# Conexión con instancias EC2
Su instancia de Amazon EC2 es un servidor virtual en la Nube de AWS. Para iniciar sesión en su instancia, debe establecer una conexión con la instancia. La forma de conectarse a la instancia depende del sistema operativo de la instancia y del sistema operativo del equipo que utilice para conectarse a la instancia. En la siguiente tabla, se detallan los requisitos de cada método de conexión.
| Opción de conexión | Sistema operativo de la instancia | Regla de tráfico de entrada | Permisos de IAM | Rol de perfil de instancia | Software de la instancia | Software del sistema de conexión | Par de claves |
| --- | --- | --- | --- | --- | --- | --- | --- |
| Cliente SSH | Linux | Sí | No | No | No | Sí | Sí |
| EC2 Instance Connect | Linux | Sí | Sí | No | Sí¹ | No | No |
| PuTTY | Linux | Sí | No | No | No | Sí | Sí |
| Cliente RDP | Windows | Sí | No | No | No | Sí | Sí² |
| Fleet Manager | Windows | No | Sí | Sí | Sí¹ | No | Sí |
| Administrador de sesiones | Linux, Windows | No | Sí | Sí | Sí¹ | No | No |
| Punto de conexión de EC2 Instance Connect | Linux, Windows | Sí | Sí | No | No | No | Núm. ³ |
¹ El software necesario solo viene preinstalado en algunas AMI. Puede instalar el software necesario de forma manual según corresponda en los sistemas operativos compatibles.
² El par de claves solo es necesario si utiliza la contraseña generada de forma aleatoria para la cuenta de usuario del administrador local.
³ Se requiere un par de claves si utiliza el método de conexión SSH.
Para obtener más información, consulte la documentación de la opción de conexión que desee utilizar.
**Opciones de conexión**
+ [Conexión a la instancia de Linux mediante un cliente SSH](connect-linux-inst-ssh.md)
+ [Conectarse a la instancia de Linux mediante PuTTY](connect-linux-inst-from-windows.md)
+ [Conexión a la instancia de Windows mediante un cliente RDP](connect-rdp.md)
+ [Conexión a la instancia de Windows mediante Fleet Manager](connect-rdp-fleet-manager.md)
+ [Conexión mediante el Administrador de sesiones](connect-with-systems-manager-session-manager.md)
+ [Conexión mediante una IP pública e EC2 Instance Connect](connect-linux-inst-eic.md)
+ [Conexión mediante una IP privada y el punto de conexión de EC2 Instance Connect](connect-with-ec2-instance-connect-endpoint.md)
# Requisitos previos generales de conexión
A continuación, se indican los requisitos previos generales para conectarse a una instancia. Tenga en cuenta que puede haber requisitos previos adicionales específicos para la opción de conexión que elija.
**Requisitos previos generales**
+ Verifique que su instancia ha pasado las comprobaciones de estado. Puede que transcurran unos minutos hasta que la instancia esté lista para aceptar solicitudes de conexión. Para obtener más información, consulte [Ver comprobaciones de estado](viewing_status.md).
+ [Obtenga los detalles necesarios de la instancia](#connection-prereqs-get-info-about-instance).
+ [Busque la clave privada y establezca permisos.](#connection-prereqs-private-key).
+ [(Opcional) Obtenga la huella digital de la instancia](#connection-prereqs-fingerprint).
## Obtenga los detalles necesarios de la instancia
Para prepararse para conectarse a su instancia, obtenga la siguiente información de la consola de Amazon EC2 o mediante la línea de comando.
![\[El panel instancias de la consola de Amazon EC2.\]](http://docs.aws.amazon.com/es_es/AWSEC2/latest/UserGuide/images/connection-prereqs-console2.png)
+ **Obtenga el nombre de DNS público de la instancia.**
Puede obtener el DNS público para su instancia de la consola de Amazon EC2. Compruebe la columna **DNS de IPv4 público** del panel **instancias**. Si esta columna está oculta, elija el icono de configuración ( ![\[The gear icon.\]](http://docs.aws.amazon.com/es_es/AWSEC2/latest/UserGuide/images/settings-icon.png) ) en la esquina superior derecha de la pantalla y seleccione **DNS de IPv4 público**. También puede encontrar el DNS público en la sección de información de instancias del panel **instancias**. Al seleccionar la instancia en el panel **instancias** de la consola de Amazon EC2, la información sobre esa instancia aparecerá en la mitad inferior de la página. En la pestaña **Detalles**, busque **DNS de IPv4 público**.
Si lo prefiere, puede usar los comandos [Describir instancias](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instances.html) (AWS CLI) o el comando [Obtener instancia de EC2](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Instance.html) (AWS Tools for Windows PowerShell).
Si no se muestra ningún **DNS de IPv4 público**, compruebe que el **estado de la instancia** esté **en ejecución** y que no la haya iniciado en una subred privada. Si lanzó la instancia mediante el [asistente de inicialización de instancias](ec2-launch-instance-wizard.md), es posible que haya editado el campo **Asignar automáticamente IP pública** en **Configuración de red** y haya modificado el valor a **Deshabilitar**. Si deshabilita la opción **Asignar automáticamente IP pública**, a la instancia no se le asignará una dirección IP pública cuando se lance.
+ **(Solo instancias IPv6) Obtener la dirección IPv6 de la instancia.**
Si asignó una dirección IPv6 a la instancia, puede conectarse opcionalmente a la instancia con su dirección IPv6, en lugar de con una dirección IPv4 pública o un nombre de host DNS IPv4 público. El equipo local debe tener una dirección IPv6 y estar configurado para usar IPv6. Puede obtener la dirección IPv6 para su instancia de la consola de Amazon EC2. Consulte la columna **IP de IPv6** del panel **instancias**. O bien, puede encontrar la dirección IPv6 en la sección de información de la instancia. Al seleccionar la instancia en el panel **instancias** de la consola de Amazon EC2, la información sobre esa instancia aparecerá en la mitad inferior de la página. En la pestaña **Detalles**, busque la **dirección IPv6**.
Si lo prefiere, puede usar los comandos [Describir instancias](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instances.html) (AWS CLI) o el comando [Obtener instancia de EC2](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Instance.html) (AWS Tools for Windows PowerShell). Para obtener información sobre IPv6, consulte [Direcciones IPv6](using-instance-addressing.md#ipv6-addressing).
+ **(Instancias de Linux) Obtenga el nombre de usuario de la instancia.**
Puede conectarse a la instancia mediante el nombre de usuario de su cuenta de usuario o el nombre de usuario predeterminado de la AMI que utilizó para iniciar la instancia.
+ **Obtener el nombre de usuario de su cuenta de usuario.**
Para obtener más información sobre cómo crear una cuenta de usuario, consulte [Administración de usuarios del sistema en la instancia de Amazon EC2 para Linux](managing-users.md).
+ **Obtenga el nombre de usuario predeterminado para la AMI que utilizó para iniciar la instancia.**
+ **Amazon Linux**: `ec2-user`
+ **CentOS**: `centos` o `ec2-user`
+ **Debian** – `admin`
+ **Fedora**: `fedora` o `ec2-user`
+ **FreeBSD**: `ec2-user`
+ **RHEL**: `ec2-user` o `root`
+ **SUSE**: `ec2-user` o `root`
+ **Ubuntu** – `ubuntu`
+ **Oracle** – `ec2-user`
+ **Bitnami** – `bitnami`
+ **Rocky Linux** – `rocky`
+ **Otro**: compruebe con el proveedor de la AMI
## Busque la clave privada y establezca permisos.
Debe conocer la ubicación del archivo de la clave privada para realizar la conexión inicial a una instancia de Linux mediante SSH o a instancias de Windows con RDP. Para las conexiones SSH, debe establecer los permisos del archivo para que solo usted pueda leer la clave privada.
Para obtener información sobre cómo funcionan los pares de claves cuando se utiliza Amazon EC2, consulte [Pares de claves e instancias de Amazon EC2](ec2-key-pairs.md).
+ **Busque la clave privada.**
Obtenga la ruta completa de la ubicación del archivo `.pem` en su equipo con el par de claves que especificó cuando lanzó la instancia. Para obtener más información, consulte [Identificación del par de claves públicas que se especificó en el lanzamiento](describe-keys.md#identify-key-pair-specified-at-launch).
Si no encuentra el archivo de clave privada, consulte [Perdí mi clave privada. ¿Cómo puedo conectarme a mi instancia?](TroubleshootingInstancesConnecting.md#replacing-lost-key-pair)
(Instancias de Linux) Si se conecta a la instancia mediante PuTTY y necesita convertir el archivo `.pem` a `.ppk`, consulte [Convierta su clave privada utilizando PuTTYgen](connect-linux-inst-from-windows.md#putty-private-key).
+ **(Instancias de Linux) Configurar los permisos de la clave privada para que solo usted pueda leerla.**
+ **Conectarse desde macOS o Linux**
Si tiene planeado usar un cliente SSH en un equipo macOS o Linux para conectarse a su instancia de Linux, utilice el comando a continuación para establecer los permisos de su archivo de clave privada de manera que solo usted pueda leerlo.
```
chmod 400 key-pair-name.pem
```
Si no configura estos permisos, no podrá conectarse a la instancia con este par de claves. Para obtener más información, consulte [Error: Unprotected Private Key File (Error: archivo de clave privada no protegido)](TroubleshootingInstancesConnecting.md#troubleshoot-unprotected-key).
+ **Conectarse desde Windows**
Abra el Explorador de archivos y haz clic con el botón derecho en el archivo `.pem`. Seleccione la **Propiedades** > pestaña **Seguridad** y elija **Avanzado**. Elija **Deshabilitar la herencia**. Elimine el acceso a todos los usuarios excepto al usuario actual.
## (Opcional) Obtenga la huella digital de la instancia
Si desea protegerse de ataques de tipo “Man in the middle”, puede verificar la huella dactilar que se muestra para comprobar la autenticidad de la instancia a la que está a punto de conectarse. La verificación de la huella dactilar es útil si lanzó la instancia desde una AMI pública proporcionada por un tercero.
**Descripción general de las tareas**
En primer lugar, obtenga la huella dactilar de la instancia. A continuación, cuando se conecte a la instancia y se le solicite que verifique la huella dactilar, compare la huella dactilar obtenida en este procedimiento con la huella dactilar que se muestra. Si las huellas digitales no coinciden, alguien podría intentar un ataque de intermediario. Si coinciden, puede conectarse con confianza a la instancia.
**Requisitos previos necesarios para obtener la huella digital de la instancia**
+ La instancia no debe tener el estado `pending`. La huella digital solo está disponible después de que se haya completado el primer arranque de la instancia.
+ Debe ser el propietario de la instancia para obtener la salida de la consola.
+ Hay varias formas de obtener la huella dactilar de la instancia. Si desea utilizar la AWS CLI, debe estar instalada en el equipo local. Para obtener más información sobre la instalación de la AWS CLI, consulte [Introducción a AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html) en la *Guía del usuario de AWS Command Line Interface*.
**Para obtener la huella digital de la instancia**
En el paso 1, obtiene la salida de la consola, que incluye la huella dactilar de la instancia. En el paso 2, busca la huella dactilar de la instancia en la salida de la consola.
1. Obtenga la salida de la consola con uno de los siguientes métodos.
------
#### [ Console ]
1. Abra la consola de Amazon EC2 en [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. En el navegador izquierdo, elija **instancias**.
1. Seleccione su instancia y luego elija **Acciones**, **Monitoreo y solución problemas**, **Obtener registro del sistema**.
------
#### [ AWS CLI ]
En el equipo local (no en la instancia con la que se establece conexión), utilice el comando [get-console-output](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-console-output.html). Si la salida es grande, [puede canalizarla a un archivo de texto](https://docs.aws.amazon.com/cli/latest/userguide/cli-usage-output-format.html) donde sea más fácil de leer.
```
aws ec2 get-console-output \
--instance-id i-1234567890abcdef0 \
--query Output \
--output text > temp.txt
```
------
#### [ PowerShell ]
En el equipo local, utilice el siguiente cmdlet [Get-EC2ConsoleOutput](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2ConsoleOutput.html).
```
$encodedOutput = (Get-EC2ConsoleOutput -InstanceId i-1234567890abcdef0).Output
[System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String($encodedOutput))
```
------
1. En la salida de la consola, busque la huella dactilar de la instancia (host), que se encuentra en `BEGIN SSH HOST KEY FINGERPRINTS`. Puede haber varias huellas dactilares de instancia. Cuando se conecte a su instancia, se mostrará solo una de las huellas dactilares.
El resultado exacto puede variar según el sistema operativo, la versión de AMI y si ha hecho que AWS cree los pares de claves. A continuación, se muestra un ejemplo del resultado.
```
ec2:#############################################################
ec2: -----BEGIN SSH HOST KEY FINGERPRINTS-----
ec2: 256 SHA256:l4UB/neBad9tvkgJf1QZWxheQmR59WgrgzEimCG6kZY no comment (ECDSA)
ec2: 256 SHA256:kpEa+rw/Uq3zxaYZN8KT501iBtJOIdHG52dFi66EEfQ no comment (ED25519)
ec2: 2048 SHA256:L8l6pepcA7iqW/jBecQjVZClUrKY+o2cHLI0iHerbVc no comment (RSA)
ec2: -----END SSH HOST KEY FINGERPRINTS-----
ec2: #############################################################
```
**nota**
Hará referencia a esta huella dactilar cuando se conecte a la instancia.
# Conexión a la instancia de Linux con SSH
Existen diversas maneras de conectarse a su instancia de Linux con SSH. Algunas varían según el sistema operativo del equipo local desde el que se conecte. Otros métodos están basados en el navegador, como EC2 Instance Connect o el Administrador de sesiones de AWS Systems Manager, y se pueden utilizar desde cualquier equipo. Puede utilizar SSH para conectarse a su instancia de Linux y ejecutar comandos o utilizar SSH para transferir archivos entre su equipo local y su instancia.
Antes de conectarse a la instancia de Linux mediante SSH, complete los siguientes requisitos previos:
+ Verifique que su instancia ha pasado las comprobaciones de estado. Puede que transcurran unos minutos hasta que la instancia esté lista para aceptar solicitudes de conexión. Para obtener más información, consulte [Ver comprobaciones de estado](viewing_status.md).
+ Asegúrese de que el grupo de seguridad asociado a la instancia permita el tráfico SSH que ingresa desde la dirección IP. Para obtener más información, consulte [Reglas para conectarse a las instancias desde un equipo](security-group-rules-reference.md#sg-rules-local-access).
+ [Obtenga los detalles necesarios de la instancia](connection-prereqs-general.md#connection-prereqs-get-info-about-instance).
+ [Busque la clave privada y establezca permisos.](connection-prereqs-general.md#connection-prereqs-private-key).
+ [(Opcional) Obtenga la huella digital de la instancia](connection-prereqs-general.md#connection-prereqs-fingerprint).
A continuación, elija una de las siguientes opciones para conectarse a su instancia de Linux mediante SSH.
+ [Conexión mediante un cliente de RDP](connect-linux-inst-ssh.md)
+ [Conexión mediante PuTTY](connect-linux-inst-from-windows.md)
+ [Transferir archivos mediante SCP](linux-file-transfer-scp.md)
Si no puede conectarse a la instancia y necesita asistencia para solucionar problemas, consulte [Solución de problemas de conexión a la instancia de Linux de Amazon EC2](TroubleshootingInstancesConnecting.md).
# Conexión a la instancia de Linux mediante un cliente SSH
Puede utilizar Secure Shell (SSH) para conectarse a la instancia de Linux desde el equipo local. Para obtener más información sobre otras opciones, consulte [Conexión con instancias EC2](connect.md).
**nota**
Si recibe un error al intentar conectarse a su instancia, asegúrese de que la instancia cumple con todos los [Requisitos previos para la conexión SSH](#ssh-prereqs-linux-from-linux-macos). Si cumple con todos los requisitos previos y sigue sin poder conectarse a su instancia de Linux, consulte [Solución de problemas de conexión a la instancia de Linux de Amazon EC2](TroubleshootingInstancesConnecting.md).
**Topics**
+ [
## Requisitos previos para la conexión SSH
](#ssh-prereqs-linux-from-linux-macos)
+ [
## Conexión a la instancia de Linux mediante un cliente SSH
](#connect-linux-inst-sshClient)
## Requisitos previos para la conexión SSH
Antes de conectarse a la instancia de Linux mediante SSH, complete las siguientes tareas.
**Complete los requisitos previos generales.**
+ Verifique que su instancia ha pasado las comprobaciones de estado. Puede que transcurran unos minutos hasta que la instancia esté lista para aceptar solicitudes de conexión. Para obtener más información, consulte [Ver comprobaciones de estado](viewing_status.md).
+ [Obtenga los detalles necesarios de la instancia](connection-prereqs-general.md#connection-prereqs-get-info-about-instance).
+ [Busque la clave privada y establezca permisos.](connection-prereqs-general.md#connection-prereqs-private-key).
+ [(Opcional) Obtenga la huella digital de la instancia](connection-prereqs-general.md#connection-prereqs-fingerprint).
**Permita el tráfico SSH entrante desde su dirección IP.**
Asegúrese de que el grupo de seguridad asociado a la instancia permita el tráfico SSH que ingresa desde la dirección IP. Para obtener más información, consulte [Reglas para conectarse a las instancias desde un equipo](security-group-rules-reference.md#sg-rules-local-access).
**Instale un cliente SSH en su equipo local (según sea necesario).**
Es posible que el equipo local tenga instalado un cliente SSH de forma predeterminada. Para comprobar esto, escriba el siguiente comando en una ventana del terminal. Si su equipo no reconoce el comando, debe instalar un cliente SSH.
```
ssh
```
A continuación, se muestran algunas opciones posibles para Windows. Si su equipo ejecuta un sistema operativo diferente, consulte la documentación de ese sistema operativo para ver las opciones del cliente SSH.
## Instale OpenSSH en Windows
Tras instalar OpenSSH en Windows, puede conectarse a la instancia de Linux desde su equipo de Windows mediante SSH. Antes de comenzar, asegúrese de que cumple con los siguientes requisitos.
**Versión de Windows**
La versión de Windows de su equipo debe ser Windows Server 2019 o posterior.
En su lugar, para las versiones anteriores de Windows, descargue e instale [Win32-OpenSSH](https://github.com/PowerShell/Win32-OpenSSH/wiki).
**Requisitos de PowerShell**
Para instalar OpenSSH en el sistema operativo Windows mediante PowerShell, debe ejecutar la versión 5.1 o una posterior de PowerShell, y su cuenta debe pertenecer al grupo de administradores integrado. Ejecute `$PSVersionTable.PSVersion` desde PowerShell para comprobar la versión de PowerShell.
Para comprobar si pertenece al grupo de administradores integrado, ejecute el siguiente comando de PowerShell:
```
(New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent())).IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator)
```
Si pertenece al grupo de administradores integrado, la salida es `True`.
Para instalar OpenSSH para Windows mediante PowerShell, ejecute el siguiente comando de PowerShell.
```
Add-WindowsCapability -Online -Name OpenSSH.Client~~~~0.0.1.0
```
A continuación, se muestra un ejemplo del resultado.
```
Path :
Online : True
RestartNeeded : False
```
Para desinstalar OpenSSH de Windows mediante PowerShell, ejecute el siguiente comando de PowerShell.
```
Remove-WindowsCapability -Online -Name OpenSSH.Client~~~~0.0.1.0
```
A continuación, se muestra un ejemplo del resultado.
```
Path :
Online : True
RestartNeeded : True
```
## Instalar Windows Subsystem para Linux (WSL)
Tras instalar WSL en Windows, puede conectarse a la instancia de Linux desde su equipo de Windows mediante las herramientas de línea de comandos de Linux, como un cliente SSH.
Siga las instrucciones en [Instalar el Windows Subsystem para Linux en su instancia de Windows de EC2](install-wsl-on-ec2-windows-instance.md). Si sigue las instrucciones de la guía de instalación de Microsoft, se instalará la distribución Ubuntu de Linux. Si lo prefiere, puede instalar una distribución de Linux diferente.
En una ventana de terminal de WSL, copie el archivo `.pem` (para el par de claves que especificó al lanzar la instancia) de Windows a WSL. Anote la ruta completa al archivo `.pem` en WSL que utilizar al conectar a la instancia. Para obtener información acerca de cómo especificar la ruta a su disco duro de Windows, consulte [How do I access my C drive?](https://learn.microsoft.com/en-us/windows/wsl/faq#how-do-i-access-my-c--drive-)
```
cp /mnt//path/my-key-pair.pem ~/WSL-path/my-key-pair.pem
```
Para obtener información sobre la desinstalación de Windows Subsystem for Linux, consulte [How do I uninstall a WSL Distribution?](https://learn.microsoft.com/en-us/windows/wsl/faq#how-do-i-uninstall-a-wsl-distribution-)
## Conexión a la instancia de Linux mediante un cliente SSH
Para conectarse a la instancia de Linux mediante un cliente SSH, use el siguiente procedimiento.
**Para conectarse a la instancia mediante un cliente SSH**
1. Abra una ventana del terminal en su equipo.
1. Utilice el comando **ssh** para conectarse a la instancia. Necesita los detalles de la instancia que recopiló como parte de los requisitos previos. Por ejemplo, necesita la ubicación de la clave privada (archivo `.pem`), el nombre de usuario y el nombre de DNS público o la dirección IPv6. A continuación, se muestran ejemplos de comandos.
+ (DNS público) Para utilizar el nombre de DNS público, escriba el siguiente comando.
```
ssh -i /path/key-pair-name.pem instance-user-name@instance-public-dns-name
```
+ (IPv6) Como alternativa, si la instancia tiene una dirección IPv6, escriba el siguiente comando para utilizar la dirección IPv6.
```
ssh -i /path/key-pair-name.pem instance-user-name@2001:db8::1234:5678:1.2.3.4
```
A continuación, se muestra un ejemplo de respuesta.
```
The authenticity of host 'ec2-198-51-100-1.compute-1.amazonaws.com (198-51-100-1)' can't be established.
