grupo de destino. Para obtener más información acerca de los grupos de destino delBalanceador de carga de red, consulte Grupos de destino de los balanceadores de carga de red yRegistro de destinos en el grupo de destino en la Guía del usuario de Network Load Balancers.

• Es posible que las zonas de disponibilidad de su cuenta no se correspondan con las mismasubicaciones que las zonas de disponibilidad de otra cuenta. Por ejemplo, es posible que la zona dedisponibilidad us-east-1a no se encuentre en la misma ubicación que us-east-1a de otra cuenta.

322

https://docs.aws.amazon.com/elasticloadbalancing/latest/network/load-balancer-target-groups.html#proxy-protocol

https://docs.aws.amazon.com/elasticloadbalancing/latest/network/load-balancer-target-groups.html

https://docs.aws.amazon.com/elasticloadbalancing/latest/network/target-group-register-targets.html

Amazon Virtual Private Cloud Guía del usuarioCreación de una configuración de

servicio de punto de conexión de VPC

Para obtener más información, consulte Conceptos de región y zona de disponibilidad. Cuando seconfigura un servicio de punto de enlace, se configura en las zonas de disponibilidad asignadas a sucuenta.

• Revise los límites específicos del servicio para el servicio de punto de enlace.• Revise las prácticas recomendadas de seguridad y los ejemplos para los servicios de punto de enlace.

Para obtener más información, consulte prácticas recomendadas de la política y the section called“Control del acceso a los servicios con Puntos de conexión de la VPC” (p. 317).

Creación de una configuración de servicio de punto deconexión de VPCPuede crear una configuración de servicio de punto de conexión con la consola de Amazon VPC o la líneade comandos. Antes de comenzar, asegúrese de haber creado uno o más Balanceador de carga de red enla VPC para el servicio. Para obtener más información, consulte Introducción a Network Load Balancers enla Guía del usuario de Network Load Balancers.

Si lo desea, puede especificar en la configuración que desea aceptar manualmente todas las solicitudesde conexión al servicio que se realicen a través de un punto de enlace de interfaz. Puede crear unanotificación (p. 328) para recibir alertas cuando se reciban solicitudes de conexión. Si no acepta unaconexión, los consumidores del servicio no pueden tener acceso al servicio.

Note

Independientemente de las opciones de aceptación, los consumidores del servicio también debentener permisos (p. 324) para establecer una conexión con el servicio.

Después de crear una configuración del servicio de punto de enlace, debe añadir permisos para permitir alos consumidores del servicio crear puntos de enlace de interfaz a su servicio.

Console

Para crear un servicio de punto de conexión con la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Endpoints Services, Create Endpoint Service.3. En Associate Network Load Balancers (Asociar balanceadores de carga de red), seleccione los

Balanceador de carga de red que deban asociarse al servicio de punto de enlace.4. En Require acceptance for endpoint, marque la casilla de verificación para aceptar manualmente

las solicitudes del servicio. Si no selecciona esta opción, las solicitudes a través de un punto deconexión se aceptarán automáticamente.

5. Para asociar un nombre de DNS privado al servicio, seleccione Enable private DNS (Habilitarnombre de DNS privado) y, a continuación, para Private DNS name (Nombre del DNS privado),escriba el nombre del DNS privado.

6. Elija Create service.

AWS CLI

Para crear un servicio de punto de conexión con la AWS CLI

Use el comando create-vpc-endpoint-service-configuration y especifique uno o más ARN para susBalanceador de carga de red. Opcionalmente, puede especificar si se requiere aceptación paraconectarse al servicio y si el servicio tiene un nombre de DNS privado.

323



https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancer-getting-started.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpc-endpoint-service-configuration.html

Amazon Virtual Private Cloud Guía del usuarioConcesión y retirada de permisos

para el servicio de punto de enlace

aws ec2 create-vpc-endpoint-service-configuration --network-load-balancer-arns arn:aws:elasticloadbalancing:us-east-1:123456789012:loadbalancer/net/nlb-vpce/e94221227f1ba532 --acceptance-required --privateDnsName exampleservice.com

{ "ServiceConfiguration": { "ServiceType": [ { "ServiceType": "Interface" } ], "NetworkLoadBalancerArns": [ "arn:aws:elasticloadbalancing:us-east-1:123456789012:loadbalancer/net/nlb-vpce/e94221227f1ba532" ], "ServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-03d5ebb7d9579a2b3", "ServiceState": "Available", "ServiceId": "vpce-svc-03d5ebb7d9579a2b3", "PrivateDnsName: "exampleService.com", "AcceptanceRequired": true, "AvailabilityZones": [ "us-east-1d" ], "BaseEndpointDnsNames": [ "vpce-svc-03d5ebb7d9579a2b3.us-east-1.vpce.amazonaws.com" ] }}

Herramientas de AWS para Windows PowerShell

Use New-EC2VpcEndpointServiceConfiguration.API

Use CreateVpcEndpointServiceConfiguration.

Concesión y retirada de permisos para el servicio depunto de enlaceDespués de crear una configuración del servicio de punto de enlace, puede controlar los consumidores delservicio que pueden crear un punto de enlace de interfaz para conectarse a su servicio. Los consumidoresde servicios son las entidades principales de IAM: usuarios de IAM, roles de IAM y cuentas de AWS. Paraañadir o eliminar permisos para una entidad principal, necesita su Nombre de recurso de Amazon (ARN).

• Para una cuenta de AWS (y, por tanto, para todas las entidades principales de la cuenta), el ARN tieneel formato arn:aws:iam::aws-account-id:root.

• Para un usuario de IAM específico, el ARN tiene el formato arn:aws:iam::aws-account-id:user/user-name.

• Para un rol de IAM específico, el ARN tiene el formato arn:aws:iam::aws-account-id:role/role-name.

Note

Si establece el permiso en “cualquier persona puede acceder” y establece el modelo deaceptación en “aceptar todas las solicitudes”, entonces acaba de hacer público su NLB. Dado

324

https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2VpcEndpointServiceConfiguration.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ApiReference-query-CreateVpcEndpointServiceConfiguration.html


Amazon Virtual Private Cloud Guía del usuarioConcesión y retirada de permisos

para el servicio de punto de enlace

que es fácil obtener una cuenta de AWS, no hay ninguna limitación práctica sobre quién puedeacceder a su NLB aunque no tenga una dirección IP pública.

Console

Para agregar o quitar permisos con la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Endpoint Services y seleccione el servicio de punto de conexión.3. Elija Actions, Add principals to whitelist.4. Especifique el ARN de la entidad principal para la que desea agregar permisos. Para añadir más

entidades principales, elija Add principal. Para quitar una entidad principal, elija el icono con unacruz junto a la entrada correspondiente.

Note

Especifique * para añadir permisos para todas las entidades principales. Esto permiteque todas las entidades principales de todas las cuentas de AWS creen un punto deenlace de interfaz al servicio de punto de enlace.

5. Elija Add to Whitelisted principals.6. Para quitar una entidad principal, selecciónela en la lista y elija Delete.

AWS CLI

Para agregar permisos al servicio de punto de enlace, use el comando modify-vpc-endpoint-service-permissions con el parámetro --add-allowed-principals para agregar uno o varios ARN paralas entidades principales.

aws ec2 modify-vpc-endpoint-service-permissions --service-id vpce-svc-03d5ebb7d9579a2b3 --add-allowed-principals '["arn:aws:iam::123456789012:root"]'

Para ver los permisos que ha agregado al servicio de punto de enlace, use el comando describe-vpc-endpoint-service-permissions.

aws ec2 describe-vpc-endpoint-service-permissions --service-id vpce-svc-03d5ebb7d9579a2b3

{ "AllowedPrincipals": [ { "PrincipalType": "Account", "Principal": "arn:aws:iam::123456789012:root" } ]}

Para quitar permisos del servicio de punto de enlace, use el comando modify-vpc-endpoint-service-permissions con el parámetro --remove-allowed-principals para quitar uno o varios ARN deentidades principales.

aws ec2 modify-vpc-endpoint-service-permissions --service-id vpce-svc-03d5ebb7d9579a2b3 --remove-allowed-principals '["arn:aws:iam::123456789012:root"]'


Use Edit-EC2EndpointServicePermission.

325


https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint-service-permissions.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpc-endpoint-service-permissions.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpc-endpoint-service-permissions.html



https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2EndpointServicePermission.html

Amazon Virtual Private Cloud Guía del usuarioCambio de los Balanceador de carga

de red y la configuración de aceptación

API

Use ModifyVpcEndpointServicePermissions.

Cambio de los Balanceador de carga de red y laconfiguración de aceptaciónPuede modificar la configuración del servicio de punto de conexión cambiando los Balanceador de cargade red asociados al servicio y la obligatoriedad de una aceptación para conectar con él.

No es posible retirar la asociación de un balanceador de carga cuando existen puntos de conexión deinterfaz asociados al servicio de punto de conexión.

Console

Para cambiar los balanceadores de carga de red de un servicio de punto de conexión con laconsola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Endpoint Services y seleccione el servicio de punto de conexión.3. Elija Actions, Associate/Disassociate Network Load Balancers.4. Seleccione o quite la selección de los balanceadores de carga como sea necesario y elija Save.

Para modificar la opción de aceptación con la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Endpoint Services y seleccione el servicio de punto de conexión.3. Elija Actions, Modify endpoint acceptance setting.4. Seleccione o quite la selección de Require acceptance for endpoint y elija Modify.

AWS CLI

Para cambiar los balanceadores de carga del servicio de punto de enlace, use el comando modify-vpc-endpoint-service-configuration con el parámetro --add-network-load-balancer-arn o --remove-network-load-balancer-arn.

aws ec2 modify-vpc-endpoint-service-configuration --service-id vpce-svc-09222513e6e77dc86 --remove-network-load-balancer-arn arn:aws:elasticloadbalancing:us-east-1:123456789012:loadbalancer/net/nlb-vpce/e94221227f1ba532

Para cambiar el requisito de aceptación, use el comando modify-vpc-endpoint-service-configuration yespecifique --acceptance-required o --no-acceptance-required.

aws ec2 modify-vpc-endpoint-service-configuration --service-id vpce-svc-09222513e6e77dc86 --no-acceptance-required


Use Edit-EC2VpcEndpointServiceConfiguration.

326

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ApiReference-query-ModifyVpcEndpointServicePermissions.html



https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint-service-configuration.html



https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2VpcEndpointServiceConfiguration.html

Amazon Virtual Private Cloud Guía del usuarioAceptación y rechazo de solicitudes de conexión

a través de un punto de enlace de interfaz

API

Use ModifyVpcEndpointServiceConfiguration.

Aceptación y rechazo de solicitudes de conexión através de un punto de enlace de interfazDespués de crear una configuración del servicio de punto de enlace para la que haya añadido permisos,puede controlar los consumidores del servicio que pueden crear un punto de enlace de interfaz paraconectarse a su servicio. Para obtener más información sobre cómo crear un punto de enlace de interfaz,consulte Interfaz Puntos de conexión de la VPC (AWS PrivateLink) (p. 288).

Si ha especificado que es obligatoria la aceptación de las solicitudes de conexión, deberá aceptar orechazar manualmente las solicitudes para conectar con el servicio a través de un punto de conexión deinterfaz. Una vez aceptado un punto de conexión de interfaz, pasa al estado available (disponible).

También puede rechazar una conexión a través de un punto de conexión de interfaz después de que seencuentre en el estado available.

Console

Para aceptar o rechazar una solicitud de conexión con la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Endpoint Services y seleccione el servicio de punto de conexión.3. En la pestaña Endpoint Connections aparecen las conexiones por punto de conexión que están

esperando a su aprobación. Seleccione el punto de conexión, elija Actions y elija Accept endpointconnection request para aceptar la solicitud o Reject endpoint connection request para rechazarla.

AWS CLI

Para ver las solicitudes de puntos de enlace que esperan aceptación, use el comando describe-vpc-endpoint-connections y filtre el resultado por el estado pendingAcceptance.

aws ec2 describe-vpc-endpoint-connections --filters Name=vpc-endpoint-state,Values=pendingAcceptance

{ "VpcEndpointConnections": [ { "VpcEndpointId": "vpce-0c1308d7312217abc", "ServiceId": "vpce-svc-03d5ebb7d9579a2b3", "CreationTimestamp": "2017-11-30T10:00:24.350Z", "VpcEndpointState": "pendingAcceptance", "VpcEndpointOwner": "123456789012" } ]}

Para aceptar una solicitud de conectar por punto de enlace, use el comando accept-vpc-endpoint-connections y especifique el ID del punto de enlace y el ID del servicio de punto de enlace.

aws ec2 accept-vpc-endpoint-connections --service-id vpce-svc-03d5ebb7d9579a2b3 --vpc-endpoint-ids vpce-0c1308d7312217abc

327

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ApiReference-query-ModifyVpcEndpointServiceConfiguration.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpc-endpoint-connections.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpc-endpoint-connections.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/accept-vpc-endpoint-connections.html


Amazon Virtual Private Cloud Guía del usuarioCreación y administración de una notificación

para un servicio de punto de conexión

Para rechazar una solicitud de conectar por punto de enlace, use el comando reject-vpc-endpoint-connections.

aws ec2 reject-vpc-endpoint-connections --service-id vpce-svc-03d5ebb7d9579a2b3 --vpc-endpoint-ids vpce-0c1308d7312217abc


Use Confirm-EC2EndpointConnection y Deny-EC2EndpointConnection.API

Use AcceptVpcEndpointConnections y RejectVpcEndpointConnections.

Creación y administración de una notificación para unservicio de punto de conexiónPuede crear una notificación para recibir alertas cuando se produzcan eventos específicos en el puntode conexión de interfaz conectado al servicio de punto de conexión. Por ejemplo, puede recibir un correoelectrónico cuando se acepte o se rechace una solicitud de punto de conexión para su servicio. Para crearuna notificación, debe asociarle un tema de Amazon SNS. Suscribiéndose al tema de SNS recibirá unanotificación por correo electrónico cuando se produzca el evento en el punto de conexión. Para obtenermás información, consulte Guía para desarrolladores de Amazon Simple Notification Service.

El tema de Amazon SNS utilizado para las notificaciones debe contar con una política de tema que permitaal servicio de punto de conexión de VPC de Amazon publicar notificaciones en su nombre. Asegúrese deincluir la instrucción siguiente al comienzo de la política de tema. Para obtener más información, consultela sección sobre administración del acceso a los temas de Amazon SNS en la Guía para desarrolladoresde Amazon Simple Notification Service.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "vpce.amazonaws.com" }, "Action": "SNS:Publish", "Resource": "arn:aws:sns:region:account:topic-name" } ]}

Console

Para crear una notificación para un servicio de punto de conexión

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Endpoint Services y seleccione el servicio de punto de conexión.3. Elija Notifications, Create Notification.4. Elija el ARN del tema de SNS al que desea asociar la notificación.5. En Events, seleccione los eventos de punto de conexión para los que se deben recibir

notificaciones.6. Elija Create Notification.

328

https://docs.aws.amazon.com/cli/latest/reference/ec2/reject-vpc-endpoint-connections.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/reject-vpc-endpoint-connections.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Confirm-EC2EndpointConnection.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Deny-EC2EndpointConnection.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ApiReference-query-AcceptVpcEndpointConnections.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ApiReference-query-RejectVpcEndpointConnections.html


https://docs.aws.amazon.com/sns/latest/dg/AccessPolicyLanguage.html


Amazon Virtual Private Cloud Guía del usuarioCreación y administración de una notificación

para un servicio de punto de conexión

Después de crear una notificación, puede cambiar el tema de SNS asociado a la notificación. Tambiénpuede especificar diferentes eventos de punto de enlace para la notificación.

Para modificar una notificación para un servicio de punto de conexión

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Endpoint Services y seleccione el servicio de punto de conexión.3. Elija Notifications, Actions, Modify Notification.4. Especifique el ARN del tema de SNS y seleccione o retire la selección de los eventos de punto de

conexión como sea necesario.5. Elija Modify Notification.

Si ya no necesita una notificación, puede eliminarla.

Para eliminar una notificación

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Endpoint Services y seleccione el servicio de punto de conexión.3. Elija Notifications, Actions, Delete Notification.4. Elija Yes, Delete (Sí, eliminar).

AWS CLI

Para crear y administrar una notificación con la AWS CLI

1. Para crear una notificación para un servicio de punto de enlace, utilice el comando create-vpc-endpoint-connection-notification y especifique el ARN del tema de SNS, los eventos objeto denotificación y el ID del servicio de punto de conexión.

aws ec2 create-vpc-endpoint-connection-notification --connection-notification-arn arn:aws:sns:us-east-2:123456789012:VpceNotification --connection-events Connect Accept Delete Reject --service-id vpce-svc-1237881c0d25a3abc

{ "ConnectionNotification": { "ConnectionNotificationState": "Enabled", "ConnectionNotificationType": "Topic", "ServiceId": "vpce-svc-1237881c0d25a3abc", "ConnectionEvents": [ "Reject", "Accept", "Delete", "Connect" ], "ConnectionNotificationId": "vpce-nfn-008776de7e03f5abc", "ConnectionNotificationArn": "arn:aws:sns:us-east-2:123456789012:VpceNotification" }}

2. Para ver las notificaciones, utilice el comando describe-vpc-endpoint-connection-notifications.

aws ec2 describe-vpc-endpoint-connection-notifications

3. Para cambiar el tema de SNS o los eventos de punto de enlace objeto de notificación, utilice elcomando modify-vpc-endpoint-connection-notification.

329





https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpc-endpoint-connection-notifications.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint-connection-notification.html

Amazon Virtual Private Cloud Guía del usuarioAñadir o eliminar etiquetas del

servicio de punto de enlace de la VPC

aws ec2 modify-vpc-endpoint-connection-notification --connection-notification-id vpce-nfn-008776de7e03f5abc --connection-events Accept Reject --connection-notification-arn arn:aws:sns:us-east-2:123456789012:mytopic

4. Para eliminar una notificación, utilice el comando delete-vpc-endpoint-connection-notifications.

aws ec2 delete-vpc-endpoint-connection-notifications --connection-notification-ids vpce-nfn-008776de7e03f5abc


Use New-EC2VpcEndpointConnectionNotification, Get-EC2EndpointConnectionNotification, Edit-EC2VpcEndpointConnectionNotification, y Remove-EC2EndpointConnectionNotification.