ECDSA key fingerprint is l4UB/neBad9tvkgJf1QZWxheQmR59WgrgzEimCG6kZY.
Are you sure you want to continue connecting (yes/no)?
```
1. (Opcional) Verifique que la huella digital en la alerta de seguridad coincida con la huella digital. Si estas huellas digitales no coinciden, alguien podría intentar un ataque de intermediarios o man-in-the-middle. Si coinciden, continúe con el siguiente paso. Para obtener más información, consulte [Obtener la huella digital de la instancia](connection-prereqs-general.md#connection-prereqs-fingerprint).
1. Escriba **yes**.
Debería ver una respuesta como lo siguiente:
```
Warning: Permanently added 'ec2-198-51-100-1.compute-1.amazonaws.com' (ECDSA) to the list of known hosts.
```
# Conectarse a la instancia de Linux mediante PuTTY
Puede conectarse a la instancia de Linux mediante PuTTY, un cliente SSH gratuito para Windows.
Si ejecuta Windows Server 2019 o posterior, se recomienda utilizar OpenSSH, una herramienta de conectividad de código abierto para iniciar sesión de forma remota mediante el protocolo SSH.
**nota**
Si recibe un error al intentar conectarse a su instancia, asegúrese de que la instancia cumple con todos los [Requisitos previos para la conexión SSH](connect-linux-inst-ssh.md#ssh-prereqs-linux-from-linux-macos). Si cumple con todos los requisitos previos y sigue sin poder conectarse a su instancia de Linux, consulte [Solución de problemas de conexión a la instancia de Linux de Amazon EC2](TroubleshootingInstancesConnecting.md).
**Topics**
+ [
## Requisitos previos
](#putty-prereqs)
+ [Convierta su clave privada utilizando PuTTYgen](#putty-private-key)
+ [
## Conexión con la instancia de Linux
](#putty-ssh)
## Requisitos previos
Antes de conectarse a la instancia de Linux mediante PuTTY, complete las siguientes tareas.
**Complete los requisitos previos generales.**
+ Verifique que su instancia ha pasado las comprobaciones de estado. Puede que transcurran unos minutos hasta que la instancia esté lista para aceptar solicitudes de conexión. Para obtener más información, consulte [Ver comprobaciones de estado](viewing_status.md).
+ [Obtenga los detalles necesarios de la instancia](connection-prereqs-general.md#connection-prereqs-get-info-about-instance).
+ [Busque la clave privada y establezca permisos.](connection-prereqs-general.md#connection-prereqs-private-key).
+ [(Opcional) Obtenga la huella digital de la instancia](connection-prereqs-general.md#connection-prereqs-fingerprint).
**Permita el tráfico SSH entrante desde su dirección IP.**
Asegúrese de que el grupo de seguridad asociado a la instancia permita el tráfico SSH que ingresa desde la dirección IP. Para obtener más información, consulte [Reglas para conectarse a las instancias desde un equipo](security-group-rules-reference.md#sg-rules-local-access).
**Instale PuTTY en su equipo local (según sea necesario).**
Descargue e instale PuTTY desde la [página de descarga de PuTTY](https://www.chiark.greenend.org.uk/~sgtatham/putty/). Si ya tiene instalada una versión antigua de PuTTY, le recomendamos que descargue la última versión. Asegúrese de instalar el conjunto completo.
**Convierta su clave privada en el formato PPK mediante PuTTYgen.**
Debe especificar la clave privada para el par de claves que especificó cuando inició la instancia. Si creó la clave privada en formato .pem, debe convertirla en un archivo PPK para utilizarla con PuTTY. Busque la clave privada (archivo .pem) y, a continuación, siga los pasos en [Convierta su clave privada utilizando PuTTYgen](#putty-private-key).
## (Opcional) Convierta su clave privada mediante PuTTYgen.
PuTTY no admite de forma nativa el formato PEM para claves SSH. PuTTY proporciona una herramienta llamada PuTTYgen, la cual convierte claves al formato requerido PPK para PuTTY. Si creó la clave mediante el formato PEM en lugar del formato PPK, debe convertir su clave privada (archivo .pem) a este formato (archivo .ppk) para utilizarla con PuTTY.
**Para convertir una clave privada de PEM a formato PPK**
1. En el menú **Start (Inicio)**, elija **All Programs (Todos los programas)**, **PuTTY**, **PuTTYgen**.
1. En **Type of key to generate (Tipo de clave a generar)**, elija **RSA**. Si la versión de PuTTYGen no incluye esta opción, elija **SSH-2 RSA**.
![\[Clave RSA en PuTTYgen.\]](http://docs.aws.amazon.com/es_es/AWSEC2/latest/UserGuide/images/puttygen-key-type.png)
1. Elija **Load (Cargar)**. De forma predeterminada, PuTTYgen muestra solo archivos con la extensión `.ppk`. Para localizar el archivo `.pem`, seleccione la opción de mostrar todos los tipos de archivo.
![\[Seleccione todos los tipos de archivos.\]](http://docs.aws.amazon.com/es_es/AWSEC2/latest/UserGuide/images/puttygen-load-key.png)
1. Seleccione el archivo `.pem` para el par de claves que especificó cuando lanzó la instancia y, a continuación, elija **Open (Abrir)**. PuTTYgen muestra un aviso de que el archivo `.pem` se ha importado correctamente. Seleccione **OK**.
1. Elija **Save private key** (Guardar la clave privada) para guardar la clave en formato que PuTTY pueda utilizar. PuTTYgen mostrará una advertencia acerca de guardar la clave sin una frase de contraseña. Elija **Yes (Sí)**.
**nota**
Una contraseña de una clave privada es una capa adicional de protección. Incluso si se descubriera su clave privada, no se puede usar sin la contraseña. El inconveniente de usar una contraseña es que dificulta la automatización puesto que la intervención humana es necesaria para iniciar una sesión en una instancia o para copiar archivos en una instancia.
1. Especifique el mismo nombre para la clave que utilizó para el par de claves (por ejemplo `key-pair-name`) y elija **Save** (Guardar). PuTTY añade la extensión de archivo `.ppk` automáticamente.
La clave privada está ahora en el formato correcto para su uso con PuTTY. Ya puede conectarse a la instancia mediante el cliente SSH de PuTTY.
## Conexión con la instancia de Linux
Para conectarse a la instancia de Linux mediante PuTTY, use el siguiente procedimiento. Necesita el archivo `.ppk` que creó para la clave privada. Para obtener más información, consulte [(Opcional) Convierta su clave privada mediante PuTTYgen.](#putty-private-key) en la sección anterior. Si aparece un error al intentar conectarse a la instancia, consulte [Solución de problemas de conexión a la instancia de Linux de Amazon EC2](TroubleshootingInstancesConnecting.md).
**Última versión probada**: PuTTY .78
**Para conectarse a la instancia mediante PuTTY**
1. Inicie PuTTY (en el menú **Inicio**, busque **PuTTY** y, a continuación, elija **Abrir**).
1. En el panel **Category (Categoría)**, elija **Session (Sesión)** y rellene los siguientes campos:
1. En el cuadro **Host Name (Nombre de host)** siga uno de estos procedimientos:
+ (DNS público) Para conectarse utilizando el nombre DNS público de la instancia, escriba *instance-user-name*@*instance-public-dns-name*.
+ (IPv6) Como opción, si la instancia tiene una dirección IPv6, para conectarse utilizando la dirección IPv6 de su instancia, escriba *instance-user-name*@*2001:db8::1234:5678:1.2.3.4*.
Para obtener información acerca de cómo obtener el nombre de usuario de la instancia y el nombre de DNS público o la dirección IPv6 de la instancia, consulte [Obtenga los detalles necesarios de la instancia](connection-prereqs-general.md#connection-prereqs-get-info-about-instance).
1. Asegúrese de que el valor del **Port (Puerto)** es 22.
1. En **Connection type (Tipo de conexión)**, seleccione **SSH**.
![\[Configuración de PuTTY: sesión.\]](http://docs.aws.amazon.com/es_es/AWSEC2/latest/UserGuide/images/putty-session-config.png)
1. (Opcional) Puede configurar PuTTY para que envíe datos “keepalive” a intervalos regulares para mantener la sesión activa. Esto es útil para evitar desconectarse de su instancia por inactividad en la sesión. En el panel **Categoría**, elija **Conexión** y, a continuación, ingrese el intervalo deseado en el campo **Segundos entre keepalives**. Por ejemplo, si su sesión se desconecta tras 10 minutos de inactividad, escriba 180 para que PuTTY envíe datos “keepalive” cada 3 minutos.
1. En el panel **Categoría**, expanda **Conexión**, **SSH** y **Autenticación**. Elija **Credenciales**.
1. Junto a **Archivo de clave privada para la autenticación**, seleccione **Examinar**. En el cuadro de diálogo **Seleccionar archivo de clave privada**, seleccione el archivo `.ppk` que generó para su par de claves. Puede hacer doble clic en el archivo o seleccionar **Abrir** en el cuadro de diálogo **Seleccionar archivo de clave privada**.
1. (Opcional) Si tiene previsto volver a conectar esta sesión después de esta sesión, puede guardar la sesión informativa para usarla en el futuro. En el panel **Categoría**, seleccione **Sesión**. Ingrese un nombre para la sesión en **Sesiones guardadas** y, a continuación, elija **Guardar**.
1. Para conectarse a la instancia, seleccione **Abrir**.
1. Si esta es la primera vez que se conecta a esta instancia, PuTTY muestra un cuadro de diálogo de alerta de seguridad que le pregunta si tiene confianza en el host al que se está conectando.
1. (Opcional) Verifique que la huella digital en el cuadro de diálogo de la alerta de seguridad coincide con la huella digital que obtuvo anteriormente en [(Opcional) Obtenga la huella digital de la instancia](connection-prereqs-general.md#connection-prereqs-fingerprint). Si estas huellas digitales no coinciden, alguien podría intentar un ataque man-in-the-middle (MITM). Si coinciden, continúe con el siguiente paso.
1. Elija **Aceptar**. Se abre una ventana y está conectado a la instancia.
**nota**
Si especificó una frase de contraseña al convertir la clave privada al formato PuTTY, deberá indicar la contraseña cuando inicie sesión en la instancia.
Si aparece un error al intentar conectarse a la instancia, consulte [Solución de problemas de conexión a la instancia de Linux de Amazon EC2](TroubleshootingInstancesConnecting.md).
# Transferir archivos a instancias de Linux mediante SCP
Una de las formas de transferir archivos entre el equipo local y una instancia de Linux consiste en utilizar el protocolo de copia segura (SCP). SCP es una buena opción para operaciones sencillas, como copias de archivos puntuales. SCP protege las transferencias de archivos mediante el mismo archivo .pem que se utiliza para conectarse a una instancia mediante SSH. Si usted necesita mantener los archivos sincronizados, o si los archivos son grandes, **rsync** es más rápido y eficiente que SCP. Por motivos de seguridad, utilice **rsync** sobre SSH, ya que **rsync** transfiere los datos mediante texto sin formato de forma predeterminada.
Antes de conectarse a la instancia de Linux mediante SCP, complete las siguientes tareas:
+ **Complete los requisitos previos generales.**
+ Verifique que su instancia ha pasado las comprobaciones de estado. Puede que transcurran unos minutos hasta que la instancia esté lista para aceptar solicitudes de conexión. Para obtener más información, consulte [Ver comprobaciones de estado](viewing_status.md).
+ [Obtenga los detalles necesarios de la instancia](connection-prereqs-general.md#connection-prereqs-get-info-about-instance).
+ [Busque la clave privada y establezca permisos.](connection-prereqs-general.md#connection-prereqs-private-key).
+ [(Opcional) Obtenga la huella digital de la instancia](connection-prereqs-general.md#connection-prereqs-fingerprint).
+ **Permita el tráfico entrante de SSH desde la dirección IP.**
Asegúrese de que el grupo de seguridad asociado a la instancia permita el tráfico SSH que ingresa desde la dirección IP. Para obtener más información, consulte [Reglas para conectarse a las instancias desde un equipo](security-group-rules-reference.md#sg-rules-local-access).
+ **Instale un cliente SCP.**
La mayoría de equipos Linux, Unix y Apple incluyen un cliente SCP de forma predeterminada. Si el equipo no lo incluye, el proyecto OpenSSH proporciona una implementación gratuita de toda la suite de herramientas de SSH, incluido un cliente SCP. Para obtener más información, consulte [https://www.openssh.com](https://www.openssh.com).
El procedimiento siguiente le guiará a través del uso de SCP para transferir un archivo utilizando el nombre DNS público de la instancia, o la dirección IPv6 si la instancia tiene una.
**Para utilizar SCP para transferir archivos entre el equipo y la instancia**
1. Determine la ubicación del archivo de origen en el equipo y la ruta de destino en la instancia. En los ejemplos siguientes, el nombre del archivo de clave privada es `key-pair-name.pem`, el archivo que se va a transferir es `my-file.txt`, el nombre de usuario de la instancia es ec2-user, el nombre DNS público de la instancia es `instance-public-dns-name` y la dirección IPv6 de la instancia es `2001:db8::1234:5678:1.2.3.4`.
+ (DNS público) Para transferir un archivo al destino de la instancia, escriba el siguiente comando desde el equipo.
```
scp -i /path/key-pair-name.pem /path/my-file.txt ec2-user@instance-public-dns-name:path/
```
+ (IPv6) Para transferir un archivo al destino de la instancia si la instancia tiene una dirección IPv6, escriba el siguiente comando desde el equipo. La dirección IPv6 se debe escribir entre corchetes (`[ ]`), a los que se deben aplicar escape (`\`).
```
scp -i /path/key-pair-name.pem /path/my-file.txt ec2-user@\[2001:db8::1234:5678:1.2.3.4\]:path/
```
1. Si aún no se ha conectado a la instancia mediante SSH, verá una respuesta como la siguiente:
```
The authenticity of host 'ec2-198-51-100-1.compute-1.amazonaws.com (10.254.142.33)'
can't be established.
RSA key fingerprint is 1f:51:ae:28:bf:89:e9:d8:1f:25:5d:37:2d:7d:b8:ca:9f:f5:f1:6f.
Are you sure you want to continue connecting (yes/no)?
```
(Opcional) Si lo desea, puede comprobar que la huella digital de la alerta de seguridad coincide con la huella digital de la instancia. Para obtener más información, consulte [(Opcional) Obtenga la huella digital de la instancia](connection-prereqs-general.md#connection-prereqs-fingerprint).
Escriba **yes**.
1. Si la transferencia se realiza correctamente, la respuesta será similar a la siguiente:
```
Warning: Permanently added 'ec2-198-51-100-1.compute-1.amazonaws.com' (RSA)
to the list of known hosts.
my-file.txt 100% 480 24.4KB/s 00:00
```
1. Para transferir un archivo en la otra dirección (desde la instancia Amazon EC2 al equipo), revierta el orden de los parámetros de host. Por ejemplo, puede transferir `my-file.txt` desde la instancia de EC2 al destino en el equipo local `my-file2.txt`, como se muestra en los siguientes ejemplos.
+ (DNS público) Para transferir un archivo a un destino del equipo, escriba el siguiente comando desde el equipo.
```
scp -i /path/key-pair-name.pem ec2-user@instance-public-dns-name:path/my-file.txt path/my-file2.txt
```
+ (IPv6) Para transferir un archivo a un destino del equipo si la instancia tiene una dirección IPv6, escriba el siguiente comando desde el equipo. La dirección IPv6 se debe escribir entre corchetes (`[ ]`), a los que se deben aplicar escape (`\`).
```
scp -i /path/key-pair-name.pem ec2-user@\[2001:db8::1234:5678:1.2.3.4\]:path/my-file.txt path/my-file2.txt
```
# Administración de usuarios del sistema en la instancia de Amazon EC2 para Linux
Cada de instancia de Linux se inicia con un usuario predeterminado del sistema Linux. Puede agregar usuarios a la instancia y eliminarlos.
En el caso del usuario predeterminado, la AMI determina el [nombre de usuario predeterminado](#ami-default-user-names) que se especificó cuando inicializó la instancia.
**nota**
De forma predeterminada, la autenticación con contraseña y el inicio de sesión raíz están desactivados y sudo está habilitado. Para iniciar sesión en la instancia, debe usar un par de claves. Para obtener más información acerca del formato del archivo de registro, consulte [Conexión a la instancia de Linux con SSH](connect-to-linux-instance.md).
Puede permitir la autenticación con contraseña y el inicio de sesión raíz para la instancia. Para obtener más información, consulte la documentación del sistema operativo.
**nota**
Los usuarios del sistema Linux no deben confundirse con los usuarios de IAM. Para obtener más información, consulte [Usuarios de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_iam-users) en la *Guía del usuario de IAM*.
**Topics**
+ [
## Nombres de usuario predeterminados
](#ami-default-user-names)
+ [
## Consideraciones
](#add-user-best-practice)
+ [
## Creación de un usuario
](#create-user-account)
+ [
## Eliminación de un usuario
](#delete-user-account)
## Nombres de usuario predeterminados
La AMI determina el nombre de usuario predeterminado de la instancia de EC2 que se especificó cuando inicializó la instancia.
Los nombres de usuario predeterminados son los siguientes:
+ Para una AMI de Amazon Linux, el nombre de usuario es `ec2-user`.
+ Para una AMI de CentOS, el nombre de usuario es `centos` o `ec2-user`.
+ Para una AMI de Debian, el nombre de usuario es `admin`.
+ Para una AMI de Fedora, el nombre de usuario es `fedora` o `ec2-user`.
+ Para una AMI de FreeBSD, el nombre de usuario es `ec2-user`.
+ Para una AMI de RHEL, el nombre de usuario es `ec2-user` o `root`.
+ Para una AMI de SUSE, el nombre de usuario es `ec2-user` o `root`.
+ Para una AMI de Ubuntu, el nombre de usuario es `ubuntu`.
+ Para una AMI de Oracle, el nombre de usuario es `ec2-user`.
+ Para una AMI de Bitnami, el nombre de usuario es `bitnami`.
**nota**
Para encontrar el nombre de usuario predeterminado para otras distribuciones de Linux, consulte con el proveedor de AMI.
## Consideraciones
Es correcto utilizar lel usuario predeterminado para muchas aplicaciones. Sin embargo, es posible que elija agregar usuarios de modo que las personas puedan tener sus propios archivos y zonas de trabajo. Además, crear usuarios para usuarios nuevos es mucho más seguro que conceder a múltiples usuarios (posiblemente inexpertos) acceso al usuario predeterminado porque el usuario predeterminado puede causar mucho daño en un sistema si no se usa adecuadamente. Para obtener más información, consulte [Sugerencias para proteger la instancia de EC2](https://aws.amazon.com/articles/tips-for-securing-your-ec2-instance/).
Para permitir a los usuarios el acceso SSH a su instancia de EC2 mediante un usuario del sistema Linux, debe compartir la clave SSH con el usuario. De forma alternativa, puede utilizar EC2 Instance Connect para permitir el acceso a los usuarios sin necesidad de compartir y administrar claves SSH. Para obtener más información, consulte [Conexión a la instancia de Linux mediante una dirección IP pública e EC2 Instance Connect](connect-linux-inst-eic.md).
## Creación de un usuario
En primer lugar, cree el usuario y, a continuación, agregue la clave pública SSH que permite al usuario conectar e iniciar sesión en la instancia.
**importante**
En el paso 1 de este procedimiento, creará un nuevo par de claves. Dado que un par de claves funciona como una contraseña, es de vital importancia gestionarlo de forma segura. Si crea un par de claves para un usuario, debe asegurarse de que la clave privada se envíe de forma segura. Como alternativa, el usuario puede completar los pasos 1 y 2 si crea su propio par de claves, mantiene la clave privada segura en su máquina y, a continuación, envía la clave pública para completar el procedimiento del paso 3.
**Para crear un usuario**
1. [Cree un nuevo par de claves](create-key-pairs.md#having-ec2-create-your-key-pair). Debe proporcionar el archivo `.pem` al usuario para el que va a crearlo. Debe usar este archivo para conectarse a la instancia.
1. Recupere la clave pública del par de claves que creó en el paso anterior.
```
$ ssh-keygen -y -f /path_to_key_pair/key-pair-name.pem
```
El comando devuelve la clave pública, como se muestra en el siguiente ejemplo.
```
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQClKsfkNkuSevGj3eYhCe53pcjqP3maAhDFcvBS7O6Vhz2ItxCih+PnDSUaw+WNQn/mZphTk/a/gU8jEzoOWbkM4yxyb/wB96xbiFveSFJuOp/d6RJhJOI0iBXrlsLnBItntckiJ7FbtxJMXLvvwJryDUilBMTjYtwB+QhYXUMOzce5Pjz5/i8SeJtjnV3iAoG/cQk+0FzZqaeJAAHco+CY/5WrUBkrHmFJr6HcXkvJdWPkYQS3xqC0+FmUZofz221CBt5IMucxXPkX4rWi+z7wB3RbBQoQzd8v7yeb7OzlPnWOyN0qFU0XA246RA8QFYiCNYwI3f05p6KLxEXAMPLE
```
1. Conéctese a la instancia.
1. Utilice el comando **adduser** para crear el usuario y añádala al sistema (con una entrada en el archivo `/etc/passwd`). El comando también crea un grupo y un directorio principal para el usuario. En este ejemplo, el usuario se denomina `newuser`.
+ AL2023 y Amazon Linux 2
Con AL2023 y Amazon Linux 2, el usuario se crea con la autenticación por contraseña inhabilitada de forma predeterminada.
```
[ec2-user ~]$ sudo adduser newuser
```
+ Ubuntu
Incluya el parámetro `--disabled-password` para crear el usuario con la autenticación con contraseña desactivada.
```
[ubuntu ~]$ sudo adduser newuser --disabled-password
```
1. Cambie al nuevo usuario de forma que el directorio y el archivo que cree tengan la propiedad adecuada.
```
[ec2-user ~]$ sudo su - newuser
```
El símbolo cambia de `ec2-user` a `newuser` para indicar que ha transferido la sesión del shell al nuevo usuario.