API

Use CreateVpcEndpointConnectionNotification, DescribeVpcEndpointConnectionNotifications,ModifyVpcEndpointConnectionNotification, y DeleteVpcEndpointConnectionNotifications.

Añadir o eliminar etiquetas del servicio de punto deenlace de la VPCLas etiquetas proporcionan una forma de identificar el servicio de punto de enlace de la VPC. Puede añadiro eliminar una etiqueta.

Console

Para añadir una etiqueta del servicio de punto de enlace de la VPC

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Endpoint Services (Servicios de punto de enlace).3. Seleccione el servicio de punto de enlace de la VPC y elija Actions (Acciones), Add/Edit Tags

(Añadir o editar etiquetas).4. Añada o elimine una etiqueta.


[Eliminar una etiqueta] Elija el botón de eliminación (“x”) situado a la derecha de la clave y valorde la etiqueta.


Use CreateTags y DeleteTags.

Para aceptar una solicitud de conectar por punto de enlace, use el comando accept-vpc-endpoint-connections y especifique el ID del punto de enlace y el ID del servicio de punto de enlace.

API

Use create-tags y delete-tags.

330

https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpc-endpoint-connection-notifications.html

https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2VpcEndpointConnectionNotification.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2EndpointConnectionNotification.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2VpcEndpointConnectionNotification.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2VpcEndpointConnectionNotification.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2EndpointConnectionNotification.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ApiReference-query-CreateVpcEndpointConnectionNotification.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ApiReference-query-DescribeVpcEndpointConnectionNotifications.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ApiReference-query-ModifyVpcEndpointConnectionNotification.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ApiReference-query-DeleteVpcEndpointConnectionNotifications.html



https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DeleteTags.html




https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-tags.html

Amazon Virtual Private Cloud Guía del usuarioEliminación de una configuración

de servicio de punto de enlace

Eliminación de una configuración de servicio de puntode enlaceEs posible eliminar una configuración de servicio de punto de enlace. La eliminación de la configuración noelimina la aplicación hospedada en la VPC ni los balanceadores de carga asociados.

Antes de eliminar la configuración del servicio de punto de conexión, debe rechazar todos los puntos deconexión de VPC con el estado available o pending-acceptance asociados al servicio. Para obtenermás información, consulte Aceptación y rechazo de solicitudes de conexión a través de un punto de enlacede interfaz (p. 327).

Console

Para eliminar una configuración de servicio de punto de conexión con la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Endpoint Services y seleccione el servicio.3. Elija Actions, Delete.4. Elija Yes, Delete (Sí, eliminar).

AWS CLI

Para eliminar una configuración de servicio de punto de conexión con la AWS CLI

• Use el comando delete-vpc-endpoint-service-configurations y especifique el ID del servicio.

aws ec2 delete-vpc-endpoint-service-configurations --service-ids vpce-svc-03d5ebb7d9579a2b3


Use Remove-EC2EndpointServiceConfiguration.API

Use DeleteVpcEndpointServiceConfigurations.

Nombre de DNS privadoLos proveedores de servicios pueden especificar un nombre DNS privado para un nuevo servicio de puntode enlace o un servicio de punto de enlace existente. Para utilizar un nombre de DNS privado, habilite lacaracterística y, a continuación, especifique un nombre de DNS privado. Antes de que los consumidorespuedan utilizar el nombre de DNS privado, debe comprobar que tiene el control del dominio/subdominio.Puede iniciar la verificación de la propiedad del dominio mediante Consola de Amazon VPC o la API.Una vez completada la verificación de la propiedad del dominio, los clientes acceden al punto de enlacemediante el nombre de DNS privado.

El procedimiento de alto nivel es el siguiente:

1. Agregue un nombre de DNS privado. Para obtener más información, consulte the sectioncalled “Creación de una configuración de servicio de punto de conexión de VPC” (p. 323) othe section called “Modificación de un nombre de DNS privado de servicio de punto de enlaceexistente” (p. 334).

331


https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpc-endpoint-service-configurations.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2EndpointServiceConfiguration.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ApiReference-query-DeleteVpcEndpointServiceConfigurations.html

Amazon Virtual Private Cloud Guía del usuarioConsideraciones sobre la

verificación de nombres de dominio

2. Tenga en cuenta el Domain verification value (Valor de verificación del dominio) de Domain verificationname (Nombre de verificación del dominio) que necesita para los registros del servidor DNS. Paraobtener más información, consulte the section called “Visualización de la configuración de nombres deDNS privados de servicio de punto de enlace” (p. 335).

3. Agregue un registro al servidor DNS. Para obtener más información, consulte the section called“Verificación de nombres de DNS privados de servicio de punto de enlace de la VPC” (p. 333).

4. Verifique el nombre de DNS privado. Para obtener más información, consulte the section called“Inicio manual de la verificación de dominio de nombres de DNS privados de servicio de punto deenlace.” (p. 335).

Puede administrar el proceso de verificación mediante la consola de Amazon VPC o la API de AmazonVPC.

• the section called “Verificación de nombres de DNS privados de servicio de punto de enlace de laVPC” (p. 333)

• the section called “Modificación de un nombre de DNS privado de servicio de punto de enlaceexistente” (p. 334)

• the section called “Eliminación de un nombre de DNS privado de servicio de punto de enlace” (p. 336)• the section called “Visualización de la configuración de nombres de DNS privados de servicio de punto

de enlace” (p. 335)• Registros TXT de verificación de dominio de nombres de DNS privados de Amazon VPC (p. 336)

Consideraciones sobre la verificación de nombres dedominioTome nota de los siguientes puntos importantes sobre la verificación de la propiedad del dominio:

• Un consumidor solo puede usar el nombre de DNS privado para acceder al servicio de punto de enlacecuando el estado de verificación está verificado.

• Si el estado de verificación cambia de verificado a pendingVerification, o es fallido, las conexiones deconsumidor existentes permanecen, pero se deniegan las nuevas solicitudes de conexión.

Important

Para los proveedores de servicios preocupados por las conexiones a servicios de punto finalque ya no están en el estado verificado recomendamos que utilice DescribeVpcEndPointspara comprobar periódicamente el estado de verificación. Le recomendamos que realice estacomprobación al menos una vez al día.

• Un servicio de punto de enlace sólo puede tener un nombre de DNS privado.• Puede especificar un nombre de DNS privado para un nuevo servicio de punto de enlace o un servicio

de punto de enlace existente.• Sólo puede utilizar servidores de nombres de dominio público.• Puede utilizar comodines en los nombres de dominio, por ejemplo, «*.myexampleservice.com».• Debe realizar una comprobación independiente de la propiedad del dominio para cada servicio de punto

de enlace.• Puede verificar el dominio de un subdominio. Por ejemplo, puede verificar example.com, en lugar

de a.example.com. Tal como se especifica en RFC 1034, cada etiqueta DNS puede tener hasta 63caracteres y el nombre de dominio completo no debe superar una longitud total de 255 caracteres.

Si agrega un subdominio adicional, debe verificar el subdominio o el dominio. Por ejemplo, supongamosque tenía a.example.com, y verifica example.com. Ahora agrega b.example.com como nombre de DNS

332

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpcEndpoints.html

https://tools.ietf.org/html/rfc1034#section-3.6

Amazon Virtual Private Cloud Guía del usuarioVerificación de nombres de DNS privadosde servicio de punto de enlace de la VPC

privado. Debe verificar example.com o b.example.com antes de que sus consumidores puedan usar elnombre.

• Los nombres de dominio deben estar en minúsculas.

Verificación de nombres de DNS privados de serviciode punto de enlace de la VPCSu dominio está asociado a un conjunto de registros de sistema de nombres de dominio (DNS) queadministra a través de su proveedor de DNS. Un registro TXT es un tipo de registro de DNS queproporciona información adicional acerca de su dominio. Cada registro TXT consta de un nombre y unvalor.

Cuando se inicia la verificación de la propiedad del dominio mediante la API o Consola de Amazon VPC, leproporcionamos el nombre y el valor que debe utilizar para el registro TXT. Por ejemplo, si su dominio esmyexampleservice.com, la configuración del registro TXT que se genere tendrá un aspecto similar al delsiguiente ejemplo:

Registro TXT de nombre de DNS privado del punto de enlace

Nombre de verificación dedominio

Tipo Valor de verificación de dominio

_vpce:aksldja21i1 TXT vpce:asjdakjshd78126eu21

Agregue un registro TXT al servidor DNS de su dominio utilizando el Domain verification name (Nombre deverificación de dominio) especificado y el Domain verification value (Valor de verificación de dominio). Laverificación de propiedad de dominio se completa cuando se detecta la existencia del registro TXT en laconfiguración de DNS de su dominio.

Si el proveedor de DNS no permite que los nombres de registros de DNS contengan guiones bajos,puede omitir _aksldja21i1 del Domain verification name (Nombre de verificación de dominio). En esecaso, para el ejemplo anterior, el nombre del registro TXT sería myexampleservice.com en lugar de_vpce:aksldja21i1.myexampleservice.com.

Añadir un registro TXT al servidor DNS de su dominioEl procedimiento para añadir registros TXT al servidor DNS de su dominio depende de quien proporcionesu servicio DNS. El proveedor de DNS podría ser Amazon Route 53 u otro registrador de nombres dedominio. En esta sección se proporcionan procedimientos para agregar un registro TXT a Route 53 yprocedimientos genéricos que se aplican a otros proveedores de DNS.