1. Agregar la clave pública SSH al usuario. En primer lugar, cree un directorio en el directorio de inicio del usuario para el archivo de clave SSH, a continuación cree el archivo de clave y, finalmente, pegue la clave pública en el archivo de clave, tal como se describe en los siguientes pasos secundarios.
1. Cree un directorio `.ssh` en el directorio principal `newuser` y cambie los permisos de archivo a `700` (solo el propietario puede leer, escribir o abrir el directorio).
```
[newuser ~]$ mkdir .ssh
```
```
[newuser ~]$ chmod 700 .ssh
```
**importante**
Sin estos permisos de archivo exactos, el usuario no podrá iniciar sesión.
1. Cree un archivo llamado `authorized_keys` en el directorio `.ssh` y cambie los permisos de archivo a `600` (solo el propietario puede leer o escribir en el archivo).
```
[newuser ~]$ touch .ssh/authorized_keys
```
```
[newuser ~]$ chmod 600 .ssh/authorized_keys
```
**importante**
Sin estos permisos de archivo exactos, el usuario no podrá iniciar sesión.
1. Abra el archivo `authorized_keys` con el editor de texto que prefiera (como **vim** o **nano**).
```
[newuser ~]$ nano .ssh/authorized_keys
```
Pegue la clave pública que recuperó en el **paso 2** en el archivo y guarde los cambios.
**importante**
Asegúrese de pegar la clave pública en una línea continua. La clave pública no debe dividirse en varias líneas.
Ahora el usuario debería poder iniciar sesión en el usuario `newuser` de la instancia usando la clave privada que corresponde a la clave pública que ha agregado al archivo `authorized_keys`. Para obtener más información acerca de los diferentes métodos de conexión a una instancia de Linux, consulte [Conexión a la instancia de Linux con SSH](connect-to-linux-instance.md).
## Eliminación de un usuario
Si ya no necesita un usuario, puede eliminarlo para que no pueda volver a utilizarse.
Utilice el comando **userdel** para eliminar el usuario del sistema. Cuando especifica el parámetro `-r`, el directorio principal del usuario y la carpeta spool de correo se eliminan. Para mantener el directorio principal del usuario y la carpeta spool de correo, omita el parámetro `-r`.
```
[ec2-user ~]$ sudo userdel -r olduser
```
# Conexión a una instancia de Windows de mediante RDP
Puede conectarse mediante el escritorio remoto a las instancias de Amazon EC2 creadas a partir de la mayoría de las Imágenes de máquina de Amazon (AMI) de Windows. El escritorio remoto utiliza Remote Desktop Protocol (RDP) para conectarse con la instancia y utilizarla del mismo modo en el que utiliza un ordenador de escritorio (ordenador local). Está disponible en la mayoría de las ediciones de Windows y también para Mac OS.
La licencia del sistema operativo Windows Server permite dos conexiones remotas simultáneas para fines administrativos. La licencia de Windows Server está incluida en el precio de la instancia de Windows. Si necesita más de dos conexiones remotas simultáneas, debe comprar una licencia de Remote Desktop Services (RDS). Si intenta realizar una tercera conexión, se produce un error.
**sugerencia**
Si necesita conectarse a la instancia para solucionar problemas de arranque, configuración de red y otros problemas para las instancias creadas en el [sistema AWS Nitro](https://aws.amazon.com/ec2/nitro/), puede usar [Consola serie EC2 para instancias de](ec2-serial-console.md).
**Topics**
+ [
# Conexión a la instancia de Windows mediante un cliente RDP
](connect-rdp.md)
+ [
# Conexión a la instancia de Windows mediante Fleet Manager
](connect-rdp-fleet-manager.md)
+ [
# Transferir archivos a una instancia de Windows mediante RDP
](connect-to-linux-instanceWindowsFileTransfer.md)
# Conexión a la instancia de Windows mediante un cliente RDP
Puede conectarse a la instancia de Windows mediante un cliente de RDP de la siguiente manera.
**sugerencia**
Como alternativa, puede conectarse a la instancia de Windows mediante [Administrador de flotas de Systems Manager](connect-rdp-fleet-manager.md) o [Punto de conexión de EC2 Instance Connect](connect-with-ec2-instance-connect-endpoint.md).
## Requisitos previos
Debe cumplir los siguientes requisitos previos para conectarse a la instancia de Windows mediante un cliente RDP.
+ **Complete los requisitos previos generales.**
+ Verifique que su instancia ha pasado las comprobaciones de estado. Puede que transcurran unos minutos hasta que la instancia esté lista para aceptar solicitudes de conexión. Para obtener más información, consulte [Ver comprobaciones de estado](viewing_status.md).
+ [Obtenga los detalles necesarios de la instancia](connection-prereqs-general.md#connection-prereqs-get-info-about-instance).
+ [Busque la clave privada y establezca permisos.](connection-prereqs-general.md#connection-prereqs-private-key).
+ [(Opcional) Obtenga la huella digital de la instancia](connection-prereqs-general.md#connection-prereqs-fingerprint).
+ **Instale un cliente RDP.**
+ (Windows) Windows incluye un cliente RDP de forma predeterminada. Para verificarlo, escriba **mstsc** en la ventana del símbolo del sistema. Si el equipo no reconoce este comando, descargue la [aplicación de escritorio remoto de Microsoft](https://apps.microsoft.com/detail/9wzdncrfj3ps) de la Tienda de Microsoft.
+ (macOS X) Descargue la [aplicación de Windows para Mac (anteriormente llamada Microsoft Remote Desktop)](https://apps.apple.com/us/app/windows-app/id1295203466?mt=12) desde la Mac App Store.
+ (Linux) Use [Remmina](https://remmina.org/).
+ **Permita el tráfico de RDP entrante desde su dirección IP.**
Garantice que el grupo de seguridad asociado con la instancia permita el tráfico de RDP entrante desde la dirección IP. Para obtener más información, consulte [Reglas para conectarse a las instancias desde un equipo](security-group-rules-reference.md#sg-rules-local-access).
## Recuperar la contraseña del administrador
Si unió la instancia a un dominio, puede conectarse a la instancia con las credenciales del dominio desde Directory Service. En la pantalla de inicio de sesión del escritorio remoto, en lugar de utilizar el nombre del ordenador local y la contraseña generada, utilice el nombre de usuario completo del administrador (por ejemplo, **corp.example.com\$1Admin**) y la contraseña de esta cuenta.
Para conectarse a una instancia de Windows mediante RDP, debe recuperar la contraseña inicial del administrador y luego ingresar esta contraseña cuando se conecte a la instancia. Pasarán unos minutos desde que la instancia se inicia hasta que la contraseña está disponible. Su cuenta debe tener permiso para llamar a la acción [GetPasswordData](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_GetPasswordData.html). Para obtener más información, consulte [Políticas de ejemplo para controlar el acceso a la API de Amazon EC2](ExamplePolicies_EC2.md).
El nombre de usuario predeterminado de la cuenta de administrador depende del idioma del sistema operativo (SO) incluido en la AMI. Para determinar el nombre de usuario correcto, identifique el idioma del sistema operativo y, a continuación, elija el nombre de usuario correspondiente. Por ejemplo, en el caso de un sistema operativo en inglés, el nombre de usuario es `Administrator`; en el caso de un sistema operativo en francés, es `Administrateur`; y en el caso de un sistema operativo en portugués, es `Administrador`. Si la versión de un idioma del sistema operativo no tiene un nombre de usuario en el mismo idioma, elija el nombre de usuario `Administrator (Other)`. Para obtener más información, consulte [Nombres localizados para la cuenta de administrador en Windows](https://learn.microsoft.com/en-us/archive/technet-wiki/13813.localized-names-for-administrator-account-in-windows) en el sitio web de Microsoft.
**Para recuperar la contraseña inicial del administrador**
1. Abra la consola de Amazon EC2 en [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. En el panel de navegación, seleccione **Instances (Instancias)**.
1. Seleccione la instancia y, a continuación, elija **Connect** (Conectar).
1. En la página **Conectarse a la instancia**, elija la pestaña **Cliente de RDP**.
1. En **Nombre de usuario**, elija el nombre de usuario predeterminado de la cuenta de administrador. El nombre de usuario que elija debe coincidir con el idioma del sistema operativo (SO) incluido en la AMI que utilizó para iniciar la instancia. Si no hay ningún nombre de usuario en el mismo idioma que su sistema operativo, elija **Administrador (otro)**.
1. Elija **Obtener contraseña**.
1. En la página **Obtener contraseña de Windows**, haga lo siguiente:
1. Elija **Cargar archivo de clave privada** y vaya el archivo de clave privada (`.pem`) que especificó al iniciar la instancia. Seleccione el archivo y elija **Open** (Abrir) para copiar todo el contenido del archivo en esta ventana.
1. Elija **Descifrar contraseña**. La página **Obtener contraseña de Windows** se cierra y la contraseña de administrador predeterminada de la instancia aparece en **Contraseña** y reemplaza al enlace **Obtener contraseña** mostrado anteriormente.
1. Copie la contraseña y guárdela en un lugar seguro. Necesitará la contraseña para conectarse a la instancia.
## Conexión con la instancia de Windows de
El siguiente procedimiento utiliza el cliente de conexión a escritorio remoto para Windows (MSTSC). Si utiliza un cliente RDP diferente, descargue el archivo RDP y, a continuación, consulte la documentación para el cliente de RDP para conocer los pasos necesarios para establecer la conexión RDP.
**Para conectarse a la instancia de Windows mediante un cliente de RDP**
1. En la página **Conectarse a la instancia**, seleccione **Descargar archivo de escritorio remoto**. Cuando haya terminado de descargar el archivo, elija **Cancelar** para volver a la página **Instancias**. El archivo RDP se descarga en su carpeta `Downloads`.
1. Ejecute `mstsc.exe` para abrir el cliente de RDP.
1. Expanda **Mostrar opciones**, elija **Abrir**, y seleccione el archivo .rdp de su carpeta `Downloads`.
1. De forma predeterminada, **Equipo** es el nombre de DNS IPv4 público de la instancia y el **Nombre de usuario** es la cuenta del administrador. En su lugar, para conectarse a la instancia mediante IPv6, sustituya el nombre de DNS IPv4 público de la instancia con su dirección IPv6. Revise la configuración predeterminada y cámbiela como sea necesario.
1. Elija **Conectar**. Si aparece una advertencia en la que se indique que se desconoce el publicador de la conexión remota, elija **Conectar** para continuar.
1. Escriba la contraseña que guardó anteriormente, y, a continuación, elija **OK**.
1. Debido a la naturaleza de los certificados autofirmados, es posible que aparezca una advertencia que indica que no se pudo autenticar el certificado de seguridad. Realice una de las siguientes acciones:
+ Si confía en el certificado, seleccione **Sí** para conectarse a la instancia.
+ [Windows] Antes de continuar, compare la huella digital del certificado con el valor del registro del sistema para confirmar la identidad del equipo remoto. Elija **Ver el certificado** y, a continuación, seleccione **Huella digital** en la pestaña **Detalles**. Compare este valor con el valor de `RDPCERTIFICATE-THUMBPRINT` en **Acciones**, **Monitoreo y solución de problemas**, **Obtener el registro del sistema**.
+ [Mac OS X] Antes de continuar, compare la huella digital del certificado con el valor del registro del sistema para confirmar la identidad del equipo remoto. Seleccione **Mostrar certificado**, expanda **Detalles** y elija **Huellas digitales SHA1**. Compare este valor con el valor de `RDPCERTIFICATE-THUMBPRINT` en **Acciones**, **Monitoreo y solución de problemas**, **Obtener el registro del sistema**.
1. Si la conexión RDP se realiza correctamente, el cliente de RDP muestra la pantalla de inicio de sesión de Windows y, a continuación, el escritorio de Windows. En su lugar, si recibe un mensaje de error, consulte [El escritorio remoto no puede conectarse al equipo remoto](troubleshoot-connect-windows-instance.md#rdp-issues). Cuando haya terminado con la conexión RDP, puede cerrar el cliente de RDP.
## Configurar cuentas
Después de conectarse a su instancia a través de RDP, se recomienda que realice las siguientes tareas:
+ Cambie la contraseña de administrador del valor predeterminado. Puede [cambiar la contraseña mientras se está conectado a la instancia](https://support.microsoft.com/en-us/windows/change-or-reset-your-windows-password-8271d17c-9f9e-443f-835a-8318c8f68b9c), al igual que en cualquier otro equipo que ejecuta Windows Server.
+ Cree otro usuario con privilegios de administrador en la instancia. Esto es una protección en caso de que olvide la contraseña de administrador o tenga un problema con la cuenta de administrador. El usuario nueva debe tener permiso de acceso a la instancia de manera remota. Abra **Propiedades del sistema** haciendo clic con el botón derecho del ratón en el icono **Este equipo** en su escritorio de Windows o en el Explorador de archivos y seleccione **Propiedades**. Elija **Configuración de Acceso remoto** y elija **Seleccionar usuarios** para añadir el usuario al grupo **Usuarios de escritorio remoto**.
![\[Ventana de Propiedades del sistema.\]](http://docs.aws.amazon.com/es_es/AWSEC2/latest/UserGuide/images/windows-connect-properties-rdp.png)
# Conexión a la instancia de Windows mediante Fleet Manager
Puede usar Fleet Manager, una función de AWS Systems Manager, para conectarse a instancias de Windows mediante el protocolo de escritorio remoto (RDP) y mostrar hasta cuatro instancias de Windows en la misma página de la Consola de administración de AWS. Puede conectarse a la primera instancia en el escritorio remoto de Fleet Manager directamente desde la página **instancias** de la consola de Amazon EC2. Para obtener más información sobre el Administrador de flotas, consulte [Cómo conectarse a un nodo administrado mediante el Escritorio remoto](https://docs.aws.amazon.com/systems-manager/latest/userguide/fleet-manager-remote-desktop-connections.html) en la *Guía del usuario de AWS Systems Manager*.
No necesita permitir específicamente el tráfico RDP entrante de su dirección IP si usa Fleet Manager para conectarse. Fleet Manager se encarga de eso automáticamente.
**Requisitos previos**
Antes de intentar conectarse a una instancia mediante Fleet Manager, debe configurar el entorno. Para obtener más información, consulte [Configuración de su entorno](https://docs.aws.amazon.com/systems-manager/latest/userguide/fleet-manager-remote-desktop-connections.html#rdp-prerequisites) en la *Guía del usuario de AWS Systems Manager*.
**Para conectarse a la instancia de Windows mediante Fleet Manager**
1. Abra la consola de Amazon EC2 en [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. En el panel de navegación, elija **Instances** (instancia[s]).
1. Seleccione la instancia y, a continuación, elija **Connect** (Conectar).
1. En la pestaña **Cliente de RDP**, en **Tipo de conexión**, elija **Conectar mediante Fleet Manager**.
1. Elija **Escritorio remoto de Fleet Manager**. De esta forma, se abre la página **Fleet Manager Remote Desktop** (Escritorio remoto de Fleet Manager) en la consola de AWS Systems Manager.
1. Introduzca sus credenciales y, a continuación, elija **Conectar**.
1. Si la conexión RDP se realiza correctamente, Fleet Manager muestra el escritorio de Windows. Cuando termine la sesión, seleccione **Acciones**, **Finalizar sesión**.
Para obtener más información, consulte [Conexión a la instancia administrada de Windows Server mediante escritorio remoto](https://docs.aws.amazon.com/systems-manager/latest/userguide/fleet-manager-remote-desktop-connections.html) en la *Guía del usuario AWS Systems Manager*.
# Transferir archivos a una instancia de Windows mediante RDP
Puede trabajar con la instancia de Windows del mismo modo que lo haría con cualquier servidor Windows. Por ejemplo, puede transferir archivos entre instancias de Windows y el equipo local usando la característica para compartir archivos locales del software de Conexión a Escritorio remoto de Microsoft (RDP). Puede obtener acceso a los archivos locales de los discos duros, las unidades de DVD, los dispositivos portátiles y las unidades de red mapeadas.
Para acceder a los archivos locales desde las instancias de Windows, debe habilitar la característica de uso compartido de archivos locales mediante la asignación de la unidad de sesión remota a la unidad local. Los pasos son ligeramente diferentes en función de si el sistema operativo de la computadora local es Windows o macOS X.
Para obtener más información acerca de los requisitos previos para conectarse mediante RDP, consulte [Requisitos previos](connect-rdp.md#rdp-prereqs).
------
#### [ Windows ]
**Para asignar la unidad de sesión remota a la unidad local en la computadora Windows local**
1. Abra el cliente de conexión al Escritorio remoto.
1. Elija **Show Options**.
1. Agregue el nombre de host de la instancia en el campo **Ordenador** y el nombre del usuario en el campo **Nombre de usuario**, como se indica a continuación:
1. En **Connection settings** (Configuración de conexión), elija **Open…** (Abrir…) y diríjase al archivo de acceso directo RDP que descargó de la consola de Amazon EC2. El archivo contiene el nombre de host del DNS IPv4 público, que identifica la instancia y el nombre de usuario del administrador.
1. Seleccione el archivo y elija **Open** (Abrir). Los campos **Computer** (Computadora) y **User name** (Nombre de usuario) se completan con los valores del archivo de acceso directo RDP.
1. Seleccione **Save**.
1. Elija la pestaña **Local Resources (Recursos locales)**.
1. En **Local Devices and resources (Dispositivos y recursos locales)**, elija **More... (Más...)**
![\[Ventana de Recursos Locales de RDP.\]](http://docs.aws.amazon.com/es_es/AWSEC2/latest/UserGuide/images/windows-connect-rdp-local-resources.png)
1. Abra **Drives (Unidades)** y seleccione la unidad local que desea asignar a su instancia de Windows.
1. Seleccione **OK**.
![\[Ventana de Dispositivos locales y recursos de RDP.\]](http://docs.aws.amazon.com/es_es/AWSEC2/latest/UserGuide/images/windows-connect-rdp-drives.png)
1. Seleccione **Conectar** para conectarse a su instancia de Windows.
------
#### [ macOS X ]
**Para asignar la unidad de sesión remota a la carpeta local en la computadora macOS X local**
1. Abra el cliente de conexión al Escritorio remoto.
1. Diríjase al archivo RDP que descargó de la consola de Amazon EC2 (cuando se conectó inicialmente a la instancia) y arrástrelo al cliente de conexión a escritorio remoto.
1. Haga clic con el botón derecho en el archivo RDP y elija **Edit** (Editar).
1. Elija la pestaña **Carpetas** y seleccione la casilla **Redirigir carpetas**.
![\[Ventana Editar PC de Microsoft Remote Desktop\]](http://docs.aws.amazon.com/es_es/AWSEC2/latest/UserGuide/images/mac-map-folder-1.png)
1. Elija el icono **\$1** en la parte inferior izquierda, diríjase a la carpeta que desea asignar y elija **Open** (Abrir). Repita este paso para cada carpeta que desee asignar.
1. Seleccione **Save**.
1. Seleccione **Conectar** para conectarse a su instancia de Windows. Se le pedirá la contraseña.
1. En la instancia, en el explorador de archivos, expanda **This PC** (Esta PC) y busque la carpeta compartida desde la que puede acceder a los archivos locales. En la siguiente captura de pantalla, la carpeta **Desktop** (Escritorio) de la computadora local se asignó a la unidad de sesión remota de la instancia.
![\[Ventana Editar PC de Microsoft Remote Desktop\]](http://docs.aws.amazon.com/es_es/AWSEC2/latest/UserGuide/images/mac-map-folder-2.png)
Para obtener más información sobre cómo hacer que los dispositivos locales estén disponibles para una sesión remota en una computadora Mac, consulte [Get started with the macOS client](https://learn.microsoft.com/en-us/windows-server/remote/remote-desktop-services/clients/remote-desktop-mac) (Introducción a cliente de macOS).
------
# Conectarse a una instancia de Amazon EC2 mediante el Session Manager
El Administrador de sesiones es una funcionalidad de AWS Systems Manager completamente administrada que permite administrar las instancias de Amazon EC2 a través de un shell interactivo basado en navegador con un solo clic o a través de la AWS CLI. Puede utilizar el Administrador de sesiones para iniciar una sesión con una instancia en su cuenta. Después de iniciar la sesión, puede ejecutar comandos interactivos en la instancia como lo haría a través de cualquier otro tipo de conexión. Para obtener más información acerca del Administrador de sesiones, consulte [Administrador de sesiones de AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html) en la *Guía del usuario de AWS Systems Manager*.
**Requisitos previos**
Antes de intentar conectarse a una instancia mediante el Session Manager, debe completar los pasos de configuración necesarios. Por ejemplo, la instancia debe ser administrada por SSM y debe tener un rol de IAM adjunto con la política de **AmazonSSMManagedInstanceCore**. Para obtener más información, consulte [Configuración de Session Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager-getting-started.html).
**Para conectarse a una instancia de Amazon EC2 mediante el Administrador de sesiones en la consola de Amazon EC2**
1. Abra la consola de Amazon EC2 en [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. En el panel de navegación, seleccione **Instances** (Instancia[s]).
1. Seleccione la instancia y elija **Connect (Conectar)**.
1. Para el método de conexión, elija **Session Manager**.
1. Elija **Conectar** para iniciar la sesión.
![\[El botón Conectar en la pestaña Session Manager.\]](http://docs.aws.amazon.com/es_es/AWSEC2/latest/UserGuide/images/connect-method-session-manager.png)
**Resolución de problemas**
Si recibe un error que indica que no tiene permiso para realizar una o más acciones del Administrador de sistemas (`ssm:command-name`), debe actualizar las políticas para que le permitan iniciar sesiones desde la consola de Amazon EC2. Para obtener más información e instrucciones, consulte [ Políticas de IAM predeterminadas de inicio rápido para el Administrador de sesiones](https://docs.aws.amazon.com/systems-manager/latest/userguide/getting-started-restrict-access-quickstart.html) en la *Guía del usuario de AWS Systems Manager*.
# Conexión a la instancia de Linux mediante una dirección IP pública e EC2 Instance Connect
Amazon EC2 Instance Connect proporciona una forma segura de conectarse a las instancias de Linux con Secure Shell (SSH). Con EC2 Instance Connect, puede utilizar [políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) de AWS Identity and Access Management (IAM) y [entidades principales](https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure.html#intro-structure-principal) para controlar el acceso SSH a las instancias y eliminar la necesidad de compartir y administrar las claves SSH. Todas las solicitudes de conexión con EC2 Instance Connect se [registran en AWS CloudTrail](monitor-with-cloudtrail.md#ec2-instance-connect-cloudtrail) de modo que puede auditar las solicitudes de conexión.
Puede utilizar EC2 Instance Connect para conectarse a las instancias con la consola de Amazon EC2 o el cliente SSH que prefiera.
Cuando se conecta a una instancia con EC2 Instance Connect, la API de EC2 Instance Connect inserta una clave pública SSH en los [metadatos de la instancia](ec2-instance-metadata.md), donde permanece por 60 segundos. La política de IAM asociada a su usuario le autoriza a insertar la clave pública en los metadatos de la instancia. El daemon SSH utiliza `AuthorizedKeysCommand` y `AuthorizedKeysCommandUser`, que se configuró cuando se instaló EC2 Instance Connect, para buscar la clave pública en los metadatos de la instancia para su autenticación y la conecta a la instancia.
**sugerencia**
EC2 Instance Connect es una de las opciones para conectarse a la instancia de Linux. Para otras opciones, consulte [Conexión a la instancia de Linux con SSH](connect-to-linux-instance.md). Para conectarse a una instancia de Windows, consulte [Conexión a una instancia de Windows de mediante RDP](connecting_to_windows_instance.md).
**Precios**
EC2 Instance Connect está disponible sin ningún costo adicional.
**Disponibilidad por región**
EC2 Instance Connect está disponible en todas las Regiones de AWS, excepto en Asia-Pacífico (Taipéi). No se admite en zonas locales.
**Topics**
+ [Tutorial](ec2-instance-connect-tutorial.md)
+ [Requisitos previos](ec2-instance-connect-prerequisites.md)
+ [Permisos](ec2-instance-connect-configure-IAM-role.md)
+ [Instalación de EC2 Instance Connect](ec2-instance-connect-set-up.md)
+ [Conexión a una instancia](ec2-instance-connect-methods.md)
+ [
# Desinstalación de EC2 Instance Connect
](ec2-instance-connect-uninstall.md)
Para ver una entrada de blog que explique cómo mejorar la seguridad de los hosts bastión con EC2 Instance Connect, consulte [Protección de los hosts bastión con Amazon EC2 Instance Connect](https://aws.amazon.com/blogs/infrastructure-and-automation/securing-your-bastion-hosts-with-amazon-ec2-instance-connect/).
# Tutorial: Cómo completar la configuración necesaria para conectarse a la instancia mediante EC2 Instance Connect
Para conectarse a la instancia mediante EC2 Instance Connect en la consola de Amazon EC2, debe completar la configuración previa que le permitirá conectarse correctamente a la instancia. El objetivo de este tutorial es guiarlo a través de las tareas necesarias para completar la configuración previa.
**Información general del tutorial**
En este tutorial, deberá completar las cuatro tareas detalladas a continuación:
+ [Tarea 1: conceder los permisos necesarios para utilizar EC2 Instance Connect](#eic-tut1-task1)
En primer lugar, debe crear una política de IAM que contenga los permisos de IAM que le permitirán introducir una clave pública en los metadatos de la instancia. Deberá asociar esta política a su identidad de IAM (usuario, grupo de usuarios o rol) para que su identidad de IAM obtenga estos permisos.
+ [Tarea 2: permitir el tráfico entrante desde el servicio EC2 Instance Connect a la instancia](#eic-tut1-task2)
A continuación, deberá crear un grupo de seguridad que permita el tráfico desde el servicio EC2 Instance Connect a la instancia. Esto es necesario cuando utiliza EC2 Instance Connect en la consola de Amazon EC2 para conectarse a la instancia.
+ [Tarea 3: Iniciar la instancia](#eic-tut1-task3)
A continuación, deberá lanzar una instancia de EC2 con una AMI preinstalada en EC2 Instance Connect y agregar el grupo de seguridad que creó en el paso anterior.
+ [Tarea 4: Conectarse a la instancia](#eic-tut1-task4)
Por último, deberá utilizar EC2 Instance Connect en la consola de Amazon EC2 para conectarse a la instancia. Si puede conectarse, esto significa que la configuración previa que completó en las tareas 1, 2 y 3 se realizó correctamente.
## Tarea 1: conceder los permisos necesarios para utilizar EC2 Instance Connect
Cuando se conecta a una instancia con EC2 Instance Connect, la API de EC2 Instance Connect inserta una clave pública SSH en los [metadatos de la instancia](ec2-instance-metadata.md), donde permanece por 60 segundos. Necesita una política de IAM asociada a su identidad de IAM (usuario, grupo de usuarios o rol) a fin de obtener el permiso necesario para insertar la clave pública en los metadatos de la instancia.
**Objetivo de la tarea**
Creará la política de IAM que concede el permiso para insertar la clave pública en la instancia. La acción específica que debe permitir es `ec2-instance-connect:SendSSHPublicKey`. También debe permitir la acción `ec2:DescribeInstances` para poder ver y seleccionar la instancia en la consola de Amazon EC2.
Después de haber creado la política, deberá asociar esta política a su identidad de IAM (usuario, grupo de usuarios o rol) para que esta obtenga los permisos.
Deberá crear una política con la siguiente configuración:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "ec2-instance-connect:SendSSHPublicKey",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "ec2:DescribeInstances",
"Resource": "*"
}
]
}
```
------
**importante**
La política de IAM creada en este tutorial es muy permisiva; le permite conectarse a cualquier instancia mediante cualquier nombre de usuario de AMI. Utilizamos esta política altamente permisiva para que el tutorial sea sencillo y se enfoque en las configuraciones específicas que se enseñan en él. Sin embargo, en un entorno de producción, le recomendamos que la política de IAM esté configurada para proporcionar [permisos con privilegios mínimos](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege). Para ver ejemplos de políticas de IAM, consulte [Concesión de permisos de IAM para EC2 Instance Connect](ec2-instance-connect-configure-IAM-role.md).
**Cómo crear y asociar una política de IAM que le permita usar EC2 Instance Connect para conectarse a las instancias**
1. **Primero: crear la política de IAM**
1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. En el panel de navegación, seleccione **Políticas**.
1. Elija **Crear política**.
1. En la página **Especificar permiso**, haga lo siguiente:
1. En **Servicio**, elija **EC2 Instance Connect**.
1. En **Acciones permitidas**, en el campo de búsqueda, comience a escribir **send** para ver las acciones relevantes y, a continuación, seleccione **SendSSHPublicKey**.
1. En **Recursos**, elija **Todos**. Para un entorno de producción, se recomienda especificar la instancia por su ARN, pero, en este tutorial, se permiten todas las instancias.
1. Elija **Add more permissions**.
1. En **Servicio**, elija **EC2**.
1. En **Acciones permitidas**, en el campo de búsqueda, comience a escribir **describein** para ver las acciones relevantes y, a continuación, seleccione **DescribeInstances**.
1. Elija **Siguiente**.
1. En la página **Revisar y crear**, haga lo siguiente:
1. En **Nombre de política**, escriba un nombre para la política.
1. Elija **Crear política**.
1. **A continuación, asocie la política a su identidad**
1. En la consola de IAM, en el panel de navegación, elija **Políticas**.
1. En la lista de políticas, seleccione el botón de opción situado junto al nombre de la política que creó. Puede utilizar el cuadro de búsqueda para filtrar la lista de políticas.
1. Elija **Acciones**, **Asociar**.
1. En **Entidades de IAM**, seleccione la casilla de verificación junto a la identidad (usuario, grupo de usuarios o rol). Puede utilizar el cuadro de búsqueda para filtrar la lista de entidades.
1. Elija **Asociar política**.
### Ver una animación: crear una política de IAM
![\[En esta animación, se muestra cómo crear una política de IAM. Para obtener la versión en texto de esta animación, consulte los pasos del procedimiento anterior.\]](http://docs.aws.amazon.com/es_es/AWSEC2/latest/UserGuide/images/eic-tut1-task1-create-iam-policy.gif)
### Ver animación: Asociar una política de IAM
![\[En esta animación, se muestra cómo asociar una política de IAM a una identidad de IAM. Para obtener la versión en texto de esta animación, consulte los pasos del procedimiento anterior.\]](http://docs.aws.amazon.com/es_es/AWSEC2/latest/UserGuide/images/eic-tut1-task1-attach-iam-policy.gif)
## Tarea 2: permitir el tráfico entrante desde el servicio EC2 Instance Connect a la instancia
Cuando utiliza EC2 Instance Connect en la consola de Amazon EC2 para conectarse a una instancia, el tráfico que debe permitir que llegue a la instancia es el tráfico desde el servicio EC2 Instance Connect. Esto es diferente a conectarse desde el equipo local a una instancia; en ese caso, debe permitir el tráfico desde el equipo local a la instancia. Para permitir el tráfico desde el servicio EC2 Instance Connect, debe crear un grupo de seguridad que permita el tráfico SSH entrante desde el rango de direcciones IP para el servicio EC2 Instance Connect.
AWS utiliza listas de prefijos para administrar los rangos de direcciones IP. Los nombres de las listas de prefijos de EC2 Instance Connect son de la siguiente manera, donde *region* se reemplaza por el código Región:
+ Nombre de la lista de prefijos de IPv4: `com.amazonaws.region.ec2-instance-connect`
+ Nombre de la lista de prefijos de IPv6: `com.amazonaws.region.ipv6.ec2-instance-connect`
**Objetivo de la tarea**
Deberá crear un grupo de seguridad que permita el tráfico SSH entrante en el puerto 22 de la lista de prefijos IPv4 de la región en la que está ubicada la instancia.
**Crear un grupo de seguridad que permita el tráfico entrante desde el servicio EC2 Instance Connect a la instancia**
1. Abra la consola de Amazon EC2 en [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. En el panel de navegación, elija **Grupos de seguridad**.
1. Elija **Create Security Group (Creación de grupo de seguridad)**.
1. En **Basic details (Detalles básicos)**, haga lo siguiente:
1. En **Nombre del grupo de seguridad**, ingrese un nombre significativo para el grupo de seguridad.
1. En **Descripción**, escriba una descripción significativa para el grupo de seguridad.
1. En **Reglas de entrada**, haga lo siguiente:
1. Seleccione **Agregar regla**.
1. En **Tipo**, seleccione **SSH**.
1. En **Fuente**, deje **Personalizado**.
1. En el campo situado junto a **Origen**, seleccione la lista de prefijos para EC2 Instance Connect.
Por ejemplo, si la instancia está ubicada en la región Este de EE. UU. (Norte de Virginia) (`us-east-1`) y los usuarios van a conectarse a su dirección IPv4 pública, elija la siguiente lista de prefijos: **com.amazonaws.us-east-1.ec2-instance-connect**.
1. Elija **Creación de grupo de seguridad**.
### Vista de una animación: crear el grupo de seguridad
![\[En esta animación, se muestra cómo configurar un grupo de seguridad. Para obtener la versión en texto de esta animación, consulte los pasos del procedimiento anterior.\]](http://docs.aws.amazon.com/es_es/AWSEC2/latest/UserGuide/images/tut1-task2-eic-security-group.gif)
## Tarea 3: Iniciar la instancia
Cuando se inicia una instancia, debe especificar una AMI que contenga la información necesaria para lanzar la instancia. Puede elegir iniciar una instancia con o sin EC2 Instance Connect preinstalado. En esta tarea, especificamos una AMI que viene preinstalada con EC2 Instance Connect.
Si inicia la instancia sin EC2 Instance Connect preinstalado y desea usar EC2 Instance Connect para conectarse a la instancia, tendrá que completar pasos de configuración adicionales. Esos pasos están fuera del alcance de este tutorial.
**Objetivo de la tarea**
Iniciará una instancia con la AMI de Amazon Linux 2023, que viene preinstalada con EC2 Instance Connect. Además, especificará el grupo de seguridad que creó anteriormente para poder usar EC2 Instance Connect en la consola de Amazon EC2 para conectarse a la instancia. Como utilizará EC2 Instance Connect para conectarse a la instancia y, por lo tanto, se introducirá una clave pública en los metadatos de esta, no necesitará especificar una clave SSH cuando inicie dicha instancia.
**Cómo iniciar una instancia que pueda usar EC2 Instance Connect en la consola de Amazon EC2 para conectarse**
1. Abra la consola de Amazon EC2 en [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. En la barra de navegación en la parte superior de la pantalla, se muestra la región actual de AWS (por ejemplo, **Irlanda**). Seleccione una región en la que se va a iniciar la instancia. Esta elección es importante porque creó un grupo de seguridad que permite el tráfico en una región específica, por lo que debe seleccionar la misma región en la que desea iniciar la instancia.
1. En el panel de la consola de Amazon EC2, elija **Iniciar instancia**.
1. (Opcional) En **Name and tags** (Nombre y etiquetas), escriba un nombre descriptivo para la instancia en **Name** (Nombre).
1. En **Imágenes de aplicaciones y SO (Imagen de máquina de Amazon)**, elija **Inicio rápido**. **Amazon Linux** está seleccionado de forma predeterminada. En **Imagen de máquina de Amazon (AMI)**, **AMI de Amazon Linux 2023** está seleccionado de forma predeterminada. Mantenga la selección predeterminada para esta tarea.
1. En **Tipo de instancia**, para **Tipo de instancia**, mantenga la selección predeterminada o seleccione un tipo de instancia diferente.
1. En **Par de claves (inicio de sesión)**, para **Nombre del par de claves**, elija **Continuar sin un par de claves (no se recomienda)**. Cuando utiliza EC2 Instance Connect para conectarse a una instancia, EC2 Instance Connect envía un par de claves a los metadatos de la instancia y es este par de claves el que se utiliza para la conexión.
1. En **Network settings** (Configuración de red), haga lo siguiente:
1. En **Autoasignar IP pública**, seleccione **Habilitar**.
**nota**
Para usar EC2 Instance Connect en la consola de Amazon EC2 para conectarse a una instancia, la instancia debe tener una dirección IPv4 o IPv6 pública.
1. En **Firewall (grupos de seguridad)**, elija **Seleccionar un grupo de seguridad existente**.
1. En **Grupos de seguridad habituales**, elija el grupo de seguridad que creó anteriormente.
1. En el panel **Resumen**, elija **Iniciar instancia**.
### Ver animación: Iniciar la instancia
![\[En esta animación, se muestra cómo iniciar una instancia. Para obtener la versión en texto de esta animación, consulte los pasos del procedimiento anterior.\]](http://docs.aws.amazon.com/es_es/AWSEC2/latest/UserGuide/images/tut1-task3-launch-an-instance.gif)
## Tarea 4: Conectarse a la instancia
Cuando se conecta a una instancia con EC2 Instance Connect, la API de EC2 Instance Connect inserta una clave pública SSH en los [metadatos de la instancia](ec2-instance-metadata.md), donde permanece por 60 segundos. El daemon SSH utiliza `AuthorizedKeysCommand` y `AuthorizedKeysCommandUser` para buscar la clave pública en los metadatos de la instancia para su autenticación y la conecta a la instancia.
**Objetivo de la tarea**
En esta tarea, se conectará a la instancia mediante EC2 Instance Connect en la consola de Amazon EC2. Si completó las tareas 1, 2 y 3 la conexión debería realizarse correctamente.
**Pasos para conectarse a la instancia**
Los pasos siguientes le permiten conectarse a la instancia. Para ver una animación de los pasos, consulte [Ver animación: Conectarse a la instancia](#eic-tut1-task4-animation).
**Conectarse a una instancia mediante EC2 Instance Connect en la consola de Amazon EC2**
1. Abra la consola de Amazon EC2 en [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. En la barra de navegación en la parte superior de la pantalla, se muestra la región actual de AWS (por ejemplo, **Irlanda**). Seleccione la región en la que se encuentra la instancia.
1. En el panel de navegación, seleccione **Instances (Instancias)**.
1. Seleccione la instancia y elija **Connect**.
1. Elija la pestaña **EC2 Instance Connect**.
1. Elija **Conéctese a través de una IP pública**.
1. Elija **Conectar**.
Se abre una ventana terminal en el navegador y está conectado a la instancia.
### Ver animación: Conectarse a la instancia
![\[En esta animación, se muestra cómo conectar una instancia con EC2 Instance Connect. Para obtener la versión en texto de esta animación, consulte los pasos del procedimiento anterior.\]](http://docs.aws.amazon.com/es_es/AWSEC2/latest/UserGuide/images/eic-tut1-task4-connect.gif)
# Requisitos previos para EC2 Instance Connect
**Topics**
+ [
## Instalación de EC2 Instance Connect
](#eic-prereqs-install-eic-on-instance)
+ [
## Garantizar la conectividad de red
](#eic-prereqs-network-access)
+ [
## Permitir el tráfico SSH entrante
](#ec2-instance-connect-setup-security-group)
+ [
## Concesión de permisos
](#eic-prereqs-grant-permissions)
+ [
## Instalar un cliente SSH en el equipo local
](#eic-prereqs-install-ssh-client)
+ [
## Cumplir con los requisitos del nombre de usuario
](#eic-prereqs-username)
## Instalación de EC2 Instance Connect
Si quiere utilizar EC2 Instance Connect para conectarse a una instancia, esta debe tenerlo instalado. Puede iniciar la instancia con una AMI que viene preinstalada con EC2 Instance Connect o puede instalar este último en instancias que se inicien con AMI compatibles. Para obtener más información, consulte [Instalación de EC2 Instance Connect en sus instancias de EC2](ec2-instance-connect-set-up.md).
## Garantizar la conectividad de red
Las instancias se pueden configurar para permitir a los usuarios conectarse a ellas a través de Internet o mediante la dirección IP privada de la instancia. Debe configurar el siguiente acceso a la red en función del modo en que los usuarios se conecten a la instancia mediante EC2 Instance Connect:
+ Si los usuarios se conectarán a su instancia a través de Internet, entonces la instancia debe tener una dirección IPv4 o IPv6 pública y estar en una subred pública con una ruta hacia Internet. Si no ha modificado la subred pública predeterminada, esta incluirá una ruta hacia internet solo para IPv4, y no para IPv6. Para obtener más información, consulte [Concesión del acceso a internet de la VPC con puertas de enlace de Internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html#vpc-igw-internet-access) en la *Guía del usuario de Amazon VPC*.
+ Si los usuarios se conectarán a la instancia a través de la dirección IPv4 privada de la instancia, deberá establecer una conectividad de red privada con su VPC, por ejemplo, mediante AWS Direct Connect, AWS Site-to-Site VPN o el emparejamiento de VPC, para que los usuarios puedan llegar a la dirección IP privada de la instancia.
Si la instancia no tiene una dirección IPv4 o IPv6 pública y prefiere no configurar el acceso a la red como se describe anteriormente, puede considerar un punto de conexión de EC2 Instance Connect como alternativa a EC2 Instance Connect. Con el punto de conexión de EC2 Instance Connect, se puede conectar a una instancia mediante SSH o RDP incluso si la instancia no tiene una dirección IPv4 o IPv6 pública. Para obtener más información, consulte [Conexión a la instancia de Linux con la consola de Amazon EC2](connect-using-eice.md#connect-using-the-ec2-console).
## Permitir el tráfico SSH entrante
**Uso de la consola de Amazon EC2 para conectarse a una instancia**
Cuando los usuarios se conectan a una instancia mediante la consola de Amazon EC2, el tráfico que debe permitirse para llegar a la instancia es el tráfico del servicio de EC2 Instance Connect. El servicio se identifica mediante rangos de direcciones IP específicos, que AWS administra mediante listas de prefijos. Debe crear un grupo de seguridad que permita el tráfico SSH entrante desde el servicio de EC2 Instance Connect. Para configurar esto, en la regla de entrada, en el campo junto a **Origen**, seleccione la lista de prefijos de EC2 Instance Connect.
AWS proporciona diferentes listas de prefijos administrados para direcciones IPv4 e IPv6 para cada región. Los nombres de las listas de prefijos de EC2 Instance Connect son de la siguiente manera, donde *region* se reemplaza por el código Región:
+ Nombre de la lista de prefijos de IPv4: `com.amazonaws.region.ec2-instance-connect`
+ Nombre de la lista de prefijos de IPv6: `com.amazonaws.region.ipv6.ec2-instance-connect`
Para obtener las instrucciones sobre cómo crear el grupo de seguridad, consulte [Tarea 2: permitir el tráfico entrante desde el servicio EC2 Instance Connect a la instancia](ec2-instance-connect-tutorial.md#eic-tut1-task2). Para obtener más información, consulte [Listas de prefijos administradas de AWS disponibles](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-aws-managed-prefix-lists.html#available-aws-managed-prefix-lists) en la *Guía del usuario de Amazon VPC*.
**Uso de la CLI o SSH para conectarse a una instancia**
Asegúrese de que el grupo de seguridad asociado con la instancia [permite el tráfico SSH entrante](security-group-rules-reference.md#sg-rules-local-access) en el puerto 22 desde la dirección IP o desde la red. El grupo de seguridad predeterminado de la VPC no permite el tráfico SSH entrante de forma predeterminada. El grupo de seguridad creado por el asistente de inicialización de instancias habilita el tráfico SSH entrante de forma predeterminada. Para obtener más información, consulte [Reglas para conectarse a las instancias desde un equipo](security-group-rules-reference.md#sg-rules-local-access).
## Concesión de permisos
Debe conceder los permisos necesarios a todos los usuarios de IAM que usen EC2 Instance Connect para conectarse a una instancia. Para obtener más información, consulte [Concesión de permisos de IAM para EC2 Instance Connect](ec2-instance-connect-configure-IAM-role.md).