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. Seleccione Endpoint services (Servicios de punto de enlace).3. Seleccione el servicio de punto de enlace.4. En la ficha Details (Detalles) observe los valores que aparecen junto a Domain verification value (Valor

de verificación del dominio) y Domain verification name (Nombre de verificación del dominio).5. Si Route 53 proporciona el servicio DNS para el dominio que está verificando e inicia sesión en la

Consola de administración de AWS en la misma cuenta que utiliza para Route 53, se le ofrece laopción de actualizar su servidor DNS de inmediato desde la consola de Amazon VPC.

Si utiliza otro proveedor de DNS, los procedimientos para actualizar los registros DNS varían enfunción del proveedor de DNS o del alojamiento web que utilice. La tabla siguiente muestra enlacesa la documentación de diversos proveedores habituales. La lista no es exhaustiva y la inclusión enesta lista no supone ningún tipo de respaldo o recomendación de los productos o servicios de ninguna

333


Amazon Virtual Private Cloud Guía del usuarioModificación de un nombre de DNS privado

de servicio de punto de enlace existente

empresa. Si el proveedor no se muestra en la tabla, probablemente puede utilizar el dominio conpuntos de enlace.

Proveedor de alojamiento/DNS Enlace a la documentación

GoDaddy Añadir un registro TXT (enlace externo)

Dreamhost How do I add custom DNS records? (enlaceexterno)

Cloudflare Managing DNS records in CloudFlare (enlaceexterno)

HostGator Manage DNS Records with HostGator/eNom(enlace externo)

Namecheap How do I add TXT/SPF/DKIM/DMARC recordsfor my domain? (enlace externo)

Names.co.uk Changing your domains DNS Settings (enlaceexterno)

Wix Adding or Updating TXT Records in Your WixAccount (enlace externo)

Una vez finalizada la verificación, el estado del dominio en la Amazon VPC consola cambia dePending (Pendiente) a Verified (Verificado).

6. Ahora puede usar el nombre de dominio privado para el servicio de punto de enlace de la VPC.

Si la configuración de DNS no se actualiza correctamente, el estado del dominio muestra un estado defailed en la pestaña Details (Detalles). Si esto ocurre, realice los pasos de la página de resolución deproblemas de the section called “Solución de problemas comunes de verificación de dominio” (p. 338).Después de comprobar que el registro TXT se creó correctamente, vuelva a intentar la operación.

Modificación de un nombre de DNS privado deservicio de punto de enlace existentePuede modificar el nombre de DNS privado del servicio de punto de enlace para un servicio de punto deenlace nuevo o existente.

Para modificar un nombre de DNS privado de un servicio de punto de enlace mediante la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Endpoint Services (Servicios de punto de enlace).3. Seleccione el servicio de punto de enlace y a continuación elija Actions (Acciones), Modify private

DNS name (Modificar nombre de DNS privado).4. Seleccione Enable private DNS name (Habilitar nombre DNS privado) y, a continuación, en Private

DNS name (Nombre DNS privado), escriba el nombre de DNS privado.5. Elija Modify.

Después de actualizar el nombre, actualice la entrada del dominio en el servidor DNS. Comprobamosautomáticamente el servidor DNS para verificar que el registro existe en el servidor. Las actualizacionesde registro de DNS pueden tardar hasta 48 horas en surtir efecto, pero suelen hacerlo a menudo mucho

334

https://www.godaddy.com/help/add-a-txt-record-19232

https://help.dreamhost.com/hc/en-us/articles/215414867-How-do-I-add-custom-DNS-records-

https://support.cloudflare.com/hc/en-us/articles/360019093151

https://support.hostgator.com/articles/hosting-guide/lets-get-started/dns-name-servers/manage-dns-records-with-hostgatorenom

https://www.namecheap.com/support/knowledgebase/article.aspx/317/2237/how-do-i-add-txtspfdkimdmarc-records-for-my-domain

https://www.namecheap.com/support/knowledgebase/article.aspx/317/2237/how-do-i-add-txtspfdkimdmarc-records-for-my-domain

https://www.names.co.uk/support/1156-changing_your_domains_dns_settings.html

https://support.wix.com/en/article/adding-or-updating-txt-records-in-your-wix-account

https://support.wix.com/en/article/adding-or-updating-txt-records-in-your-wix-account


Amazon Virtual Private Cloud Guía del usuarioVisualización de la configuración de nombres

de DNS privados de servicio de punto de enlace

antes. Para obtener más información, consulte the section called “Registros TXT de verificación de dominiode nombres de DNS privados” (p. 336) y the section called “Verificación de nombres de DNS privados deservicio de punto de enlace de la VPC” (p. 333).

Para modificar el nombre de DNS privado del servicio de punto de enlace mediante la API o AWSCLI

• modify-vpc-endpoint-service-configuration• ModifyVpcEndpointServiceConfiguration

Visualización de la configuración de nombres de DNSprivados de servicio de punto de enlacePuede modificar el nombre de DNS privado del servicio de punto de enlace para un servicio de punto deenlace nuevo o existente.

Console

Para ver una configuración de nombres de DNS privados de servicio de punto de enlacemediante la consola


DNS name (Modificar nombre de DNS privado).4. La ficha Details (Detalles) muestra la siguiente información para la comprobación de propiedad

del dominio de DNS privado:

• Estado de verificación de dominio: estado de verificación.• Tipo de verificación de dominio: tipo de verificación.• Valor de verificación de dominio: valor de DNS.• Nombre de verificación de dominio: nombre del subdominio de registro.

AWS CLI

Use describe-vpc-endpoints.API

Use DescribeVpcEndpoints.

Inicio manual de la verificación de dominio de nombresde DNS privados de servicio de punto de enlace.El proveedor de servicios debe demostrar que es propietario del dominio de nombres de DNS privadoantes de que los consumidores puedan usar el nombre de DNS privado.

Console

Para iniciar el proceso de verificación del dominio de nombres de DNS privado mediante laconsola


335


https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpcEndpointServiceConfiguration.html



https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpcEndpoints.html


Amazon Virtual Private Cloud Guía del usuarioEliminación de un nombre de DNS

privado de servicio de punto de enlace

2. En el panel de navegación, elija Endpoint Services (Servicios de punto de enlace).3. Seleccione el servicio de punto de enlace y, a continuación, elija Actions (Acciones), Verify

domain ownership for Private DNS Name (Verificar propiedad de dominio para el nombre de DNSprivado).

4. Elija Verify (Verificar).

Si la configuración de DNS no se actualiza correctamente, el dominio mostrará un estado deerror en la ficha Details (Detalles) . Si esto ocurre, realice los pasos de la página de resoluciónde problemas de the section called “Solución de problemas comunes de verificación dedominio” (p. 338).

AWS CLI

Use start-vpc-endpoint-service-private-dns-verification.API

Use StartVpcEndpointServicePrivateDnsVerification.

Eliminación de un nombre de DNS privado de serviciode punto de enlacePuede quitar el nombre de DNS privado del servicio de punto de enlace solo después de que no hayaconexiones con el servicio.

Console

Para quitar un nombre de DNS privado de servicio de punto de enlace mediante la consola


DNS name (Modificar nombre de DNS privado).4. Desactive Enable private DNS name (Habilitar nombre de DNS privado) y a continuación

desactive el Private DNS name (Nombre de DNS privado).5. Elija Modify.

AWS CLI

Use modify-vpc-endpoint-service-configuration.API

Use ModifyVpcEndpointServiceConfiguration.

Registros TXT de verificación de dominio de nombresde DNS privados de Amazon VPCSu dominio está asociado a un conjunto de registros de sistema de nombres de dominio (DNS) queadministra a través de su proveedor de DNS. Un registro TXT es un tipo de registro de DNS que

336

https://docs.aws.amazon.com/cli/latest/reference/ec2/startVpcEndpointServicePrivateDnsVerification.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_StartVpcEndpointServicePrivateDnsVerification.html



https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpcEndpointServiceConfiguration.html

Amazon Virtual Private Cloud Guía del usuarioRegistros TXT de verificación de

dominio de nombres de DNS privados

proporciona información adicional acerca de su dominio. Cada registro TXT consta de un nombre y unvalor.

Cuando se inicia la verificación de la propiedad del dominio mediante la API o Consola de Amazon VPC,le proporcionamos el nombre y el valor que debe utilizar para el registro TXT. Por ejemplo, si su dominioes myexampleservice.com, la configuración del registro TXT que genera Amazon VPC tendrá un aspectosimilar al del siguiente ejemplo:

Registro TXT de nombre de DNS privado del punto de enlace

Nombre de verificación dedominio

Tipo Valor de verificación de dominio

_vpce:aksldja21i1 TXT vpce:asjdakjshd78126eu21

Añada un registro TXT al servidor DNS de su dominio utilizando los valores de Domain verificationname (Nombre de verificación del dominio y Domain verification value (Valor de verificación del dominio)especificados. La verificación de la propiedad del dominio de Amazon VPC se completa cuando AmazonVPC detecta la existencia del registro TXT en la configuración de DNS del dominio.