## Instalar un cliente SSH en el equipo local
Si los usuarios se van a conectar mediante SSH, deben asegurarse de que su equipo local tenga un cliente SSH.
Es muy probable que los equipos locales de los usuarios tengan un cliente SSH instalado de forma predeterminada. Pueden comprobar si tiene un cliente SSH escribiendo **ssh** en la línea de comandos. Si su equipo local no reconoce el comando, puede instalar un cliente SSH. Para obtener información sobre la instalación de un cliente SSH en Linux o macOS X, consulte [http://www.openssh.com](http://www.openssh.com/). Para obtener más información sobre la instalación de un cliente SSH en Windows 10, consulte [OpenSSH en Windows](https://learn.microsoft.com/en-us/windows-server/administration/OpenSSH/openssh-overview).
No hay necesidad de instalar un cliente SSH en un equipo local si los usuarios solo utilizan la consola de Amazon EC2 para conectarse a una instancia.
## Cumplir con los requisitos del nombre de usuario
Cuando se utiliza EC2 Instance Connect para conectarse a una instancia, el nombre de usuario debe cumplir los siguientes requisitos:
+ Primer carácter: debe ser una letra (`A-Z`, `a-z`), un dígito (`0-9`) o un guion bajo (`_`)
+ Caracteres posteriores: pueden ser letras (`A-Z`, `a-z`), dígitos (`0-9`) o los siguientes caracteres: `@ . _ -`
+ Longitud mínima: 1 carácter
+ Longitud máxima: 31 caracteres
# Concesión de permisos de IAM para EC2 Instance Connect
Si quiere conectarse a una instancia con EC2 Instance Connect, debe crear una política de IAM que conceda permisos a los usuarios para las siguientes acciones y condiciones:
+ Acción `ec2-instance-connect:SendSSHPublicKey`: concede permiso a un usuario para insertar la clave pública en una instancia.
+ Condición `ec2:osuser`: especifica el nombre del usuario de SO que puede enviar la clave pública a una instancia. Utilice el nombre de usuario predeterminado para la AMI que utilizó para lanzar la instancia. El nombre de usuario predeterminado para AL2023 y Amazon Linux 2 es `ec2-user` y para Ubuntu es `ubuntu`.
+ Acción `ec2:DescribeInstances`: es necesaria cuando se utiliza la consola de EC2 debido a que el encapsulador la llama. Es posible que los usuarios ya tengan permiso para llamar a esta acción desde otra política.
+ Acción `ec2:DescribeVpcs`: necesaria para conectarse a una dirección IPv6.
Considere restringir el acceso a instancias de EC2 específicas. De lo contrario, todas las entidades principales de IAM con permiso para la acción `ec2-instance-connect:SendSSHPublicKey` pueden conectarse a todas las instancias de EC2. Puede restringir el acceso mediante la especificación de ARN de recursos o al usar etiquetas de recurso como [claves de condición](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2instanceconnect.html#amazonec2instanceconnect-policy-keys).
Para obtener más información, consulte [Acciones, recursos y claves de condiciones para Amazon EC2 Instance Connect](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2instanceconnect.html).
Para obtener información acerca de las políticas de IAM, consulte [Creación de políticas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la *Guía del usuario de IAM*.
## Concesión de permisos para que los usuarios se conecten a instancias específicas
La siguiente política de IAM concede permiso para conectarse a instancias específicas, identificadas por sus ARN de recursos.
En el siguiente ejemplo de política de IAM, se especifican las siguientes acciones y condiciones:
+ La acción `ec2-instance-connect:SendSSHPublicKey` concede a los usuarios permiso para conectarse a dos instancias, especificadas por los ARN del recurso. Para conceder a los usuarios permiso para conectarse a *todas* las instancias de EC2, sustituya los ARN del recurso por el carácter comodín `*`.
+ La condición `ec2:osuser` concede permiso para conectarse a las instancias solo si se especifica *ami-username* al conectarse.
+ La acción `ec2:DescribeInstances` se especifica para conceder permisos a los usuarios que usarán la consola para conectarse a sus instancias. Si los usuarios solo utilizarán un cliente SSH para conectarse a sus instancias, puede omitir `ec2:DescribeInstances`. Tenga en cuenta que las acciones de la API `ec2:Describe*` no admiten permisos de recursos. Por lo tanto, el carácter comodín `*` es necesario en el elemento `Resource`.
+ La acción `ec2:DescribeVpcs` se especifica para otorgar permisos a los usuarios que utilizarán la consola para conectarse a sus instancias con una dirección IPv6. Si los usuarios van a utilizar únicamente una dirección IPv4 pública, puede omitir `ec2:DescribeVpcs`. Tenga en cuenta que las acciones de la API `ec2:Describe*` no admiten permisos de recursos. Por lo tanto, el carácter comodín `*` es necesario en el elemento `Resource`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "ec2-instance-connect:SendSSHPublicKey",
"Resource": [
"arn:aws:ec2:us-east-1:111122223333:instance/i-1234567890abcdef0",
"arn:aws:ec2:us-east-1:111122223333:instance/i-0598c7d356eba48d7"
],
"Condition": {
"StringEquals": {
"ec2:osuser": "ami-username"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeVpcs"
],
"Resource": "*"
}
]
}
```
------
## Concesión de permisos para que los usuarios se conecten a instancias con etiquetas específicas
El control de acceso basado en atributos (ABAC) es una estrategia de autorización que define permisos basados en etiquetas que pueden asociarse a usuarios y recursos de AWS. Puede utilizar etiquetas de recursos para controlar el acceso a una instancia. Para obtener más información sobre el uso de etiquetas para controlar el acceso a los recursos de AWS, consulte [Control de acceso a los recursos de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-resources) en la *Guía del usuario de IAM*.
En el siguiente ejemplo de política de IAM, la acción `ec2-instance-connect:SendSSHPublicKey` concede a los usuarios permiso para conectarse a cualquier instancia (lo que se indica mediante el carácter comodín `*` en el ARN del recurso) con la condición de que la instancia tenga una etiqueta de recurso con key=`tag-key` y value=`tag-value`.
La acción `ec2:DescribeInstances` se especifica para conceder permisos a los usuarios que usarán la consola para conectarse a sus instancias. Si los usuarios solo utilizarán un cliente SSH para conectarse a sus instancias, puede omitir `ec2:DescribeInstances`. Tenga en cuenta que las acciones de la API `ec2:Describe*` no admiten permisos de recursos. Por lo tanto, el carácter comodín `*` es necesario en el elemento `Resource`.
La acción `ec2:DescribeVpcs` se especifica para otorgar permisos a los usuarios que utilizarán la consola para conectarse a sus instancias con una dirección IPv6. Si los usuarios van a utilizar únicamente una dirección IPv4 pública, puede omitir `ec2:DescribeVpcs`. Tenga en cuenta que las acciones de la API `ec2:Describe*` no admiten permisos de recursos. Por lo tanto, el carácter comodín `*` es necesario en el elemento `Resource`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "ec2-instance-connect:SendSSHPublicKey",
"Resource": "arn:aws:ec2:us-east-1:111122223333:instance/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/tag-key": "tag-value"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeVpcs"
],
"Resource": "*"
}
]
}
```
------
# Instalación de EC2 Instance Connect en sus instancias de EC2
Para conectarse a una instancia de Linux mediante EC2 Instance Connect, la instancia debe tener EC2 Instance Connect instalado. La instalación de EC2 Instance Connect configura el daemon SSH en la instancia.
Para obtener más información sobre el paquete de EC2 Instance Connect, consulte [aws/aws-ec2-instance-connect-config ](https://github.com/aws/aws-ec2-instance-connect-config) en el sitio web de GitHub.
**nota**
Si ha configurado los ajustes `AuthorizedKeysCommand` y `AuthorizedKeysCommandUser` para la autenticación SSH, la instalación de EC2 Instance Connect no los actualizará. En consecuencia, no puede utilizar EC2 Instance Connect.
## Requisitos previos de instalación
Antes de instalar EC2 Instance Connect, asegúrese de cumplir los siguientes requisitos previos.
+ **Compruebe que la instancia utilice uno de los siguientes:**
+ Amazon Linux 2 anterior a la versión 2.0.20190618 \$1
+ AMI mínima de AL2023 o AMI optimizada para Amazon ECS
+ CentOS Stream 8 y 9
+ macOS Sonoma anterior a 14.2.1, Ventura anterior a 13.6.3 y Monterey anterior a 12.7.2 \$1
+ Red Hat Enterprise Linux (RHEL) 8 y 9
+ Ubuntu 16.04 y 18.04 \$1
**sugerencia**
\$1 Para Amazon Linux 2, macOS y Ubuntu: si lanzó la instancia con una versión posterior a las indicadas anteriormente, EC2 Instance Connect viene preinstalado y no es necesaria ninguna instalación manual.
+ **Verifique los requisitos previos generales para EC2 Instance Connect.**
Para obtener más información, consulte [Requisitos previos para EC2 Instance Connect](ec2-instance-connect-prerequisites.md).
+ **Verifique los requisitos previos para conectarse a la instancia mediante un cliente SSH en su equipo local.**
Para obtener más información, consulte [Conexión a la instancia de Linux con SSH](connect-to-linux-instance.md).
+ **Obtenga el ID de la instancia.**
Puede obtener el ID de su instancia con la consola de Amazon EC2 (en la columna **“Instance ID” [ID de la instancia]**). Si lo prefiere, puede usar el comando [Describir instancias](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instances.html) (AWS CLI) o el comando [Obtener instancia de EC2](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Instance.html) (AWS Tools for Windows PowerShell).
## Instalación manual de EC2 Instance Connect
**nota**
Si inició la instancia mediante una de las siguientes AMI, EC2 Instance Connect está preinstalado y puede omitir este procedimiento:
AMI estándar AL2023
Amazon Linux 2 2.0.20190618 o versiones posteriores
macOS Sonoma 14.2.1 o posterior
macOS Ventura 13.6.3 o posterior
macOS Monterey 12.7.2 o posterior
Ubuntu 20.04 o versiones posteriores
Utilice uno de los siguientes procedimientos para instalar EC2 Instance Connect, en función del sistema operativo de la instancia.
------
#### [ Amazon Linux 2 ]
**Para instalar EC2 Instance Connect en una instancia iniciada con Amazon Linux 2**
1. Conéctese a la instancia de mediante SSH.
Reemplace los valores de ejemplo en el siguiente comando por los suyos. Use el par de claves SSH que se asignó a su instancia cuando la lanzó y el nombre de usuario predeterminado de la AMI que utilizó para lanzar la instancia. Para Amazon Linux 2, el nombre de usuario predeterminado es `ec2-user`.
```
$ ssh -i my_ec2_private_key.pem ec2-user@ec2-a-b-c-d.us-west-2.compute.amazonaws.com
```
Para obtener más información sobre cómo conectarse a la instancia, consulte [Conexión a la instancia de Linux mediante un cliente SSH](connect-linux-inst-ssh.md).
1. Instale el paquete EC2 Instance Connect en su instancia.
```
[ec2-user ~]$ sudo yum install ec2-instance-connect
```
Debe ver tres scripts nuevos en la carpeta `/opt/aws/bin/`:
```
eic_curl_authorized_keys
eic_parse_authorized_keys
eic_run_authorized_keys
```
1. (Opcional) Compruebe que EC2 Instance Connect se haya instalado correctamente en su instancia.
```
[ec2-user ~]$ sudo less /etc/ssh/sshd_config
```
EC2 Instance Connect se instaló correctamente si las líneas `AuthorizedKeysCommand` y `AuthorizedKeysCommandUser` contienen los siguientes valores:
```
AuthorizedKeysCommand /opt/aws/bin/eic_run_authorized_keys %u %f
AuthorizedKeysCommandUser ec2-instance-connect
```
+ `AuthorizedKeysCommand` define el script `eic_run_authorized_keys` para que busque las claves en los metadatos de la instancia
+ `AuthorizedKeysCommandUser` define al usuario del sistema como `ec2-instance-connect`
**nota**
Si ya había configurado `AuthorizedKeysCommand` y `AuthorizedKeysCommandUser`, la instalación de EC2 Instance Connect no cambiará los valores y no podrá usar EC2 Instance Connect.
------
#### [ CentOS ]
**Instalar EC2 Instance Connect en una instancia iniciada con CentOS**
1. Conéctese a la instancia de mediante SSH.
Reemplace los valores de ejemplo en el siguiente comando por los suyos. Use el par de claves SSH que se asignó a su instancia cuando la lanzó y el nombre de usuario predeterminado de la AMI que utilizó para lanzar la instancia. Para CentOS, el nombre de usuario predeterminado es `centos` o `ec2-user`.
```
$ ssh -i my_ec2_private_key.pem centos@ec2-a-b-c-d.us-west-2.compute.amazonaws.com
```
Para obtener más información sobre cómo conectarse a la instancia, consulte [Conexión a la instancia de Linux mediante un cliente SSH](connect-linux-inst-ssh.md).
1. Si utiliza un proxy HTTP o HTTPS, debe establecer las variables de entorno `http_proxy` o `https_proxy` en la sesión de shell actual.
Si no usa un proxy, puede omitir este paso.
+ Para un servidor proxy HTTP, ejecute los siguientes comandos:
```
$ export http_proxy=http://hostname:port
$ export https_proxy=http://hostname:port
```
+ Para un servidor proxy HTTPS, ejecute los siguientes comandos:
```
$ export http_proxy=https://hostname:port
$ export https_proxy=https://hostname:port
```
1. Instale el paquete de EC2 Instance Connect en su instancia con los siguientes comandos.
Los archivos de configuración de EC2 Instance Connect para CentOS se proporcionan en un paquete de Red Hat Package Manager (RPM), con diferentes paquetes de RPM para CentOS 8 y CentOS 9 y para tipos de instancia que se ejecutan en Intel/AMD (x86\$164) o ARM (AArch64).
Use el bloque de comandos para el sistema operativo y la arquitectura de la CPU.
+ CentOS 8
Intel/AMD (x86\$164)
```
[ec2-user ~]$ mkdir /tmp/ec2-instance-connect
[ec2-user ~]$ curl https://amazon-ec2-instance-connect-us-west-2.s3.us-west-2.amazonaws.com/latest/linux_amd64/ec2-instance-connect-2.0.0-5.rhel8.x86_64.rpm -o /tmp/ec2-instance-connect/ec2-instance-connect.rpm
[ec2-user ~]$ curl https://amazon-ec2-instance-connect-us-west-2.s3.us-west-2.amazonaws.com/latest/linux_amd64/ec2-instance-connect-selinux-2.0.0-5.noarch.rpm -o /tmp/ec2-instance-connect/ec2-instance-connect-selinux.rpm
[ec2-user ~]$ sudo yum install -y /tmp/ec2-instance-connect/ec2-instance-connect.rpm /tmp/ec2-instance-connect/ec2-instance-connect-selinux.rpm
```
RAM (AArch64)
```
[ec2-user ~]$ mkdir /tmp/ec2-instance-connect
[ec2-user ~]$ curl https://amazon-ec2-instance-connect-us-west-2.s3.us-west-2.amazonaws.com/latest/linux_arm64/ec2-instance-connect-2.0.0-5.rhel8.aarch64.rpm -o /tmp/ec2-instance-connect/ec2-instance-connect.rpm
[ec2-user ~]$ curl https://amazon-ec2-instance-connect-us-west-2.s3.us-west-2.amazonaws.com/latest/linux_arm64/ec2-instance-connect-selinux-2.0.0-5.noarch.rpm -o /tmp/ec2-instance-connect/ec2-instance-connect-selinux.rpm
[ec2-user ~]$ sudo yum install -y /tmp/ec2-instance-connect/ec2-instance-connect.rpm /tmp/ec2-instance-connect/ec2-instance-connect-selinux.rpm
```
+ CentOS 9
Intel/AMD (x86\$164)
```
[ec2-user ~]$ mkdir /tmp/ec2-instance-connect
[ec2-user ~]$ curl https://amazon-ec2-instance-connect-us-west-2.s3.us-west-2.amazonaws.com/latest/linux_amd64/ec2-instance-connect-2.0.0-5.rhel9.x86_64.rpm -o /tmp/ec2-instance-connect/ec2-instance-connect.rpm
[ec2-user ~]$ curl https://amazon-ec2-instance-connect-us-west-2.s3.us-west-2.amazonaws.com/latest/linux_amd64/ec2-instance-connect-selinux-2.0.0-5.noarch.rpm -o /tmp/ec2-instance-connect/ec2-instance-connect-selinux.rpm
[ec2-user ~]$ sudo yum install -y /tmp/ec2-instance-connect/ec2-instance-connect.rpm /tmp/ec2-instance-connect/ec2-instance-connect-selinux.rpm
```
RAM (AArch64)
```
[ec2-user ~]$ mkdir /tmp/ec2-instance-connect
[ec2-user ~]$ curl https://amazon-ec2-instance-connect-us-west-2.s3.us-west-2.amazonaws.com/latest/linux_arm64/ec2-instance-connect-2.0.0-5.rhel9.aarch64.rpm -o /tmp/ec2-instance-connect/ec2-instance-connect.rpm
[ec2-user ~]$ curl https://amazon-ec2-instance-connect-us-west-2.s3.us-west-2.amazonaws.com/latest/linux_arm64/ec2-instance-connect-selinux-2.0.0-5.noarch.rpm -o /tmp/ec2-instance-connect/ec2-instance-connect-selinux.rpm
[ec2-user ~]$ sudo yum install -y /tmp/ec2-instance-connect/ec2-instance-connect.rpm /tmp/ec2-instance-connect/ec2-instance-connect-selinux.rpm
```
Debería ver los siguientes scripts nuevos en la carpeta `/opt/aws/bin/`:
```
eic_run_authorized_keys
```
1. (Opcional) Compruebe que EC2 Instance Connect se haya instalado correctamente en su instancia.
+ Para CentOS 8:
```
[ec2-user ~]$ sudo less /lib/systemd/system/sshd.service.d/ec2-instance-connect.conf
```
+ Para CentOS 9:
```
[ec2-user ~]$ sudo less /etc/ssh/sshd_config.d/60-ec2-instance-connect.conf
```
EC2 Instance Connect se instaló correctamente si las líneas `AuthorizedKeysCommand` y `AuthorizedKeysCommandUser` contienen los siguientes valores:
```
AuthorizedKeysCommand /opt/aws/bin/eic_run_authorized_keys %u %f
AuthorizedKeysCommandUser ec2-instance-connect
```
+ `AuthorizedKeysCommand` define el script `eic_run_authorized_keys` para que busque las claves en los metadatos de la instancia
+ `AuthorizedKeysCommandUser` define al usuario del sistema como `ec2-instance-connect`
**nota**
Si ya había configurado `AuthorizedKeysCommand` y `AuthorizedKeysCommandUser`, la instalación de EC2 Instance Connect no cambiará los valores y no podrá usar EC2 Instance Connect.
------
#### [ macOS ]
**Instalar EC2 Instance Connect en una instancia iniciada con macOS**
1. Conéctese a la instancia de mediante SSH.
Reemplace los valores de ejemplo en el siguiente comando por los suyos. Use el par de claves SSH que se asignó a su instancia cuando la lanzó y el nombre de usuario predeterminado de la AMI que utilizó para lanzar la instancia. Para las instancias de macOS, el nombre de usuario predeterminado es `ec2-user`.
```
$ ssh -i my_ec2_private_key.pem ec2-user@ec2-a-b-c-d.us-west-2.compute.amazonaws.com
```
Para obtener más información sobre cómo conectarse a la instancia, consulte [Conexión a la instancia de Linux mediante un cliente SSH](connect-linux-inst-ssh.md).
1. Actualice Homebrew mediante el siguiente comando. La actualización incluirá el software que Homebrew conoce. El paquete EC2 Instance Connect se proporciona a través de Homebrew en las instancias de macOS. Para obtener más información, consulte [Cómo actualizar el sistema operativo y el software en las instancias de Mac de Amazon EC2](mac-instance-updates.md).
```
[ec2-user ~]$ brew update
```
1. Instale el paquete EC2 Instance Connect en su instancia. Esto instalará el software y configurará sshd para usarlo.
```
[ec2-user ~]$ brew install ec2-instance-connect
```
Debería ver los siguientes scripts nuevos en la carpeta `/opt/aws/bin/`:
```
eic_run_authorized_keys
```
1. (Opcional) Compruebe que EC2 Instance Connect se haya instalado correctamente en su instancia.
```
[ec2-user ~]$ sudo less /etc/ssh/sshd_config.d/60-ec2-instance-connect.conf
```
EC2 Instance Connect se instaló correctamente si las líneas `AuthorizedKeysCommand` y `AuthorizedKeysCommandUser` contienen los siguientes valores:
```
AuthorizedKeysCommand /opt/aws/bin/eic_run_authorized_keys %u %f
AuthorizedKeysCommandUser ec2-instance-connect
```
+ `AuthorizedKeysCommand` define el script `eic_run_authorized_keys` para que busque las claves en los metadatos de la instancia
+ `AuthorizedKeysCommandUser` define al usuario del sistema como `ec2-instance-connect`
**nota**
Si ya había configurado `AuthorizedKeysCommand` y `AuthorizedKeysCommandUser`, la instalación de EC2 Instance Connect no cambiará los valores y no podrá usar EC2 Instance Connect.
------
#### [ RHEL ]
**Instalar EC2 Instance Connect en una instancia iniciada con Red Hat Enterprise Linux (RHEL)**
1. Conéctese a la instancia de mediante SSH.
Reemplace los valores de ejemplo en el siguiente comando por los suyos. Use el par de claves SSH que se asignó a su instancia cuando la lanzó y el nombre de usuario predeterminado de la AMI que utilizó para lanzar la instancia. Para RHEL, el nombre de usuario predeterminado es `ec2-user` o `root`.
```
$ ssh -i my_ec2_private_key.pem ec2-user@ec2-a-b-c-d.us-west-2.compute.amazonaws.com
```
Para obtener más información sobre cómo conectarse a la instancia, consulte [Conexión a la instancia de Linux mediante un cliente SSH](connect-linux-inst-ssh.md).
1. Si utiliza un proxy HTTP o HTTPS, debe establecer las variables de entorno `http_proxy` o `https_proxy` en la sesión de shell actual.
Si no usa un proxy, puede omitir este paso.
+ Para un servidor proxy HTTP, ejecute los siguientes comandos:
```
$ export http_proxy=http://hostname:port
$ export https_proxy=http://hostname:port
```
+ Para un servidor proxy HTTPS, ejecute los siguientes comandos:
```
$ export http_proxy=https://hostname:port
$ export https_proxy=https://hostname:port
```
1. Instale el paquete de EC2 Instance Connect en su instancia con los siguientes comandos.
Los archivos de configuración de EC2 Instance Connect para RHEL se proporcionan en un paquete Red Hat Package Manager (RPM), con diferentes paquetes RPM para RHEL 8 y RHEL 9 y, por ejemplo, tipos que se ejecutan en Intel/AMD (x86\$164) o ARM (AArch64).
Use el bloque de comandos para el sistema operativo y la arquitectura de la CPU.
+ RHEL 8
Intel/AMD (x86\$164)
```
[ec2-user ~]$ mkdir /tmp/ec2-instance-connect
[ec2-user ~]$ curl https://amazon-ec2-instance-connect-us-west-2.s3.us-west-2.amazonaws.com/latest/linux_amd64/ec2-instance-connect-2.0.0-5.rhel8.x86_64.rpm -o /tmp/ec2-instance-connect/ec2-instance-connect.rpm
[ec2-user ~]$ curl https://amazon-ec2-instance-connect-us-west-2.s3.us-west-2.amazonaws.com/latest/linux_amd64/ec2-instance-connect-selinux-2.0.0-5.noarch.rpm -o /tmp/ec2-instance-connect/ec2-instance-connect-selinux.rpm
[ec2-user ~]$ sudo yum install -y /tmp/ec2-instance-connect/ec2-instance-connect.rpm /tmp/ec2-instance-connect/ec2-instance-connect-selinux.rpm
```
RAM (AArch64)
```
[ec2-user ~]$ mkdir /tmp/ec2-instance-connect
[ec2-user ~]$ curl https://amazon-ec2-instance-connect-us-west-2.s3.us-west-2.amazonaws.com/latest/linux_arm64/ec2-instance-connect-2.0.0-5.rhel8.aarch64.rpm -o /tmp/ec2-instance-connect/ec2-instance-connect.rpm
[ec2-user ~]$ curl https://amazon-ec2-instance-connect-us-west-2.s3.us-west-2.amazonaws.com/latest/linux_arm64/ec2-instance-connect-selinux-2.0.0-5.noarch.rpm -o /tmp/ec2-instance-connect/ec2-instance-connect-selinux.rpm
[ec2-user ~]$ sudo yum install -y /tmp/ec2-instance-connect/ec2-instance-connect.rpm /tmp/ec2-instance-connect/ec2-instance-connect-selinux.rpm
```
+ RHEL 9
Intel/AMD (x86\$164)
```
[ec2-user ~]$ mkdir /tmp/ec2-instance-connect
[ec2-user ~]$ curl https://amazon-ec2-instance-connect-us-west-2.s3.us-west-2.amazonaws.com/latest/linux_amd64/ec2-instance-connect-2.0.0-5.rhel9.x86_64.rpm -o /tmp/ec2-instance-connect/ec2-instance-connect.rpm
[ec2-user ~]$ curl https://amazon-ec2-instance-connect-us-west-2.s3.us-west-2.amazonaws.com/latest/linux_amd64/ec2-instance-connect-selinux-2.0.0-5.noarch.rpm -o /tmp/ec2-instance-connect/ec2-instance-connect-selinux.rpm
[ec2-user ~]$ sudo yum install -y /tmp/ec2-instance-connect/ec2-instance-connect.rpm /tmp/ec2-instance-connect/ec2-instance-connect-selinux.rpm
```
RAM (AArch64)
```
[ec2-user ~]$ mkdir /tmp/ec2-instance-connect
[ec2-user ~]$ curl https://amazon-ec2-instance-connect-us-west-2.s3.us-west-2.amazonaws.com/latest/linux_arm64/ec2-instance-connect-2.0.0-5.rhel9.aarch64.rpm -o /tmp/ec2-instance-connect/ec2-instance-connect.rpm
[ec2-user ~]$ curl https://amazon-ec2-instance-connect-us-west-2.s3.us-west-2.amazonaws.com/latest/linux_arm64/ec2-instance-connect-selinux-2.0.0-5.noarch.rpm -o /tmp/ec2-instance-connect/ec2-instance-connect-selinux.rpm
[ec2-user ~]$ sudo yum install -y /tmp/ec2-instance-connect/ec2-instance-connect.rpm /tmp/ec2-instance-connect/ec2-instance-connect-selinux.rpm
```
Debería ver los siguientes scripts nuevos en la carpeta `/opt/aws/bin/`:
```
eic_run_authorized_keys
```
1. (Opcional) Compruebe que EC2 Instance Connect se haya instalado correctamente en su instancia.
+ Para RHEL 8:
```
[ec2-user ~]$ sudo less /lib/systemd/system/sshd.service.d/ec2-instance-connect.conf
```
+ Para RHEL 9:
```
[ec2-user ~]$ sudo less /etc/ssh/sshd_config.d/60-ec2-instance-connect.conf
```
EC2 Instance Connect se instaló correctamente si las líneas `AuthorizedKeysCommand` y `AuthorizedKeysCommandUser` contienen los siguientes valores:
```
AuthorizedKeysCommand /opt/aws/bin/eic_run_authorized_keys %u %f
AuthorizedKeysCommandUser ec2-instance-connect
```
+ `AuthorizedKeysCommand` define el script `eic_run_authorized_keys` para que busque las claves en los metadatos de la instancia
+ `AuthorizedKeysCommandUser` define al usuario del sistema como `ec2-instance-connect`
**nota**
Si ya había configurado `AuthorizedKeysCommand` y `AuthorizedKeysCommandUser`, la instalación de EC2 Instance Connect no cambiará los valores y no podrá usar EC2 Instance Connect.
------
#### [ Ubuntu ]
**Para instalar EC2 Instance Connect en una instancia iniciada con Ubuntu 16.04 o una versión posterior**
1. Conéctese a la instancia de mediante SSH.
Reemplace los valores de ejemplo en el siguiente comando por los suyos. Use el par de claves SSH que se asignó a su instancia cuando la lanzó y el nombre de usuario predeterminado de la AMI que utilizó para lanzar la instancia. Para una AMI de Ubuntu, el nombre de usuario es `ubuntu`.
```
$ ssh -i my_ec2_private_key.pem ubuntu@ec2-a-b-c-d.us-west-2.compute.amazonaws.com
```
Para obtener más información sobre cómo conectarse a la instancia, consulte [Conexión a la instancia de Linux mediante un cliente SSH](connect-linux-inst-ssh.md).
1. (Opcional) Asegúrese de que su instancia tenga la AMI de Ubuntu más reciente.
Ejecute los siguientes comandos para actualizar todos los paquetes de su instancia.
```
ubuntu:~$ sudo apt-get update
```
```
ubuntu:~$ sudo apt-get upgrade
```
1. Instale el paquete EC2 Instance Connect en su instancia.
```
ubuntu:~$ sudo apt-get install ec2-instance-connect
```
Debe ver tres scripts nuevos en la carpeta `/usr/share/ec2-instance-connect/`:
```
eic_curl_authorized_keys
eic_parse_authorized_keys
eic_run_authorized_keys
```
1. (Opcional) Compruebe que EC2 Instance Connect se haya instalado correctamente en su instancia.
```
ubuntu:~$ sudo less /lib/systemd/system/ssh.service.d/ec2-instance-connect.conf
```
EC2 Instance Connect se instaló correctamente si las líneas `AuthorizedKeysCommand` y `AuthorizedKeysCommandUser` contienen los siguientes valores:
```
AuthorizedKeysCommand /usr/share/ec2-instance-connect/eic_run_authorized_keys %%u %%f
AuthorizedKeysCommandUser ec2-instance-connect
```
+ `AuthorizedKeysCommand` define el script `eic_run_authorized_keys` para que busque las claves en los metadatos de la instancia
+ `AuthorizedKeysCommandUser` define al usuario del sistema como `ec2-instance-connect`
**nota**
Si ya había configurado `AuthorizedKeysCommand` y `AuthorizedKeysCommandUser`, la instalación de EC2 Instance Connect no cambiará los valores y no podrá usar EC2 Instance Connect.
------
# Conectarse a la instancia de Linux con EC2 Instance Connect
Las siguientes instrucciones explican cómo conectarse a la instancia de Linux mediante EC2 Instance Connect mediante la consola de Amazon EC2, la AWS CLI o un cliente SSH.
Al establecer conexión con una instancia mediante EC2 Instance Connect a través de la consola o AWS CLI, la API de EC2 Instance Connect inserta automáticamente una clave pública SSH en los [metadatos de la instancia](ec2-instance-metadata.md), donde permanece por 60 segundos. La política de IAM asociada al usuario autoriza esta acción. Si prefiere utilizar una clave de SSH propia, puede emplear un cliente SSH y enviar explícitamente la clave SSH a la instancia mediante EC2 Instance Connect.
**Consideraciones**
Tras conectarse a una instancia mediante EC2 Instance Connect, la conexión persiste hasta que finalice la sesión SSH. La duración de la conexión no viene determinada por la duración de sus credenciales de IAM. Si sus credenciales de IAM caducan, la conexión seguirá persistiendo. Al utilizar la experiencia de consola de EC2 Instance Connect, si sus credenciales de IAM caducan, finalice la conexión cerrando la página del navegador. Al utilizar su propio cliente SSH y EC2 Instance Connect para enviar su clave, puede establecer un valor de tiempo de espera de SSH para finalizar la sesión de SSH automáticamente.
**Requisitos**
Antes de comenzar, asegúrese de revisar todos los [requisitos previos](ec2-instance-connect-prerequisites.md).
**Topics**
+ [
## Conectarse desde la consola de Amazon EC2
](#ec2-instance-connect-connecting-console)
+ [
## Conexión mediante la AWS CLI
](#connect-linux-inst-eic-cli-ssh)
+ [
## Conexión con su propia clave y cliente SSH
](#ec2-instance-connect-connecting-aws-cli)
+ [
## Solución de problemas
](#ic-troubleshoot)
## Conectarse desde la consola de Amazon EC2
Puede conectarse a una instancia mediante EC2 Instance Connect mediante la consola de Amazon EC2.
**Requisitos**
Para conectarse mediante la consola de Amazon EC2, la instancia debe tener una dirección IPv4 o IPv6 pública. Si la instancia solo tiene una dirección IPv4 privada, puede establecer conexión mediante la [AWS CLI ec2-instance-connect](#connect-linux-inst-eic-cli-ssh).
**Para conectarse a la instancia mediante la consola de Amazon EC2**
1. Abra la consola de Amazon EC2 en [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. En el panel de navegación, seleccione **Instances** (Instancia[s]).
1. Seleccione la instancia y elija **Connect (Conectar)**.
1. Elija la pestaña **EC2 Instance Connect**.
1. Elija **Conéctese a través de una IP pública**.
1. Si hay una opción, seleccione la dirección IP a la que desea conectarse. De lo contrario, la dirección IP se selecciona de forma automática.
1. En **Nombre de usuario**, escriba el nombre de usuario.
1. Elija **Conectarse** para establecer conexión. Se abrirá una ventana de terminal en el navegador.
## Conexión mediante la AWS CLI
Si conoce la AWS CLI [ec2-instance-connect](https://docs.aws.amazon.com/cli/latest/reference/ec2-instance-connect/index.html) para establecer conexión con la instancia con un cliente SSH. EC2 Instance Connect intenta establecer una conexión mediante una dirección IP disponible en un orden predefinido, según el tipo de conexión especificado. Si una dirección IP no está disponible, prueba automáticamente con la siguiente según el orden.Tipos de conexión
`auto` (predeterminado)
EC2 Instance Connect intenta establecer conexión mediante las direcciones IP de la instancia en el siguiente orden y con el tipo de conexión correspondiente:
1. IPv4 pública: `direct`
1. IPv4 privada: `eice`
1. IPv6: `direct`
`direct`
EC2 Instance Connect intenta establecer conexión mediante las direcciones IP de la instancia en el siguiente orden:
1. IPv4 pública
1. IPv6
1. IPv4 privada (no se conecta a través de un punto de conexión de EC2 Instance Connect)
`eice`
EC2 Instance Connect se intenta conectar mediante la dirección IPv4 privada de la instancia y un [punto de conexión de EC2 Instance Connect](connect-with-ec2-instance-connect-endpoint.md).
**nota**
En el futuro, es posible que cambiemos el comportamiento del tipo de conexión `auto`. Para asegurarse de que se utiliza el tipo de conexión deseado, recomendamos que explícitamente defina `--connection-type` en `direct` o `eice`.
**Requisitos**
Debe utilizar la versión 2 de la AWS CLI. Para obtener más información, consulte [Instalar o actualizar la última versión de la AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).
**Para conectarse a una instancia mediante el ID de la instancia**
Si solo conoce el ID de la instancia y quiere que EC2 Instance Connect determine el tipo de conexión que se utilizará al establecer conexión con la instancia, utilice el comando de la CLI [ec2-instance-connect ssh](https://docs.aws.amazon.com/cli/latest/reference/ec2-instance-connect/ssh.html) con el ID de la instancia.
```
aws ec2-instance-connect ssh --instance-id i-1234567890example
```
**Para conectarse a una instancia mediante el ID de instancia y un punto de conexión de EC2 Instance Connect**
Si quiere conectarse a la instancia a través de un [punto de conexión de EC2 Instance Connect](connect-with-ec2-instance-connect-endpoint.md), utilice el comando anterior y especifique también el parámetro `--connection-type` con el valor `eice`.
```
aws ec2-instance-connect ssh --instance-id i-1234567890example --connection-type eice
```
**Para conectarse a una instancia mediante el ID de la instancia y su propio archivo de clave privada**
Si quiere conectarse a la instancia a través de un punto de conexión de EC2 Instance Connect mediante su propia clave privada, especifique el ID de la instancia y la ruta al archivo de clave privada. No incluya *file://* en la ruta; se producirá un error en el siguiente ejemplo: *file:///path/to/key*.
```
aws ec2-instance-connect ssh --instance-id i-1234567890example --private-key-file /path/to/key.pem
```
**sugerencia**
Si aparece un error al usar estos comandos, asegúrese de que usa la versión 2 de la AWS CLI porque el comando `ssh` solo está disponible en esta versión principal. También recomendamos actualizar periódicamente a la última versión secundaria de la versión 2 de la AWS CLI para acceder a las características más recientes. Para obtener más información, consulte [Información AWS CLI sobre la versión 2](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html#welcome-versions-v2) en la *AWS Command Line InterfaceGuía del usuario*.
## Conexión con su propia clave y cliente SSH
Puede usar su propia clave SSH y conectarse a su instancia desde el cliente SSH que elija al utilizar la API EC2 Instance Connect. Esto le permite aprovechar la capacidad de EC2 Instance Connect de insertar una clave pública en la instancia. Este método de conexión funciona para instancias con direcciones IP públicas y privadas.
**Requisitos**
+ Requisitos para pares de claves
+ Tipos compatibles: RSA (OpenSSH y SSH2) y ED25519.
+ Las longitudes admitidas son 2048 y 4096.
+ Para obtener más información, consulte [Crear un par de claves con una herramienta de terceros e importar la clave pública a Amazon EC2](create-key-pairs.md#how-to-generate-your-own-key-and-import-it-to-aws).
+ Cuando se conecta a una instancia que solo tiene direcciones IP privadas, el equipo local desde el que está iniciando la sesión de SSH debe tener conectividad al punto de conexión del servicio de EC2 Instance Connect (para enviar la clave pública de SSH a la instancia), así como conectividad de red a la dirección IP privada de la instancia a fin de establecer la sesión de SSH. Se puede acceder al punto de conexión de servicio de EC2 Instance Connect a través de Internet o de una interfaz virtual pública de Direct Connect. Para conectarse a la dirección IP privada de la instancia, puede aprovechar servicios tales como [Direct Connect](https://aws.amazon.com/directconnect/), [AWS Site-to-Site VPN](https://aws.amazon.com/vpn/) o el [emparejamiento de VPC](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html).
**Para conectarse a la instancia mediante su propia clave y cualquier cliente SSH**
1.
**De forma opcional, puede generar claves públicas y privadas SSH.**
Puede generar nuevas claves públicas y privadas SSH, `my_key` y `my_key.pub`, mediante el siguiente comando:
```
ssh-keygen -t rsa -f my_key
```
1.
**Inserte la clave pública SSH en la instancia**
Use el comando [https://docs.aws.amazon.com/cli/latest/reference/ec2-instance-connect/send-ssh-public-key.html](https://docs.aws.amazon.com/cli/latest/reference/ec2-instance-connect/send-ssh-public-key.html) para insertar la clave pública SSH en la instancia. Si utilizó AL2023 o Amazon Linux 2 para lanzar la instancia, el nombre de usuario predeterminado de la AMI es `ec2-user`. Si utilizó Ubuntu para lanzar la instancia, el nombre de usuario predeterminado de la AMI es `ubuntu`.
En el siguiente ejemplo, se inserta la clave pública en la instancia especificada, en la zona de disponibilidad especificada, para autenticar `ec2-user`.
```
aws ec2-instance-connect send-ssh-public-key \
--region us-west-2 \
--availability-zone us-west-2b \
--instance-id i-001234a4bf70dec41EXAMPLE \
--instance-os-user ec2-user \
--ssh-public-key file://my_key.pub
```
1.
**Conéctese a la instancia mediante su clave privada**
Use el comando **ssh** para conectarse a la instancia mediante la clave privada antes de que se elimine la clave pública de los metadatos de la instancia (tiene 60 segundos para ello). Especifique la clave privada que se corresponde con la clave pública, el nombre de usuario predeterminado para la AMI que se usó para lanzar la instancia y el nombre del DNS público de la instancia (si se conecta a través de una red privada, especifique el nombre del DNS o la dirección IP privados). Agregue la opción `IdentitiesOnly=yes` para asegurarse de que solo los archivos en la configuración ssh y la clave especificada se utilizan para la conexión.
```
ssh -o "IdentitiesOnly=yes" -i my_key ec2-user@ec2-198-51-100-1.compute-1.amazonaws.com
```
En el siguiente ejemplo se utiliza `timeout 3600` para configurar la sesión SSH de modo que finalice después de 1 hora. Los procesos iniciados durante la sesión pueden seguir ejecutándose en la instancia una vez finalizada la sesión.
```
timeout 3600 ssh -o “IdentitiesOnly=yes” -i my_key ec2-user@ec2-198-51-100-1.compute-1.amazonaws.com
```
## Solución de problemas
Si aparece un error mientras intenta conectarse a la instancia, consulte lo siguiente:
+ [Solución de problemas de conexión a la instancia de Linux de Amazon EC2](TroubleshootingInstancesConnecting.md)
+ [Cómo puedo solucionar problemas de conexión a mi instancia de EC2 mediante EC2 Instance Connect?](https://repost.aws/knowledge-center/ec2-instance-connect-troubleshooting)
# Desinstalación de EC2 Instance Connect
Para deshabilitar EC2 Instance Connect, conéctese a su instancia de Linux y desinstale el paquete `ec2-instance-connect` instalado en el sistema operativo. Si la configuración de `sshd` coincide con lo que se definió cuando instaló EC2 Instance Connect, la desinstalación de `ec2-instance-connect` también elimina la configuración de `sshd`. Si modificó la configuración de `sshd` después de instalar EC2 Instance Connect, debe actualizarla manualmente.
------
#### [ Amazon Linux ]
Puede desinstalar EC2 Instance Connect en AL2023 y Amazon Linux 2 2.0.20190618 o una versión posterior, donde EC2 Instance Connect está preconfigurado.
**Para desinstalar EC2 Instance Connect en una instancia iniciada con Amazon Linux**
1. Conéctese a la instancia mediante SSH. Especifique el par de claves SSH que utilizó para su instancia cuando la lanzó y el nombre de usuario predeterminado para la AMI de AL2023 o Amazon Linux 2, que es `ec2-user`.
Por ejemplo, el siguiente comando **ssh** conecta a la instancia con el nombre de DNS público `ec2-a-b-c-d.us-west-2.compute.amazonaws.com`, mediante el par de claves `my_ec2_private_key.pem`.
```
$ ssh -i my_ec2_private_key.pem ec2-user@ec2-a-b-c-d.us-west-2.compute.amazonaws.com
```
1. Desinstale el paquete `ec2-instance-connect` mediante el comando **yum**.
```
[ec2-user ~]$ sudo yum remove ec2-instance-connect
```
------
#### [ Ubuntu ]
**Para desinstalar EC2 Instance Connect en una instancia iniciada con una AMI de Ubuntu**
1. Conéctese a la instancia mediante SSH. Especifique el par de claves SSH que utilizó para su instancia cuando lo lanzó y el nombre de usuario predeterminado para la AMI de Ubuntu, que es `ubuntu`.
Por ejemplo, el siguiente comando **ssh** conecta a la instancia con el nombre de DNS público `ec2-a-b-c-d.us-west-2.compute.amazonaws.com`, mediante el par de claves `my_ec2_private_key.pem`.
```
$ ssh -i my_ec2_private_key.pem ubuntu@ec2-a-b-c-d.us-west-2.compute.amazonaws.com
```
1. Desinstale el paquete `ec2-instance-connect` mediante el comando **apt-get**.
```
ubuntu:~$ sudo apt-get remove ec2-instance-connect
```
------
# Conexión a las instancias mediante una dirección IP privada y el punto de conexión de EC2 Instance Connect
El punto de conexión de EC2 Instance Connect le permite conectarse de forma segura a una instancia desde Internet, sin utilizar un host bastión ni requerir que su nube privada virtual (VPC) tenga conectividad directa a Internet.