Si su proveedor de DNS no permite que los nombres de registro de DNS contengan guionesbajos, puede omitir _vpce:aksldja21i1 del nombre de verificación de dominio. En ese caso,para el ejemplo anterior, el nombre del registro TXT sería myexampleservice.com en lugar de_vpce:aksldja21i1.myexampleservice.com.

Puede encontrar información de resolución de problemas e instrucciones sobre cómo comprobar suconfiguración de verificación de propiedad de dominio en Solución de problemas comunes de verificaciónde dominios de DNS privados (p. 338).

Amazon Route 53

El procedimiento para añadir registros TXT al servidor DNS de su dominio depende de quienproporcione su servicio DNS. El proveedor de DNS podría ser Amazon Route 53 u otro registrador denombres de dominio. En esta sección se proporcionan procedimientos para agregar un registro TXT aRoute 53 y procedimientos genéricos que se aplican a otros proveedores de DNS.

Para añadir un registro TXT al registro de DNS de dominio administrado por Route 53

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. Seleccione Endpoint services (Servicios de punto de enlace).3. Seleccione el servicio de punto de enlace.4. En la ficha Details (Detalles) observe los valores que aparecen junto a Domain verification

value (Valor de verificación del dominio) y Domain verification name (Nombre de verificación deldominio).

5. Abra la consola de Route 53 en https://console.aws.amazon.com/route53/.6. En el panel de navegación, elija Hosted Zones.7. Seleccione el dominio al que desea agregar un registro TXT y, a continuación, elija Go to Record

Sets (Ir a conjuntos de registros).8. Luego, Create Record Set.9. En el panel Create Record Set (Crear conjunto de registros), seleccione las siguientes opciones:

a. En Name (Nombre), introduzca el Domain verification name (Nombre de verificación dedominio) del servicio de punto de enlace desde la consola Amazon VPC.

b. En Type (Tipo), elija TXT – Text (TXT – texto).c. En TTL (Seconds), escriba 1800.

337


https://console.aws.amazon.com/route53/

Amazon Virtual Private Cloud Guía del usuarioSolución de problemas comunes de verificación de dominio

d. En Value (Valor), introduzca el Domain verification value (Valor de verificación de dominio) enla consola Amazon VPC.

e. Seleccione Create.10. En la ficha Details (Detalles) de la página Servicios de punto de enlace (Endpoint services)

en la consola Amazon VPC, compruebe el valor de la columna Domain verification status(Estado de verificación del dominio) que aparece junto al punto de enlace. Si el estado es"pending verification" (verificación pendiente), espere unos minutos más y, a continuación,elija refresh (actualizar). Repita este proceso hasta que el valor de la columna de estado sea"verified" (verificado). Puede iniciar manualmente el proceso de verificación. Para obtener másinformación, consulte the section called “Inicio manual de la verificación de dominio de nombresde DNS privados de servicio de punto de enlace.” (p. 335).

Generic procedures for other DNS providers

Los procedimientos para agregar registros TXT a las configuraciones DNS varían de proveedor aotro. Para conocer los pasos específicos, consulte la documentación de su proveedor de DNS. Elprocedimiento de esta sección ofrece información general básica de los pasos que debe seguir paraagregar un registro TXT a la configuración de DNS de su dominio.

Para añadir un registro TXT al servidor DNS de su dominio (procedimiento general)

1. Vaya a la página web de su proveedor de DNS. Si no está seguro de qué proveedor de DNS sirvea su dominio, puede buscarlo mediante un servicio Whois gratuito.

2. En el sitio web del proveedor, inicie sesión en su cuenta.3. Busque la página para actualizar los registros DNS de su dominio. Esta página a menudo tiene un

nombre como, por ejemplo, DNS Records, DNS Zone File o Advanced DNS. Si no está seguro,consulte la documentación del proveedor.

4. Añada un registro TXT con el nombre y valor proporcionados por AWS.

Important

Algunos proveedores de DNS añaden automáticamente el nombre de dominio al final delos registros de DNS. Añadir un registro que ya contiene el nombre de dominio (como,por ejemplo _pmBGN/7Mjnf.example.com) podría dar lugar a la duplicación del nombrede dominio (como, por ejemplo _pmBGN/7Mjnfexample.com.example.com). Para evitarla duplicación del nombre de dominio, añada un punto al final del nombre de dominio enel registro de DNS. Esto indicará a su proveedor de DNS que el nombre de registro estácompleto (es decir, ya no está relacionado con el nombre de dominio) y evitará que elproveedor de DNS anexe un nombre de dominio adicional.

5. Guarde los cambios. Las actualizaciones de registro de DNS pueden tardar hasta 48 horas ensurtir efecto, pero suelen hacerlo a menudo mucho antes.

Solución de problemas comunes de verificación dedominios de DNS privadosPara comprobar un nombre de dominio de DNS privado de servicio de punto de enlace con Amazon VPC,inicie el proceso mediante la consola Amazon VPC o la API. Esta sección contiene información que puedeayudarle a resolver problemas con el proceso de verificación.

Problemas comunes de verificación de dominioSi intenta verificar un dominio y encuentra problemas, revise las posibles causas y las soluciones queaparecen a continuación.

338

http://www.google.com/search?aq=f&hl=en&q=whois+free&btnG=Search


• Está intentando verificar un dominio que no tiene. No puede verificar un dominio a menos que sea de supropiedad.

• El proveedor de DNS no permite guiones bajos en los nombres de registros TXT. Algunos proveedoresde DNS no le permiten incluir el carácter de guión bajo en los nombres de registro de DNS de sudominio. Si esto sucede con su proveedor, puede omitir _amazonvpc en el nombre del registro TXT.

• Su proveedor de DNS anexó el nombre de dominio al final del registro TXT. Algunos proveedores deDNS anexan automáticamente el nombre de su dominio al nombre de atributo del registro TXT. Porejemplo, si crea un registro cuyo nombre de atributo es _amazonvpc.example.com, el proveedor podríaañadir el nombre de dominio, lo que se traduce en _amazonvpc.example.com.example.com. Para evitarla duplicación del nombre de dominio, añada un punto al final del nombre de dominio al crear el registroTXT. Este paso indica al proveedor de DNS que no es necesario añadir el nombre de dominio al registroTXT.

• El proveedor de DNS modificó el valor del registro de DNS. Algunos proveedores modificanautomáticamente los valores del registro de DNS para utilizar sólo letras minúsculas. Solo verificamos sudominio cuando detecta un registro de verificación para el que el valor del atributo coincida exactamentecon el valor que proporcionamos cuando iniciaste el proceso de verificación de la propiedad del dominio.Si el proveedor de DNS de su dominio cambia los valores del registro TXT para utilizar letras minúsculasúnicamente, póngase en contacto con el proveedor de DNS para obtener ayuda.

• Quiere verificar el mismo dominio varias veces. Es posible que deba verificar su dominio más de unavez porque está enviando desde distintas regiones de AWS o porque está utilizando el mismo dominiopara enviar desde varias cuentas de AWS. Si su proveedor de DNS no permite tener más de un registroTXT con el mismo nombre de atributo, puede que aun así le sea posible verificar dos dominios. Si elproveedor de DNS lo permite, puede asignar varios valores de atributo al mismo registro TXT. Porejemplo, si Amazon Route 53 administra su DNS, puede configurar varios valores para el mismo registroTXT mediante los pasos siguientes:1. En la consola de Route 53, elija el registro TXT que creó cuando verificó el dominio en la primera

región.2. En el cuadro Value (Valor), vaya hasta el final del valor de atributo existente y, a continuación, pulse

Intro.3. Añada el valor de atributo para la región adicional y, a continuación, guarde el conjunto de registros.

Si su proveedor de DNS no le permite asignar varios valores al mismo registro TXT, puede verificarel dominio una vez con el valor en el nombre de atributo del registro TXT y otra vez sin el valor en elnombre de atributo. Por ejemplo, verifique con “_asnbcdasd” y luego con “asnbcdasd”. La desventaja deesta solución es que solo puede verificar el mismo dominio dos veces.

Cómo comprobar la configuración de la verificación de dominiosPuede comprobar que el registro TXT de verificación de la propiedad de dominio de nombres de DNSprivados se publica correctamente en el servidor DNS mediante el procedimiento siguiente. Esteprocedimiento utiliza la herramienta nslookup, que está disponible para Windows y Linux. En Linux,también puede utilizar dig.

Los comandos de estas instrucciones se ejecutaron en Windows 7 y el dominio de ejemplo que utilizamoses example.com.

En este procedimiento, primero encuentre los servidores de DNS que sirven a su dominio y, acontinuación, consulte los servidores para ver los registros TXT. Usted consulta los servidores DNS quesirven a su dominio porque dichos servidores contienen la información más actualizada para su dominio,que puede tardar tiempo en propagarse a otros servidores de DNS.

Para verificar que su registro TXT de verificación de propiedad de dominio se publica en suservidor DNS

1. Encuentre los servidores de nombres de su dominio siguiendo estos pasos.

339

http://en.wikipedia.org/wiki/Nslookup

http://en.wikipedia.org/wiki/Dig_(command)


a. Vaya a la línea de comando. Para acceder a la línea de comando en Windows 7, elija Start y, acontinuación, introduzca cmd. En los sistemas operativos basados en Linux, abra una ventana determinal.

b. En el símbolo del sistema, escriba lo siguiente, donde <domain> es su dominio.

nslookup -type=NS <domain>

Por ejemplo, si su dominio era example.com, el comando tendría el siguiente aspecto.

nslookup -type=NS example.com

La salida del comando enumerará los servidores de nombre que sirven a su dominio. Consultaráa uno de estos servidores en el siguiente paso.

2. Verifique que el registro TXT se ha publicado correctamente siguiendo estos pasos.

a. En el símbolo del sistema, escriba lo siguiente, donde <domain> es su dominio y <name server>es uno de los servidores de nombres que encontró en el paso 1.

nslookup -type=TXT _aksldja21i1.<domain> <name server>

En nuestro ejemplo _aksldja21i1.example.com, si un servidor de nombres que encontramos en elpaso 1 se llamara ns1.name-server.net, escribiríamos lo siguiente.

nslookup -type=TXT _aksldja21i1.example.com ns1.name-server.net

b. En la salida del comando, verifique que la cadena que sigue a text = coincide con el valor TXTque ve a la hora de elegir el dominio en la lista de identidades de la consola de Amazon VPC.

En nuestro ejemplo, estamos buscando un registro TXT en _aksldja21i1.example.com con unvalor de asjdakjshd78126eu21. Si el registro está publicado correctamente, esperaríamos queel comando tuviera la siguiente salida.

_aksldja21i1.example.com text = "asjdakjshd78126eu21"

340


Conexiones de VPNPuede conectar su Amazon VPC a redes y usuarios remotos usando las siguientes opciones deconectividad de VPN.

Opción de conectividadde VPN

Descripción

AWS Site-to-Site VPN Puede crear una conexión de VPN IPsec entre su VPC y su red remota.En el extremo de AWS de la conexión de Site-to-Site VPN, la gatewayprivada virtual proporciona dos puntos de enlace de VPN (túneles) parala conmutación por error automática. Configure su gateway de clienteen el lado remoto de la conexión de Site-to-Site VPN. Para obtener másinformación, consulte la Guía del usuario de AWS Site-to-Site VPN y la Guíapara administradores de red de AWS Site-to-Site VPN.

AWS Client VPN AWS Client VPN es un servicio VPN basado en cliente administrado quele permite obtener acceso de forma segura a sus recursos de AWS en lared local. Con AWS Client VPN se configura un punto de enlace al quese pueden conectar los usuarios para establecer una sesión de VPN TLSsegura. De este modo, los clientes pueden obtener acceso a los recursos enAWS o locales desde cualquier ubicación mediante un cliente VPN basadoen OpenVPN. Para obtener más información, consulte Guía del usuario deAWS Client VPN.

AWS VPN CloudHub Si tiene más de una red remota (por ejemplo, varias sucursales), podrá crearvarias conexiones de AWS Site-to-Site VPN a través de su gateway privadavirtual para habilitar la comunicación entre estas redes. Para obtener másinformación, consulte Comunicaciones seguras entre sitios mediante VPNCloudHub en la Guía del usuario de AWS Site-to-Site VPN.

Dispositivo de VPN porsoftware de terceros

Puede crear una conexión de VPN a su red remota mediante una instanciaAmazon EC2 de su VPC que ejecute un dispositivo de VPN por software deterceros. AWS no proporciona ni mantiene dispositivos de VPN por softwarede terceros; sin embargo, podrá elegir entre un rango de productos de sociosy comunidades de código fuente abierto. Puede buscar dispositivos de VPNpor software de terceros en AWS Marketplace.

También puede utilizar AWS Direct Connect para crear una conexión privada dedicada desde la redremota a su VPC. Esta conexión se puede combinar con una AWS Site-to-Site VPN para crear unaconexión con cifrado IPsec. Para obtener más información, consulte ¿Qué es AWS Direct Connect? en laGuía del usuario de AWS Direct Connect.

341




https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/what-is.html

https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/what-is.html

https://docs.aws.amazon.com/vpn/latest/s2svpn/VPN_CloudHub.html

https://docs.aws.amazon.com/vpn/latest/s2svpn/VPN_CloudHub.html

https://aws.amazon.com/marketplace/search/results/ref=brs_navgno_search_box?searchTerms=vpn

https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html

Amazon Virtual Private Cloud Guía del usuarioVPC y subredes

Cuotas de Amazon VPCLas tablas siguientes muestran las cuotas, antes llamadas límites, para recursos de Amazon VPC porregión para su cuenta de AWS. A menos que se indique lo contrario, puede solicitar un aumento para estascuotas. Para algunas de estas cuotas, puede consultar la cuota actual mediante la página Limits (Límites)de la consola de Amazon EC2.

Si solicita un aumento de cuota que se aplica a cada uno de los recursos, aumente la cuota para todos losrecursos de la región. Por ejemplo, la cuota de los grupos de seguridad por VPC se aplica a todas las VPCde la región.

VPC y subredesRecurso Valor

predeterminadoComentarios

VPC por región 5 La cuota de gateways de Internet por regiónestá directamente relacionada con este. Alaumentar esta cuota, aumenta la cuota degateways de Internet por región en la mismacantidad.

Puede tener centenares de VPC por regiónpara sus necesidades incluso aunque lacuota predeterminada sean 5 VPC porregión.

Subredes por VPC 200 -

Bloques de CIDR IPv4 por VPC 5 Este bloque de CIDR principal y todos losbloques de CIDR secundarios se tienen encuenta para esta cuota. Esta cuota se puedeaumentar hasta un máximo de 50.

Bloques de CIDR IPv6 por VPC 1 Esta cuota no puede incrementarse.

DNSPara obtener más información, consulte Cuotas de DNS (p. 278).

Direcciones IP elásticas (IPv4)Recurso Valor


Direcciones IP elásticas por región 5 Este es la cuota del número de direccionesIP elásticas que se pueden usar en EC2-

342


Amazon Virtual Private Cloud Guía del usuarioGateways

Recurso Valorpredeterminado

Comentarios

VPC. Para las direcciones IP elásticas parasu uso en EC2-Classic, consulte Puntos deenlace y cuotas en Amazon Elastic ComputeCloud en Referencia general de AmazonWeb Services.

GatewaysRecurso Valor


Gateways de cliente por región - Para obtener más información, consulteCuotas de Site-to-Site VPN en la Guía delusuario de AWS Site-to-Site VPN.

Gateways de Internet de solo salida porregión

5 Esta cuota se correlaciona directamentecon la cuota en las VPC por región. Paraaumentar esta cuota, aumente la cuota delas VPC por región. Solo puede adjuntar unagateway de Internet de solo salida a unaVPC a la vez.

Gateways de Internet por región 5 Esta cuota se correlaciona directamentecon la cuota en las VPC por región. Paraaumentar esta cuota, aumente la cuota delas VPC por región. Solo se puede adjuntarun puerto de enlace a Internet a una VPC ala vez.

Gateways NAT por zona de disponibilidad 5 Una gateway NAT con el estado pending,active o deleting cuenta al calcular lacuota.

Gateways privadas virtuales por región - Para obtener más información, consulteCuotas de Site-to-Site VPN en la Guía delusuario de AWS Site-to-Site VPN.

ACL de redRecurso Valor


ACL de red por VPC 200 Puede asociar una ACL de red de una ovarias subredes de una VPC. Esta cuota noes lo mismo que el número de reglas porACL de red.

Reglas por ACL de red 20 Esta es la cuota unidireccional para una solared ACL, donde la cuota para las reglas de

343

https://docs.aws.amazon.com/general/latest/gr/ec2-service.html



https://docs.aws.amazon.com/vpn/latest/s2svpn/vpn-limits.html


Amazon Virtual Private Cloud Guía del usuarioInterfaces de red


Comentarios

entrada es 20 y la cuota para las de salidaes 20. Esta cuota incluye las reglas tantoIPv4 como IPv6, así como las reglas dedenegación predeterminada (número deregla 32767 para IPv4 y 32768 para IPv6,o un asterisco* en la consola de AmazonVPC).

Esta cuota puede aumentarse hasta unmáximo de 40; sin embargo, el desempeñode la red puede verse afectado debidoal aumento de la carga de trabajo paraprocesar las reglas adicionales.

Interfaces de red


Comentarios

Interfaces de red por instancia - Esta cuota varía según el tipo de instancia.Para obtener más información, consulteDirecciones IP por interfaz de red por tipo deinstancia.

Interfaces de red por región 5000 -

Tablas de ruteo


Comentarios

Tablas de rutas por VPC 200 La tabla de ruteo principal cuenta para estacuota.

Rutas por tabla de rutas (rutas nopropagadas)

50 Puede aumentar esta cuota a un máximo de1000; no obstante, el rendimiento de la redpodría verse afectado. Esta cuota se aplicade forma independiente para las rutas IPv4e IPv6.

Si tiene más de 125 rutas, para conseguirun mejor rendimiento, le recomendamos quepagine las llamadas para describir las tablasde ruteo.

Rutas anunciadas de BGP por tabla de rutas(rutas propagadas)

100 Esta cuota no puede incrementarse. Sinecesita más de 100 prefijos, anuncie unaruta predeterminada.

344



Amazon Virtual Private Cloud Guía del usuarioGrupos de seguridad

Grupos de seguridad


Comentarios

Grupos de seguridad de VPC por región 2 500 Si tiene más de 5000 grupos de seguridaden una región, para conseguir un mejorrendimiento, le recomendamos que paginelas llamadas para describir los grupos deseguridad.