**Ventajas**
+ Ahora puede conectarse a sus instancias sin que estas tengan una dirección IPv4 o IPv6 pública. AWS cobra por todas las direcciones IPv4 públicas, incluidas las direcciones IPv4 públicas asociadas a las instancias en ejecución y las direcciones IP elásticas. Para obtener más información, consulte la pestaña **Dirección IPv4 pública** en la [página Precios de Amazon VPC](https://aws.amazon.com/vpc/pricing/).
+ Puede conectarse a las instancias desde Internet sin necesidad de que su VPC tenga conectividad directa a Internet mediante una [puerta de enlace de Internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html).
+ Puede controlar el acceso a la creación y el uso de los puntos de conexión de EC2 Instance Connect para conectarse a las instancias con [permisos y políticas de IAM](permissions-for-ec2-instance-connect-endpoint.md).
+ Todos los intentos de conexión a las instancias, tanto los correctos como los que producen errores, se registran en [CloudTrail](log-ec2-instance-connect-endpoint-using-cloudtrail.md).
**Precios**
El uso de los puntos de conexión de EC2 Instance Connect no conlleva ningún costo adicional. Si utiliza un punto de conexión de EC2 Instance Connect para conectarse a una instancia que se encuentra en una zona de disponibilidad diferente, se aplica un [cargo adicional por transferencia de datos](https://aws.amazon.com/ec2/pricing/on-demand/#Data_Transfer_within_the_same_AWS_Region) entre zonas de disponibilidad.
**Topics**
+ [
## Funcionamiento
](#how-eice-works)
+ [
## Consideraciones
](#ec2-instance-connect-endpoint-prerequisites)
+ [Permisos](permissions-for-ec2-instance-connect-endpoint.md)
+ [Grupos de seguridad](eice-security-groups.md)
+ [
# Creación de un punto de conexión de EC2 Instance Connect
](create-ec2-instance-connect-endpoints.md)
+ [
# Modificación de un punto de conexión de EC2 Instance Connect
](modify-ec2-instance-connect-endpoint.md)
+ [
# Eliminar un punto de conexión de EC2 Instance Connect
](delete-ec2-instance-connect-endpoint.md)
+ [Conexión a una instancia](connect-using-eice.md)
+ [Registro de conexiones](log-ec2-instance-connect-endpoint-using-cloudtrail.md)
+ [Rol vinculado a servicios](eice-slr.md)
+ [Cuotas](eice-quotas.md)
## Funcionamiento
El punto de conexión de EC2 Instance Connect es un proxy TCP que reconoce la identidad. El servicio de punto de conexión de EC2 Instance Connect establece un túnel privado desde el equipo hasta el punto final mediante las credenciales de la entidad de IAM. El tráfico se autentica y autoriza antes de que llegue a la VPC.
Puede [configurar reglas de grupos de seguridad adicionales](eice-security-groups.md) para restringir el tráfico entrante a las instancias. Por ejemplo, puede usar reglas de entrada en las instancias para permitir únicamente el tráfico en los puertos de administración desde el punto de conexión de EC2 Instance Connect.
Puede configurar las reglas de la tabla de enrutamiento para permitir que el punto de conexión se conecte a cualquier instancia de cualquier subred de la VPC.
En el siguiente diagrama, se muestra cómo un usuario puede conectarse a las instancias desde Internet mediante un punto de conexión de EC2 Instance Connect. En primer lugar, cree un **punto de conexión de EC2 Instance Connect** en la subred A. Creamos una interfaz de red para el punto de conexión en la subred, que sirve como punto de entrada para el tráfico destinado a las instancias de la VPC. Si la tabla de enrutamiento de la subred B permite el tráfico de la subred A, puede usar el punto de conexión para llegar a las instancias de la subred B.
![\[Descripción general del flujo de puntos de conexión de EC2 Instance Connect.\]](http://docs.aws.amazon.com/es_es/AWSEC2/latest/UserGuide/images/ec2-instance-connect-endpoint.png)
## Consideraciones
Antes de comenzar, considere lo siguiente:
+ El punto de conexión de EC2 Instance Connect está diseñado específicamente para casos de uso de tráfico de administración y no para transferencias de datos de gran volumen. Las transferencias de datos de gran volumen están limitadas.
+ Puede crear un punto de conexión de EC2 Instance Connect para admitir el tráfico hacia una instancia que tenga una dirección IPv4 o IPv6 privada. El tipo de dirección IP del punto de conexión debe coincidir con la dirección IP de la instancia. Puede crear un punto de conexión que admita todos los tipos de direcciones IP.
+ (Instancias de Linux) Si usa su propio par de claves, puede usar cualquier AMI de Linux. De lo contrario, la instancia debe tener instalado EC2 Instance Connect. Para obtener información sobre qué AMI incluyen EC2 Instance Connect y cómo instalarlo en otras AMI compatibles, consulte [Instalación de EC2 Instance Connect](ec2-instance-connect-set-up.md).
+ Puede asignar un grupo de seguridad a un punto de conexión de EC2 Instance Connect. De lo contrario, se usará el grupo de seguridad predeterminado para la VPC. El grupo de seguridad de un punto de conexión de EC2 Instance Connect debe permitir el tráfico saliente a las instancias de destino. Para obtener más información, consulte [Grupos de seguridad para el punto de conexión de EC2 Instance Connect](eice-security-groups.md).
+ Puede configurar un punto de conexión de EC2 Instance Connect para mantener las direcciones IP de origen de los clientes al enrutar las solicitudes a las instancias. De lo contrario, la dirección IP de la interfaz de red pasará a ser la dirección IP del cliente para todo el tráfico entrante.
+ Si activa la conservación de la IP del cliente, los grupos de seguridad de las instancias deben permitir el tráfico procedente de los clientes. Además, las instancias deben estar en la misma VPC que el punto de conexión de EC2 Instance Connect.
+ Si desactiva la conservación de la IP del cliente, los grupos de seguridad de las instancias deben permitir el tráfico procedente de la VPC. Esta es la opción predeterminada.
+ La preservación de la dirección IP del cliente solo se admite en los puntos de conexión de EC2 Instance Connect con IPv4. Para usar la preservación de la dirección IP del cliente, el tipo de dirección IP del punto de conexión de EC2 Instance Connect debe ser IPv4. La preservación de la dirección IP del cliente no se admite cuando el tipo de dirección IP es de doble pila o IPv6.
+ Los siguientes tipos de instancia no admiten la preservación de IP de cliente: C1, CG1, CG2, G1, HI1, M1, M2, M3 y T1. Si activa la conservación de la IP del cliente e intenta conectarse a una instancia con uno de estos tipos de instancias mediante el punto de conexión de EC2 Instance Connect, se produce un error en la conexión.
+ No se admite la conservación de la IP del cliente cuando el tráfico se enruta a través de una puerta de enlace.
+ Cuando crea un punto de conexión de EC2 Instance Connect, se crea automáticamente un rol vinculado a un servicio de Amazon EC2 en AWS Identity and Access Management (IAM). Amazon EC2 utiliza el rol vinculado a un servicio para aprovisionar las interfaces de red de su cuenta, que son necesarias para crear puntos de conexión de instancia de EC2 Instance Connect. Para obtener más información, consulte [Rol vinculado a un servicio del punto de conexión de EC2 Instance Connect](eice-slr.md).
+ Puede crear solo un punto de conexión de EC2 Instance Connect por VPC y por subred. Para obtener más información, consulte [Cupo del Punto de conexión de EC2 Instance Connect](eice-quotas.md). Si necesita crear otro punto de conexión de EC2 Instance Connect en una zona de disponibilidad diferente dentro de la misma VPC, primero debe eliminar el punto de conexión EC2 Instance Connect existente. De lo contrario, se producirá un error de cuota.
+ Cada punto de conexión de EC2 Instance Connect puede admitir hasta 20 conexiones simultáneas.
+ La duración máxima de una conexión TCP establecida es de 1 hora (3600 segundos). Puede especificar la duración máxima permitida en una política de IAM, que puede ser de 3600 segundos o menos. Para obtener más información, consulte [Permisos para usar el punto de conexión de EC2 Instance Connect para conectarse a instancias](permissions-for-ec2-instance-connect-endpoint.md#iam-OpenTunnel).
La duración de la conexión no viene determinada por la duración de sus credenciales de IAM. Si sus credenciales de IAM caducan, la conexión continúa persistiendo hasta alcanzar la duración máxima especificada. Cuando se conecte a una instancia mediante la experiencia de consola de EC2 Instance Connect Endpoint, establezca la **Duración máxima del túnel (segundos)** en un valor inferior a la duración de sus credenciales de IAM. Si sus credenciales de IAM caducan anticipadamente, termine la conexión con su instancia cerrando la página del navegador.
# Concesión de permisos para el punto de conexión de EC2 Instance Connect
De forma predeterminada, las entidades de IAM no tienen permiso para crear, describir ni modificar puntos de conexión de EC2 Instance Connect. Un administrador de IAM puede crear políticas de IAM que concedan permisos necesarios para realizar acciones específicas en los recursos que necesitan.
Para obtener información acerca de las políticas de IAM, consulte [Creación de políticas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la *Guía del usuario de IAM*.
En los siguientes ejemplos de políticas, se muestra cómo puede controlar los permisos que tienen los usuarios para los puntos de conexión de EC2 Instance Connect.
**Topics**
+ [
## Permisos para crear, describir, modificar y eliminar los puntos de conexión de EC2 Instance Connect
](#iam-CreateInstanceConnectEndpoint)
+ [
## Permisos para usar el punto de conexión de EC2 Instance Connect para conectarse a instancias
](#iam-OpenTunnel)
+ [
## Permisos para conectarse solo desde un rango de direcciones IP específico
](#iam-sourceip)
## Permisos para crear, describir, modificar y eliminar los puntos de conexión de EC2 Instance Connect
Para crear y modificar un punto de conexión de EC2 Instance Connect, es necesario que los usuarios tengan permisos para las siguientes acciones:
+ `ec2:CreateInstanceConnectEndpoint`
+ `ec2:CreateNetworkInterface`
+ `ec2:CreateTags`
+ `ec2:ModifyInstanceConnectEndpoint`
+ `iam:CreateServiceLinkedRole`
Para describir y eliminar los puntos de conexión de EC2 Instance Connect, es necesario que los usuarios tengan permisos para las siguientes acciones:
+ `ec2:DescribeInstanceConnectEndpoints`
+ `ec2:DeleteInstanceConnectEndpoint`
Puede crear una política que conceda permisos para crear, describir, modificar y eliminar puntos de conexión de EC2 Instance Connect en todas las subredes. Como alternativa, puede restringir las acciones de subredes específicas. Solo hace falta especificar los ARN de la subred como el `Resource` permitido o mediante la clave de condición `ec2:SubnetID`. También puede usar la clave de condición `aws:ResourceTag` para permitir o denegar explícitamente la creación de puntos de conexión con determinadas etiquetas. Para obtener más información, consulte [Políticas y permisos en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) en la *Guía del usuario de IAM*.
**Política de IAM de ejemplo**
En el siguiente ejemplo de política de IAM, la sección `Resource` concede permiso para crear, modificar y eliminar puntos de conexión en todas las subredes, especificados con el asterisco (`*`). Las acciones de la API `ec2:Describe*` no admiten permisos de recursos. Por lo tanto, el carácter comodín `*` es necesario en el elemento `Resource`.
## Permisos para usar el punto de conexión de EC2 Instance Connect para conectarse a instancias
La acción `ec2-instance-connect:OpenTunnel` concede permiso para establecer una conexión TCP a una instancia a fin de conectarse a través del punto de conexión de EC2 Instance Connect. Puede especificar el punto de conexión de EC2 Instance Connect que se va a utilizar. Como alternativa, un `Resource` con asterisco (`*`) permite a los usuarios utilizar cualquier punto de conexión de EC2 Instance Connect disponible. También puede restringir el acceso a las instancias en función de la presencia o ausencia de etiquetas de recursos como claves de condición.
**Condiciones**
+ `ec2-instance-connect:remotePort`: el puerto de la instancia que se puede usar para establecer una conexión TCP. Cuando se utiliza esta clave de condición, se produce un error al intentar conectarse a una instancia en cualquier otro puerto que no sea el especificado en la política.
+ `ec2-instance-connect:privateIpAddress`: la dirección IP privada de destino asociada a la instancia con la que se quiere establecer una conexión TCP. Puede especificar una sola dirección IP, por ejemplo `10.0.0.1/32`, o un rango de IP a través de los CIDR, como `10.0.1.0/28`. Cuando se usa esta clave de condición, se produce un error al intentar conectarse a una instancia con una dirección IP privada diferente o fuera del rango del CIDR.
+ `ec2-instance-connect:maxTunnelDuration`: la duración máxima de una conexión TCP establecida. La unidad es segundos y la duración oscila entre un mínimo de 1 y un máximo de 3600 segundos (1 hora). Si no se especifica la condición, la duración predeterminada se establece en 3600 segundos (1 hora). Si intenta conectarse a una instancia durante más tiempo que el especificado en la política de IAM o durante más tiempo que el máximo predeterminado, se produce un error. La conexión termina una vez transcurrido el tiempo especificado.
Si `maxTunnelDuration` se especifica en la política de IAM y su valor es inferior a 3600 segundos (el valor predeterminado), debe especificar `--max-tunnel-duration` en el comando al conectarse a una instancia. Para obtener más información sobre cómo conectarse a una instancia de base de datos, consulte [Conexión a una instancia de Amazon EC2 mediante el punto de conexión de EC2 Instance Connect](connect-using-eice.md).
También puede conceder acceso a un usuario para establecer conexiones a las instancias en función de la presencia de etiquetas de recursos en el punto de conexión de EC2 Instance Connect. Para obtener más información, consulte [Políticas y permisos en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) en la *Guía del usuario de IAM*.
Para instancias de Linux, la acción `ec2-instance-connect:SendSSHPublicKey` concede permiso a un usuario para insertar la clave pública en una instancia. La condición `ec2:osuser` especifica el nombre del usuario del SO (sistema operativo) que puede enviar la clave pública a una instancia. Utilice el [nombre de usuario predeterminado para la AMI](connection-prereqs-general.md#connection-prereqs-get-info-about-instance) que se utilizó para lanzar la instancia. Para obtener más información, consulte [Concesión de permisos de IAM para EC2 Instance Connect](ec2-instance-connect-configure-IAM-role.md).
**Política de IAM de ejemplo**
Las siguientes políticas de IAM de ejemplo permiten que una entidad principal de IAM se conecte a una instancia con solo el punto de conexión de EC2 Instance Connect especificado, que se identifica por el ID de punto de conexión `eice-123456789abcdef` especificado. La conexión se establece correctamente solo si se cumplen todas las condiciones.
**nota**
Las acciones de la API `ec2:Describe*` no admiten permisos de recursos. Por lo tanto, el carácter comodín `*` es necesario en el elemento `Resource`.
------
#### [ Linux ]
En este ejemplo, se evalúa si la conexión a la instancia se establece en el puerto 22 (SSH), si la dirección IP privada de la instancia se encuentra dentro del intervalo de `10.0.1.0/31` (entre `10.0.1.0` y `10.0.1.1`) y `maxTunnelDuration` es inferior o igual a `3600` segundos. La conexión se pierde después de `3600` segundos (1 hora).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "EC2InstanceConnect",
"Action": "ec2-instance-connect:OpenTunnel",
"Effect": "Allow",
"Resource": "arn:aws:ec2:us-east-1:111122223333:instance-connect-endpoint/eice-123456789abcdef",
"Condition": {
"NumericEquals": {
"ec2-instance-connect:remotePort": "22"
},
"IpAddress": {
"ec2-instance-connect:privateIpAddress": "10.0.1.0/31"
},
"NumericLessThanEquals": {
"ec2-instance-connect:maxTunnelDuration": "3600"
}
}
},
{
"Sid": "SSHPublicKey",
"Effect": "Allow",
"Action": "ec2-instance-connect:SendSSHPublicKey",
"Resource": "*",
"Condition": {
"StringEquals": {
"ec2:osuser": "ami-username"
}
}
},
{
"Sid": "Describe",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeInstanceConnectEndpoints"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
------
#### [ Windows ]
En este ejemplo, se evalúa si la conexión a la instancia se establece en el puerto 3389 (RDP), si la dirección IP privada de la instancia se encuentra dentro del intervalo de `10.0.1.0/31` (entre `10.0.1.0` y `10.0.1.1`) y `maxTunnelDuration` es inferior o igual a `3600` segundos. La conexión se pierde después de `3600` segundos (1 hora).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "EC2InstanceConnect",
"Action": "ec2-instance-connect:OpenTunnel",
"Effect": "Allow",
"Resource": "arn:aws:ec2:us-east-1:111122223333:instance-connect-endpoint/eice-123456789abcdef",
"Condition": {
"NumericEquals": {
"ec2-instance-connect:remotePort": "3389"
},
"IpAddress": {
"ec2-instance-connect:privateIpAddress": "10.0.1.0/31"
},
"NumericLessThanEquals": {
"ec2-instance-connect:maxTunnelDuration": "3600"
}
}
},
{
"Sid": "Describe",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeInstanceConnectEndpoints"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
------
## Permisos para conectarse solo desde un rango de direcciones IP específico
El siguiente ejemplo de política de IAM permite que una entidad principal de IAM se conecte a una instancia con la condición de que lo haga desde una dirección IP dentro del rango de direcciones IP especificado en la política. Si la entidad principal de IAM llama a `OpenTunnel` desde una dirección IP que no esté dentro de `192.0.2.0/24` (el rango de direcciones IP de ejemplo de esta política), la respuesta será `Access Denied`. Para obtener más información, consulte [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceip](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceip) en la *Guía del usuario de IAM*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "ec2-instance-connect:OpenTunnel",
"Resource": "arn:aws:ec2:us-east-1:111122223333:instance-connect-endpoint/eice-123456789abcdef",
"Condition": {
"IpAddress": {
"aws:SourceIp": "192.0.2.0/24"
},
"NumericEquals": {
"ec2-instance-connect:remotePort": "22"
}
}
},
{
"Sid": "SSHPublicKey",
"Effect": "Allow",
"Action": "ec2-instance-connect:SendSSHPublicKey",
"Resource": "*",
"Condition": {
"StringEquals": {
"ec2:osuser": "ami-username"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeInstanceConnectEndpoints"
],
"Resource": "*"
}
]
}
```
------
# Grupos de seguridad para el punto de conexión de EC2 Instance Connect
Un grupo de seguridad controla el tráfico al que se permite llegar y dejar los recursos a los que está asociado. Por ejemplo, denegamos el tráfico hacia y desde una instancia de Amazon EC2 a menos que los grupos de seguridad asociados a la instancia lo permitan específicamente.
En los siguientes ejemplos, se muestra cómo configurar las reglas del grupo de seguridad para el punto de conexión de EC2 Instance Connect y las instancias de destino.
**Topics**
+ [
## Reglas del grupo de seguridad del punto de conexión de EC2 Instance Connect
](#eice-security-group-rules)
+ [
## Reglas del grupo de seguridad de instancias de destino
](#resource-security-group-rules)
## Reglas del grupo de seguridad del punto de conexión de EC2 Instance Connect
Las reglas del grupo de seguridad de un punto de conexión de EC2 Instance Connect deben permitir el tráfico saliente para que las instancias de destino abandonen el punto de conexión. Puede especificar el grupo de seguridad de la instancia o el rango de direcciones IPv4 o IPv6 de la VPC como destino.
El tráfico al punto de conexión se origina en el servicio del punto de conexión de EC2 Instance Connect y se permite independientemente de las reglas de entrada del grupo de seguridad del punto de conexión. Para controlar quién puede usar el punto de conexión de EC2 Instance Connect para conectarse a una instancia, utilice una política de IAM. Para obtener más información, consulte [Permisos para usar el punto de conexión de EC2 Instance Connect para conectarse a instancias](permissions-for-ec2-instance-connect-endpoint.md#iam-OpenTunnel).
**Ejemplo de regla de salida: referencia a grupos de seguridad**
En el siguiente ejemplo, se utiliza la referencia a grupos de seguridad, lo que significa que el destino es un grupo de seguridad asociado a las instancias de destino. Esta regla permite el tráfico saliente desde el punto de conexión a todas las instancias que utilizan este grupo de seguridad.
| Protocolo | Destino | Intervalo de puertos | Comment |
| --- | --- | --- | --- |
| TCP | ID del grupo de seguridad de la instancia | 22 | Permite el tráfico SSH saliente a todas las instancias asociadas al grupo de seguridad de la instancia |
**Ejemplo de regla de salida: rango de direcciones IPv4**
En el siguiente ejemplo, se permite el tráfico saliente al rango de direcciones IPv4 especificado. Las direcciones IPv4 de una instancia se asignan desde su subred, por lo que puede usar el rango de direcciones IPv4 de la VPC.
| Protocolo | Destino | Intervalo de puertos | Comment |
| --- | --- | --- | --- |
| TCP | CIDR IPv4 de VPC | 22 | Permite el tráfico SSH saliente a la VPC |
**Ejemplo de regla de salida: rango de direcciones IPv6**
En el siguiente ejemplo, se permite el tráfico saliente al rango de direcciones IPv6 especificado. Las direcciones IPv6 de una instancia se asignan desde su subred, por lo que puede usar el rango de direcciones IPv6 de la VPC.
| Protocolo | Destino | Intervalo de puertos | Comment |
| --- | --- | --- | --- |
| TCP | CIDR IPv6 de VPC | 22 | Permite el tráfico SSH saliente a la VPC |
## Reglas del grupo de seguridad de instancias de destino
Las reglas del grupo de seguridad para instancias de destino deben permitir el tráfico entrante desde el punto de conexión de EC2 Instance Connect. Puede especificar el grupo de seguridad del punto de conexión o un rango de direcciones IPv4 o IPv6 como el origen. Si especifica un rango de direcciones IPv4, el origen depende de si la conservación de la IP del cliente está desactivada o activada. Para obtener más información, consulte [Consideraciones](connect-with-ec2-instance-connect-endpoint.md#ec2-instance-connect-endpoint-prerequisites).