Reglas entrantes o salientes por grupo deseguridad

60 Puede tener 60 reglas entrantes y 60salientes por grupo de seguridad (lo quesuma un total de 120 reglas). Esta cuotase aplica de manera individual para lasreglas IPv4 e IPv6. Por ejemplo, un grupo deseguridad puede tener 60 reglas entrantespara el tráfico IPv4 y 60 reglas entrantespara el tráfico IPv6. Una regla que hacereferencia a un grupo de seguridad o ID delista de prefijos cuenta como una regla paraIPv4 y una regla para IPv6.

Se aplica un cambio de cuota tanto a lasreglas de entrada como a las de salida.Esta cuota multiplicada por la cuota paragrupos de seguridad por interfaz de red nopuede ser superior a 1000. Por ejemplo, siaumenta esta cuota a 100, reduciremos lacuota correspondiente al número de gruposde seguridad por interfaz de red a 10.

Grupos de seguridad por interfaz de red 5 El máximo es 15. Esta cuota se aplica deforma independiente para las reglas IPv4 eIPv6. La cuota para los grupos de seguridadpor interfaz de red multiplicado por la cuotapara las reglas por grupo de seguridadno puede superar 1000. Por ejemplo, siaumenta esta cuota a 10, reduciremos lacuota correspondiente al número de reglaspor grupo de seguridad a 100.

Interconexiones de VPC


Comentarios

Interconexiones de VPC activas por VPC 50 La cuota máxima es de 125 interconexionespor VPC. El número de entradas por tablade rutas debe aumentarse en consecuencia;sin embargo, el desempeño de la red podríaverse afectado.

345

Amazon Virtual Private Cloud Guía del usuarioPuntos de conexión de la VPC


Comentarios

Solicitudes de interconexión de VPCpendientes

25 Esta es la cuota para el número desolicitudes de interconexión de VPCpendientes que ha solicitado desde sucuenta.

Tiempo de caducidad de una solicitud deinterconexión de VPC no aceptada

1 semana(168horas)

Esta cuota no puede incrementarse.

Puntos de conexión de la VPC


Comentarios

Puntos de enlace de la VPC de tipo gatewaypor región

20 No puede tener más de 255 puntos deenlace de gateway por VPC.

Puntos de conexión de VPC por VPC 50 Esta es la cuota para el número máximode puntos de enlace en una VPC. Paraaumentar esta cuota, póngase en contactocon AWS Support.

Conexiones de AWS Site-to-Site VPNPara obtener más información, consulte Cuotas de Site-to-Site VPN en la Guía del usuario de AWS Site-to-Site VPN.

Uso compartido de VPCTodas las cuotas de VPC estándar se aplican a una VPC compartida.


Comentarios

Número de cuentas distintas con las que sepuede compartir una VPC

100 Este es la cuota de cuentas de participantesdistintas con las que se pueden compartirlas subredes en una VPC. Esto es segúnla cuota de VPC y se aplica en todas lassubredes compartidas en una VPC. AWSle recomienda paginar las llamadas ala API DescribeSecurityGroups y DescribeNetworkInterfaces antes desolicitar una ampliación de esta cuota. Paraaumentar esta cuota, póngase en contactocon AWS Support.

346


Amazon Virtual Private Cloud Guía del usuarioUso compartido de VPC


Comentarios

Número de subredes que se puedencompartir con una cuenta

100 Esta es la cuota para el número máximode subredes que se pueden compartircon una cuenta de AWS. AWS lerecomienda paginar las llamadas a laAPI DescribeSecurityGroups yDescribeSubnets antes de solicitar unaampliación de esta cuota. Para aumentaresta cuota, póngase en contacto con AWSSupport.

347


Historial de revisiónEn la tabla siguiente, se describen los cambios importantes de cada versión de Guía del usuario deAmazon VPC, Amazon VPC Peering Guide y Guía para administradores de red de AWS Site-to-Site VPN.

Característica Versión de API Descripción Fecha dela versión

Configuracióndel grupo debordes de red

15/11/2016 Puede configurar grupos de bordes de red paralas VPC desde la consola de Amazon VPC. Paraobtener más información, consulte the sectioncalled “Asociación de un bloque de CIDR IPv6 a suVPC” (p. 84).

22 deenero de2020

Nombre de DNSprivado

15/11/2016 Ahora puede obtener acceso a los serviciosbasados en AWS PrivateLink de forma privadadesde su VPC mediante nombres DNS privados.Para obtener más información, consulte the sectioncalled “Nombre de DNS privado” (p. 331).

6 de enerode 2020

Tablas de ruteode gateway

15/11/2016 Puede asociar una tabla de ruteo a una gateway ydirigir el tráfico entrante de la VPC a una interfazde red específica en su VPC. Para obtenermás información, consulte Tablas de ruteo degateway (p. 217).

3 dediciembrede 2019

Mejoras de logsde flujo

15/11/2016 Puede especificar un formato personalizadopara su log de flujo y elegir qué campos devolveren los registros de logs de flujo. Para obtenermás información, consulte Logs de flujo deVPC (p. 141).

11 deseptiembrede 2019

Interconexiónentre regiones

15/11/2016 La resolución de nombres de host DNS se admitepara las interconexiones de VPC entre regiones enRegión Asia Pacífico (Hong Kong). Para obtenermás información, consulte la Amazon VPC PeeringGuide.

26 deagosto de2019

AWS Site-to-Site VPN

15/11/2016 Se ha trasladado el contenido de la VPNadministrada por AWS (ahora se denomina AWSSite-to-Site VPN) a la Guía del usuario de AWSSite-to-Site VPN.


Uso compartidode VPC

15/11/2016 Puede compartir las subredes que se encuentranen la misma VPC con varias cuentas en la mismaorganización de AWS.

27 denoviembrede 2018

Interconexiónentre regiones

15/11/2016 Puede crear una interconexión de VPC entreVPC de distintas regiones. Para obtener másinformación, consulte la Amazon VPC PeeringGuide.


Serviciosde punto deconexión de laVPC

15/11/2016 Puede crear su propio servicio PrivateLink en unaVPC y permitir a otras cuentas y usuarios de AWSconectar con ese servicio a través de un punto deconexión de VPC de tipo interfaz. Para obtener


348









más información, consulte Servicios de punto deenlace de la VPC (AWS PrivateLink) (p. 319).

Crear subredpredeterminada

15/11/2016 Si una zona de disponibilidad no tienen una subredpredeterminada, puede crearla. Para obtener másinformación, consulte Creación de una subredpredeterminada (p. 99).


Interfaz depuntos deconexión deVPC paraservicios deAWS

15/11/2016 Puede crear un punto de conexión de interfaz paraconectar de forma privada con algunos serviciosde AWS. Un punto de conexión de interfaz es unainterfaz de red con una dirección IP privada quesirve como punto de entrada al tráfico dirigido alservicio. Para obtener más información, consultePuntos de conexión de la VPC (p. 287).


ASNpersonalizado

15/11/2016 Al crear una gateway privada virtual, puedeespecificar el número de sistema autónomo (ASN)privado en el lado de Amazon de la gateway.Para obtener más información, consulte Gatewayprivada virtual en la Guía del usuario de AWS Site-to-Site VPN.

10 deoctubre de2017

Opciones detúnel de VPN

15/11/2016 Puede especificar bloques de CIDR de túnelinterior y claves compartidas previamentepersonalizadas para sus túneles de VPN. Paraobtener más información, consulte Configuraciónde los túneles de VPN para la conexión de Site-to-Site VPN e Información general de configuraciónde una conexión de Site-to-Site VPN en la Guíapara administradores de red de AWS Site-to-SiteVPN.

3 deoctubre de2017

Categorías deVPN

15/11/2016 Puede ver la categoría de su conexión de VPN.Para obtener más información, consulte Categoríasde AWS Site-to-Site VPN.

3 deoctubre de2017

Compatibilidadde etiquetadopara lasgateways NAT

15/11/2016 Puede etiquetar su gateway NAT. Para obtenermás información, consulte Etiquetado de unagateway NAT (p. 249).


Métricasde AmazonCloudWatchpara gatewaysNAT

15/11/2016 Puede ver las métricas de CloudWatch de sugateway NAT. Para obtener más información,consulte Monitorización de gateways de NAT conAmazon CloudWatch (p. 249).


Descripcionesde regla degrupo deseguridad

15/11/2016 Puede agregar descripciones a sus reglas degrupo de seguridad. Para obtener más información,consulte Reglas del grupo de seguridad (p. 169).

31 deagosto de2017

349

https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html#VPNGateway

https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html#VPNGateway

https://docs.aws.amazon.com/vpn/latest/s2svpn/VPNTunnels.html



https://docs.aws.amazon.com/vpc/latest/adminguide/Introduction.html#Summary

https://docs.aws.amazon.com/vpc/latest/adminguide/Introduction.html#Summary

https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html#vpn-categories

https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html#vpn-categories



Bloques deCIDR IPv4secundariospara su VPC

15/11/2016 Puede agregar varios bloques de CIDR IPv4a su VPC. Para obtener más información,consulte Adición de bloques de CIDR IPv4 a unaVPC (p. 76).

29 deagosto de2017

Puntos deconexión dela VPC paraDynamoDB

15/11/2016 Puede obtener acceso a Amazon DynamoDBdesde su VPC mediante puntos de conexiónde VPC. Para obtener más información,consulte PUntos de conexión para AmazonDynamoDB (p. 311).

16 deagosto de2017

Recuperar lasdirecciones IPelásticas

15/11/2016 Si libera una dirección IP elástica, es posible quepueda recuperarla. Para obtener más información,consulte Uso de direcciones IP elásticas (p. 282).

11 deagosto de2017

Crear una VPCpredeterminada

15/11/2016 Puede crear una VPC predeterminada si eliminala VPC predeterminada existente. Para obtenermás información, consulte Creación de una VPCpredeterminada (p. 98).

27 de juliode 2017

Métricas deVPN

15/11/2016 Puede ver las métricas de CloudWatch desus conexiones de VPN. Para obtener másinformación, consulte Monitorización de laconexión de Site-to-Site VPN.

15 demayo de2017

Compatibilidadcon IPv6

15/11/2016 Puede asociar un bloque de CIDR IPv6 a su VPCy asignar direcciones IPv6 a los recursos de suVPC. Para obtener más información, consulteDirecciones IP en su VPC (p. 101).


Soporte parala resoluciónde DNS pararangos dedirecciones IPdistintos de RFC1918

Ahora, el servidor DNS de Amazon puede resolvernombres de host DNS privados en direcciones IPprivadas para todos los espacios de direcciones.Para obtener más información, consulte Utilizaciónde DNS con su VPC (p. 276).

24 deoctubre de2016

Soporte parala resoluciónde DNS para lainterconexión deVPC

01/04/2016 Puede habilitar una VPC local para resolvernombres de host DNS públicos en direcciones IPprivadas al consultar desde instancias en la VPCdel mismo nivel. Para obtener más información,consulte la sección sobre modificación de lasopciones de conexión de interconexión de VPC enla Amazon VPC Peering Guide.

28 de juliode 2016

Reglas antiguasde los grupos deseguridad

01/10/2015 Puede identificar si se está haciendo referencia asu grupo de seguridad en las reglas de un grupode seguridad de una VPC del mismo nivel, ypuede identificar las reglas antiguas del grupo deseguridad. Para obtener más información, consulteUso de reglas de grupo de seguridad obsoletas enla Amazon VPC Peering Guide.

12 demayo de2016

350

https://docs.aws.amazon.com/vpn/latest/s2svpn/monitoring-overview-vpn.html

https://docs.aws.amazon.com/vpn/latest/s2svpn/monitoring-overview-vpn.html

https://docs.aws.amazon.com/vpc/latest/peering/working-with-vpc-peering.html#modify-peering-connections

https://docs.aws.amazon.com/vpc/latest/peering/working-with-vpc-peering.html#modify-peering-connections

https://docs.aws.amazon.com/vpc/latest/peering/working-with-vpc-peering.html#vpc-peering-stale-groups



Uso deClassicLink através de unainterconexión deVPC

01/10/2015 Puede modificar su interconexión de VPC parapermitir que las instancias locales vinculadas deEC2-Classic se comuniquen con las instancias deuna VPC del mismo nivel y viceversa. Para obtenermás información, consulte Configuraciones conClassicLink en la Amazon VPC Peering Guide.

26 de abrilde 2016

Gateways NAT 01/10/2015 Puede crear una gateway NAT en una subredpública y habilitar las instancias en una subredprivada para iniciar el tráfico saliente a Internetu otros servicios de AWS. Para obtenermás información, consulte Puerta de enlaceNAT (p. 243).


Mejoras de VPN 15/04/2015 La conexión de VPN ahora admite la funciónde cifrado AES de 256 bits, la función de hashSHA-256, NAT traversal y los grupos Diffie-Hellman adicionales durante las fases 1 y 2 dela conexión. Además, podrá utilizar la mismadirección IP de gateway de cliente para cadaconexión de VPN que utilice el mismo dispositivode gateway de cliente.

28 deoctubre de2015

Logs de flujo deVPC

15/04/2015 Puede crear un log de flujo para capturarinformación acerca del tráfico IP entrante ysaliente de las interfaces de red de su VPC. Paraobtener más información, consulte Logs de flujo deVPC (p. 141).

10 de juniode 2015

Puntos deconexión de laVPC

01/03/2015 Un punto de enlace le permite crear una conexiónprivada entre su VPC y otro servicio de AWSsin necesidad de acceder a través de Internet,a través de una instancia NAT, una conexión deVPN o AWS Direct Connect. Para obtener másinformación, consulte Puntos de conexión de laVPC (p. 287).

11 demayo de2015

ClassicLink 01/10/2014 Con ClassicLink, puede enlazar su instancia deEC2-Classic a una VPC de su cuenta. Puedeasociar los grupos de seguridad de VPC a lainstancia de EC2-Classic, para hacer posible lacomunicación entre su instancia de EC2-Classic ylas instancias de su VPC que usan direcciones IPprivadas. Para obtener más información, consulteClassicLink (p. 284).

7 de enerode 2015

Utilizaciónde zonashospedadasprivadas

01/09/2014 Puede obtener acceso a los recursos de suVPC utilizando nombres de dominio DNSpersonalizados que defina en una zonahospedada privada en Route 53. Para obtenermás información, consulte Utilización de zonashospedadas privadas (p. 280).


351





Modificación deun atributo deasignación dedirecciones IPpúblicas de unasubred

15/06/2014 Puede modificar el atributo de asignación dedirecciones IP públicas de su subred paraidentificar si las instancias lanzadas en esa subreddeberían recibir una dirección IP pública. Paraobtener más información, consulte Modificacióndel atributo de direcciones IPv4 públicas de susubred (p. 105).

21 de juniode 2014

Interconexióncon VPC

01/02/2014 También puede crear una interconexión VPCentre dos VPC, lo que permitirá a las instanciasde las dos VPC comunicarse entre sí utilizandodirecciones IP privadas, como si estuvieran enla misma VPC. Para obtener más información,consulte Interconexión de VPC (p. 280).

24 demarzo de2014

Nuevo asistentede lanzamientode EC2

01/10/2013 Se ha añadido información acerca del asistentede lanzamiento de EC2 rediseñado. Para obtenermás información, consulte the section called“Información general” (p. 22).

10 deoctubre de2013

Asignación deuna dirección IPpública

15/07/2013 Se ha añadido información acerca de una nuevacaracterística de asignación de direccionesIP públicas para instancias lanzadas en unaVPC. Para obtener más información, consulteAsignación de una dirección IPv4 pública duranteel lanzamiento de la instancia (p. 105).

20 deagosto de2013

Habilitaciónde nombresde host DNS ydeshabilitaciónde resoluciónDNS

01/02/2013 De forma predeterminada, la resolución deDNS está habilitada. Ahora puede deshabilitarla resolución de DNS utilizando la consola deAmazon VPC, la interfaz de línea de comandos deAmazon EC2 o las acciones de API de AmazonEC2.

De forma predeterminada, los nombres de hostDNS están deshabilitados para VPC que noson predeterminadas. Ahora puede habilitar losnombres de host DNS utilizando la consola deAmazon VPC, la interfaz de línea de comandos deAmazon EC2 o las acciones de API de AmazonEC2.

Para obtener más información, consulte Utilizaciónde DNS con su VPC (p. 276).

11 demarzo de2013

Conexiones deVPN medianteconfiguración dedireccionamientoestático

15/08/2012 Puede crear conexiones de VPN de IPsec aAmazon VPC utilizando configuraciones dedireccionamiento estático. Anteriormente, lasconexiones de VPN requerían el uso del protocolode gateway fronteriza (BGP). Ahora admitimosambos tipos de conexiones y podrá establecerconectividad desde dispositivos que no soncompatibles con BGP, incluidos Cisco ASA yMicrosoft Windows Server 2008 R2.


352



Propagación deruta automática

15/08/2012 Ahora puede configurar la propagación automáticade rutas desde su VPN y enlaces de DirectConnect a sus tablas de ruteo de VPC. Estacaracterística simplifica el esfuerzo de crear ymantener conectividad a Amazon VPC.


AWS VPNCloudHub yconexionesde VPNredundantes

Puede comunicarse de forma segura de un sitio aotro con y sin VPC. Puede utilizar conexiones deVPN redundantes para proporcionar una conexióntolerante a errores a su VPC.


VPC en todaspartes

15/07/2011 Soporte en cinco regiones de AWS, VPC en variaszonas de disponibilidad, varias VPC por cuentade AWS, varias conexiones de VPN por VPC,Microsoft Windows Server 2008 R2 e instanciasreservadas de Microsoft SQL Server.

03 deagosto de2011

Instanciasdedicadas

28/02/2011 Las instancias dedicadas son instancias AmazonEC2 lanzadas en su VPC que se ejecutanen hardware dedicado a un solo cliente. Lasinstancias dedicadas le permiten aprovecharpor completo las ventajas del aprovisionamientoelástico de AWS y Amazon VPC, pagar solo por loque usa, y una red virtual privada y aislada, todoello a la vez que aísla sus instancias en el nivel dehardware.

27 demarzo de2011

353

Documents

Amazon Virtual Private Cloud...Amazon Virtual Private Cloud Guía del usuario Ampliación de los recursos de VPC a las zonas locales de AWS 72 Subredes en AWS Outposts 72