Como los grupos de seguridad tienen estado, se permite que el tráfico de respuesta abandone la VPC independientemente de las reglas de salida del grupo de seguridad de la instancia.
**Ejemplo de regla de entrada: referencia a grupos de seguridad**
En el siguiente ejemplo, se utiliza la referencia a grupos de seguridad, lo que significa que el origen es un grupo de seguridad asociado al punto de conexión. Esta regla permite el tráfico SSH entrante desde el punto de conexión a todas las instancias que utilizan este grupo de seguridad, independientemente de que la conservación de la IP del cliente esté activada o desactivada. Si no hay otras reglas de grupos de seguridad entrantes para SSH, las instancias solo aceptan el tráfico SSH desde el punto de conexión.
| Protocolo | Origen | Intervalo de puertos | Comment |
| --- | --- | --- | --- |
| TCP | ID del grupo de seguridad del punto de conexión | 22 | Permite el tráfico SSH entrante desde los recursos asociados al grupo de seguridad del punto de conexión |
**Ejemplo de regla de entrada: conservación de la IP del cliente desactivada**
En el siguiente ejemplo, se permite el tráfico SSH entrante procedente del rango de direcciones IPv4 especificado. Como la conservación de la IP del cliente está desactivada, la dirección IPv4 de origen es la dirección de la interfaz de red del punto de conexión. La dirección de la interfaz de red del punto de conexión se asigna desde su subred, por lo que puede usar el rango de direcciones IPv4 de la VPC para permitir las conexiones a todas las instancias de la VPC.
| Protocolo | Origen | Intervalo de puertos | Comment |
| --- | --- | --- | --- |
| TCP | CIDR IPv4 de VPC | 22 | Se permite el tráfico SSH entrante procedente de la VPC |
**Ejemplo de regla de entrada: conservación de la IP del cliente activada**
En el siguiente ejemplo, se permite el tráfico SSH entrante procedente del rango de direcciones IPv4 especificado. Como la conservación de la IP del cliente está activada, la dirección IPv4 de origen es la dirección del cliente.
| Protocolo | Origen | Intervalo de puertos | Comment |
| --- | --- | --- | --- |
| TCP | Rango de direcciones IPv4 públicas | 22 | Se permite el tráfico entrante procedente del rango de direcciones IPv4 del cliente especificado |
# Creación de un punto de conexión de EC2 Instance Connect
Puede crear un punto de conexión de EC2 Instance Connect para permitir una conexión segura a las instancias.
**Consideraciones**
+ **Subredes compartidas**: puede crear un punto de conexión de EC2 Instance Connect en una subred que se haya compartido con usted. Sin embargo, no puede usar puntos de conexión de EC2 Instance Connect que haya creado el propietario de la VPC en una subred compartida con usted.
+ **Tipos de direcciones IP**: los puntos de conexión de EC2 Instance Connect admiten los siguientes tipos de direcciones, que deben ser compatibles con la subred:
+ `ipv4`: conéctese solo a instancias de EC2 con direcciones IPv4 privadas.
+ `dualstack`: conéctese a instancias de EC2 con direcciones IPv4 o IPv6 privadas.
+ `ipv6`: conéctese solo a instancias de EC2 con direcciones IPv6.
**Requisitos previos**
Debe tener los permisos de IAM necesarios para crear un punto de conexión de EC2 Instance Connect. Para obtener más información, consulte [Permisos para crear, describir, modificar y eliminar los puntos de conexión de EC2 Instance Connect](permissions-for-ec2-instance-connect-endpoint.md#iam-CreateInstanceConnectEndpoint).
------
#### [ Console ]
**Para crear un punto de conexión de EC2 Instance Connect**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación izquierdo, seleccione **Puntos de conexión**.
1. Elija **Crear punto de conexión** y, a continuación, especifique la configuración del punto de conexión de la siguiente manera:
1. (Opcional) En **Etiqueta de nombre**, ingrese un nombre para el punto de conexión.
1. En **Tipo**, elija **Punto de conexión Connect para instancias de EC2**.
1. En **Configuración de red**, para **VPC**, seleccione la VPC que contiene las instancias de destino.
1. (Opcional) Para conservar las direcciones IP de los clientes, expanda **Configuración adicional** y seleccione la casilla de verificación **Conservar IP de clientes**. De lo contrario, el valor predeterminado es utilizar la interfaz de red del punto de conexión como dirección IP del cliente.
**nota**
Esta opción solo está disponible cuando el tipo de dirección IP del punto de conexión está configurado como IPv4.
1. (Opcional) En **Grupos de seguridad**, seleccione el grupo de seguridad que quiera asociar al punto de conexión. De lo contrario, se usará el grupo de seguridad predeterminado para la VPC. Para obtener más información, consulte [Grupos de seguridad para el punto de conexión de EC2 Instance Connect](eice-security-groups.md).
1. En **Subredes**, seleccione la subred en la cual crear el punto de conexión.
1. En **Tipo de dirección IP**, elija el tipo de dirección IP para el punto de conexión. Elija **Doble pila** si necesita admitir conexiones IPv4 e IPv6 con las instancias. Elija **IPv4** si necesita admitir la preservación de la dirección IP del cliente.
1. (Opcional) Para agregar una etiqueta, elija **Agregar etiqueta nueva** e ingrese la clave y el valor de la etiqueta.
1. Revise la configuración y, a continuación, seleccione **Crear punto de conexión**.
El estado inicial del punto de conexión es **Pendiente**. Antes de poder conectarse a una instancia mediante este punto de conexión, debe esperar hasta que el estado del punto de conexión sea **Disponible**. Este proceso puede tardar unos minutos.
1. Si quiere utilizar el punto de conexión para conectarse a una instancia, consulte [Conexión a una instancia](connect-using-eice.md).
------
#### [ AWS CLI ]
**Para crear un punto de conexión de EC2 Instance Connect**
Utilice el comando [https://docs.aws.amazon.com/cli/latest/reference/ec2/create-instance-connect-endpoint.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-instance-connect-endpoint.html).
```
aws ec2 create-instance-connect-endpoint \
--subnet-id subnet-0123456789example
```
Para especificar el tipo de tráfico que admite el punto de conexión, incluya el parámetro `--ip-address-type`. Los valores válidos son `ipv4`, `dualstack` o `ipv6`. La subred debe admitir el tipo de dirección IP que especifique. Cuando se omite el parámetro `--ip-address-type`, el valor predeterminado se determina según el tipo de dirección IP que admita la subred.
```
aws ec2 create-instance-connect-endpoint \
--subnet-id subnet-0123456789example \
--ip-address-type ipv4
```
A continuación, se muestra un ejemplo del resultado.
```
{
"OwnerId": "111111111111",
"InstanceConnectEndpointId": "eice-0123456789example",
"InstanceConnectEndpointArn": "arn:aws:ec2:us-east-1:111111111111:instance-connect-endpoint/eice-0123456789example",
"State": "create-complete",
"StateMessage": "",
"DnsName": "eice-0123456789example.0123abcd.ec2-instance-connect-endpoint.us-east-1.amazonaws.com",
"FipsDnsName": "eice-0123456789example.0123abcd.fips.ec2-instance-connect-endpoint.us-east-1.amazonaws.com",
"NetworkInterfaceIds": [
"eni-0123abcd"
],
"VpcId": "vpc-0123abcd",
"AvailabilityZone": "us-east-1a",
"AvailabilityZoneId": "use1-az4",
"CreatedAt": "2023-04-07T15:43:53.000Z",
"SubnetId": "subnet-0123abcd",
"PreserveClientIp": false,
"SecurityGroupIds": [
"sg-0123abcd"
],
"Tags": [],
"IpAddressType": "ipv4"
}
```
**Para supervisar el estado de creación**
El valor inicial para el campo `State` es `create-in-progress`. Antes de poder conectarse a una instancia mediante este punto de conexión, espere hasta que el estado sea `create-complete`. Utilice el comando [https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instance-connect-endpoints.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instance-connect-endpoints.html) para supervisar el estado del punto de conexión de EC2 Instance Connect. El parámetro `--query` filtra los resultados y los envía al campo `State`.
```
aws ec2 describe-instance-connect-endpoints --instance-connect-endpoint-ids eice-0123456789example --query InstanceConnectEndpoints[*].State --output text
```
A continuación, se muestra un ejemplo del resultado.
```
create-complete
```
------
#### [ PowerShell ]
**Cómo crear un punto de conexión Connect para instancias de EC2**
Utilice el cmdlet [https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2InstanceConnectEndpoint.html](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2InstanceConnectEndpoint.html).
```
New-EC2InstanceConnectEndpoint -SubnetId subnet-0123456789example
```
Para especificar el tipo de tráfico que admite el punto de conexión, incluya el parámetro `-IpAddressType`. Los valores válidos son `ipv4`, `dualstack` o `ipv6`. La subred debe admitir el tipo de dirección IP que especifique. Cuando se omite el parámetro `-IpAddressType`, el valor predeterminado se determina según el tipo de dirección IP que admita la subred.
```
New-EC2InstanceConnectEndpoint -SubnetId subnet-0123456789example -IpAddressType ipv4
```
A continuación, se muestra un ejemplo del resultado.
```
OwnerId : 111111111111
InstanceConnectEndpointId : eice-0123456789example
InstanceConnectEndpointArn : arn:aws:ec2:us-east-1:111111111111:instance-connect-endpoint/eice-0123456789example
State : create-complete
StateMessage :
DnsName : eice-0123456789example.0123abcd.ec2-instance-connect-endpoint.us-east-1.amazonaws.com
FipsDnsName : eice-0123456789example.0123abcd.fips.ec2-instance-connect-endpoint.us-east-1.amazonaws.com
NetworkInterfaceIds : {eni-0123abcd}
VpcId : vpc-0123abcd
AvailabilityZone : us-east-1a
AvailabilityZoneId : use1-az4
CreatedAt : 4/7/2023 3:43:53 PM
SubnetId : subnet-0123abcd
PreserveClientIp : False
SecurityGroupIds : {sg-0123abcd}
Tags : {}
IpAddressType : ipv4
```
**Para supervisar el estado de creación**
El valor inicial para el campo `State` es `create-in-progress`. Antes de poder conectarse a una instancia mediante este punto de conexión, espere hasta que el estado sea `create-complete`. Utilice el cmdlet [https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2InstanceConnectEndpoint.html](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2InstanceConnectEndpoint.html) para supervisar el estado del punto de conexión Connect para instancias de EC2. `.State.Value` filtra los resultados al campo `State`.
```
(Get-EC2InstanceConnectEndpoint -InstanceConnectEndpointId "eice-0123456789example").State.Value
```
A continuación, se muestra un ejemplo del resultado.
```
create-complete
```
------
# Modificación de un punto de conexión de EC2 Instance Connect
Puede modificar los puntos de conexión de Instance Connect de EC2 existentes mediante la AWS CLI o un SDK. La consola de Amazon EC2 no admite la modificación de puntos de conexión.
Antes de poder comenzar, debe tener los permisos de IAM necesarios. Para obtener más información, consulte [Permisos para crear, describir, modificar y eliminar los puntos de conexión de EC2 Instance Connect](permissions-for-ec2-instance-connect-endpoint.md#iam-CreateInstanceConnectEndpoint).
## Parámetros que puede modificar
Puede modificar los parámetros de punto de conexión de EC2 Instance Connect:
**Grupos de seguridad**
Puede especificar nuevos grupos de seguridad para el punto de conexión de EC2 Instance Connect. Los nuevos grupos de seguridad sustituyen a los grupos de seguridad actuales.
Al modificar los grupos de seguridad, debe especificar:
+ Al menos un grupo de seguridad, aunque solo sea el grupo de seguridad predeterminado de la VPC.
+ Los ID de los grupos de seguridad, no los nombres.
**Tipo de dirección IP**
Puede especificar un nuevo tipo de dirección IP para el punto de conexión de EC2 Instance Connect.
Valores válidos: `ipv4` \$1 `dualstack` \$1 `ipv6`
**Conservación de la configuración de IP del cliente**
Puede especificar si desea conservar la dirección IP del cliente como origen.
La conservación de la IP del cliente solo se admite en los puntos de conexión IPv4 de EC2 Instance Connect. Al habilitar `PreserveClientIp`, el tipo de dirección IP existente en el punto de conexión debe ser `ipv4`, o si se modifica el tipo de dirección IP en la misma solicitud, el nuevo valor debe ser `ipv4`.
------
#### [ AWS CLI ]
**Modificación de un punto de conexión de EC2 Instance Connect**
Utilice el comando [https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-instance-connect-endpoint.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-instance-connect-endpoint.html) y especifique el punto de conexión de EC2 Instance Connect y los parámetros a modificar. El siguiente ejemplo modifica todos los parámetros en una única solicitud.
```
aws ec2 modify-instance-connect-endpoint \
--instance-connect-endpoint-id eice-0123456789example \
--security-group-ids sg-0123456789example \
--ip-address-type dualstack \
--no-preserve-client-ip
```
A continuación, se muestra un ejemplo del resultado.
```
{
"Return": true
}
```
**Monitoreo del estado de la actualización**
Durante la modificación, el estado del punto de conexión de EC2 Instance Connect cambia a `update-in-progress`. El proceso de actualización se ejecuta de forma asíncrona y finaliza con un estado `update-complete` o `update-failed`. El punto de conexión utiliza su configuración anterior hasta que el estado cambie a `update-complete`.
Utilice el comando [https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instance-connect-endpoints.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instance-connect-endpoints.html) para monitorear el estado de la actualización. El parámetro `--query` filtra los resultados y los envía al campo `State`.
```
aws ec2 describe-instance-connect-endpoints \
--instance-connect-endpoint-ids eice-0123456789example \
--query InstanceConnectEndpoints[*].State --output text
```
A continuación, se muestra un ejemplo del resultado.
```
update-complete
```
------
#### [ PowerShell ]
**Modificación de un punto de conexión de EC2 Instance Connect**
Utilice el cmdlet [https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2InstanceConnectEndpoint.html](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2InstanceConnectEndpoint.html) y especifique el punto de conexión de EC2 Instance Connect y los parámetros a modificar. El siguiente ejemplo modifica todos los parámetros en una única solicitud.
```
Edit-EC2InstanceConnectEndpoint `
-InstanceConnectEndpointId eice-0123456789example `
-SecurityGroupIds sg-0123456789example `
-IpAddressType dualstack `
-PreserveClientIp $false
```
A continuación, se muestra un ejemplo del resultado.
```
True
```
**Monitoreo del estado de la actualización**
Durante la modificación, el estado del punto de conexión de EC2 Instance Connect cambia a `update-in-progress`. El proceso de actualización se ejecuta de forma asíncrona y finaliza con un estado `update-complete` o `update-failed`. El punto de conexión utiliza su configuración anterior hasta que el estado cambie a `update-complete`.
Utilice el comando [https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2InstanceConnectEndpoint.html](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2InstanceConnectEndpoint.html) para monitorear el estado de la actualización. `.State.Value`filtra los resultados en el campo `State`.
```
(Get-EC2InstanceConnectEndpoint -InstanceConnectEndpointId "eice-0123456789example").State.Value
```
A continuación, se muestra un ejemplo del resultado.
```
update-complete
```
------
# Eliminar un punto de conexión de EC2 Instance Connect
Cuando ya no necesite un punto de conexión de EC2 Instance Connect, puede eliminarlo.
Debe tener los permisos de IAM necesarios para crear un punto de conexión de EC2 Instance Connect. Para obtener más información, consulte [Permisos para crear, describir, modificar y eliminar los puntos de conexión de EC2 Instance Connect](permissions-for-ec2-instance-connect-endpoint.md#iam-CreateInstanceConnectEndpoint).
Al eliminar un punto de conexión de EC2 Instance Connect con la consola, primero pasa al estado **Eliminando**. Si la eliminación se realiza correctamente, el punto de conexión eliminado ya no aparece. Si la eliminación falla, el estado es **delete-failed**, y el **mensaje de estado** proporciona el motivo del error.
Al eliminar un punto de conexión de EC2 Instance Connect mediante la AWS CLI, pasa al estado `delete-in-progress`. Si la eliminación se realiza correctamente, pasa al estado `delete-complete`. Si se produce un error en la eliminación, el estado es `delete-failed` y el motivo del error se indica en el `StateMessage`.
------
#### [ Console ]
**Para eliminar un punto de conexión de EC2 Instance Connect**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación izquierdo, seleccione **Puntos de conexión**.
1. Selección del punto de conexión.
1. Elija **Acciones**, **Eliminar puntos de conexión de VPC**.
1. Cuando se le solicite confirmación, ingrese **delete**.
1. Elija **Eliminar**.
------
#### [ AWS CLI ]
**Eliminación de un punto de conexión de EC2 Instance Connect**
Utilice el comando [https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-instance-connect-endpoint.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-instance-connect-endpoint.html) y especifique el ID del punto de conexión Connect para instancias de EC2 que se debe eliminar.
```
aws ec2 delete-instance-connect-endpoint --instance-connect-endpoint-id eice-03f5e49b83924bbc7
```
A continuación, se muestra un ejemplo del resultado.
```
{
"InstanceConnectEndpoint": {
"OwnerId": "111111111111",
"InstanceConnectEndpointId": "eice-0123456789example",
"InstanceConnectEndpointArn": "arn:aws:ec2:us-east-1:111111111111:instance-connect-endpoint/eice-0123456789example",
"State": "delete-in-progress",
"StateMessage": "",
"NetworkInterfaceIds": [],
"VpcId": "vpc-0123abcd",
"AvailabilityZone": "us-east-1d",
"AvailabilityZoneId": "use1-az2",
"CreatedAt": "2023-02-07T12:05:37+00:00",
"SubnetId": "subnet-0123abcd"
}
}
```
------
#### [ PowerShell ]
**Eliminación de un punto de conexión de EC2 Instance Connect**
Utilice el cmdlet [https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-instance-connect-endpoint.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-instance-connect-endpoint.html) y especifique el ID del punto de conexión Connect para instancias de EC2 que se debe eliminar.
```
Remove-EC2InstanceConnectEndpoint -InstanceConnectEndpointId eice-03f5e49b83924bbc7
```
A continuación, se muestra un ejemplo del resultado.
```
@{
InstanceConnectEndpoint = @{
OwnerId = "111111111111"
InstanceConnectEndpointId = "eice-0123456789example"
InstanceConnectEndpointArn = "arn:aws:ec2:us-east-1:111111111111:instance-connect-endpoint/eice-0123456789example"
State = "delete-in-progress"
StateMessage = ""
NetworkInterfaceIds = @()
VpcId = "vpc-0123abcd"
AvailabilityZone = "us-east-1d"
AvailabilityZoneId = "use1-az2"
CreatedAt = "2023-02-07T12:05:37+00:00"
SubnetId = "subnet-0123abcd"
}
}
```
------
# Conexión a una instancia de Amazon EC2 mediante el punto de conexión de EC2 Instance Connect
Puede usar el punto de conexión de EC2 Instance Connect para conectarse a una instancia de Amazon EC2 que admita SSH o RDP.
**Requisitos previos**
+ Debe tener el permiso de IAM necesario para conectarse a un punto de conexión de EC2 Instance Connect. Para obtener más información, consulte [Permisos para usar el punto de conexión de EC2 Instance Connect para conectarse a instancias](permissions-for-ec2-instance-connect-endpoint.md#iam-OpenTunnel).
+ El punto de conexión de EC2 Instance Connect se debe encontrar en uno de los siguientes estados:
+ **create-complete** para un nuevo punto de conexión
+ **update-in-progress**, **update-complete** o **update-failed**, para un punto de conexión existente que se modifica. Cuando se modifica un punto de conexión, este conserva su configuración original hasta que el estado cambia a **update-complete**.
Si la VPC no tiene un punto de conexión de EC2 Instance Connect, puede crear uno. Para obtener más información, consulte [Creación de un punto de conexión de EC2 Instance Connect](create-ec2-instance-connect-endpoints.md).
+ El tipo de dirección IP del punto de conexión de EC2 Instance Connect debe ser compatible con el tipo de dirección IP de la instancia. Si el tipo de dirección IP del punto de conexión es de tipo doble pila, puede funcionar tanto con direcciones IPv4 como IPv6.
+ (Instancias de Linux) Para utilizar la consola de Amazon EC2 para conectarse a la instancia, o para utilizar la CLI para conectarse y hacer que EC2 Instance Connect gestione la clave efímera, la instancia debe tener instalado EC2 Instance Connect. Para obtener más información, consulte [Instalación de EC2 Instance Connect](ec2-instance-connect-set-up.md).
+ Asegúrese de que el grupo de seguridad de la instancia permita el tráfico SSH entrante desde el punto de conexión de EC2 Instance Connect. Para obtener más información, consulte [Reglas del grupo de seguridad de instancias de destino](eice-security-groups.md#resource-security-group-rules).
**Topics**
+ [
## Conexión a la instancia de Linux con la consola de Amazon EC2
](#connect-using-the-ec2-console)
+ [
## Conexión a la instancia de Linux con SSH
](#eic-connect-using-ssh)
+ [
## Conéctese a la instancia de Linux con el ID de la instancia mediante la AWS CLI
](#eic-connect-using-cli)
+ [
## Conectarse a una instancia de Windows mediante RDP
](#eic-connect-using-rdp)
+ [
## Solución de problemas
](#troubleshoot-eice)
## Conexión a la instancia de Linux con la consola de Amazon EC2
Puede conectarse a una instancia mediante la consola de Amazon EC2 de la siguiente manera (un cliente basado en navegador).
**Para conectarse a la instancia mediante la consola de Amazon EC2**
1. Abra la consola de Amazon EC2 en [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. En el panel de navegación, seleccione **Instances (Instancias)**.
1. Seleccione la instancia y, a continuación, elija **Connect**.
1. Elija la pestaña **EC2 Instance Connect**.
1. En **Tipo de conexión**, elija **Conectarse mediante una dirección IP privada**.
1. Elija **Dirección IPv4 privada** o **Dirección IPv6**. Las opciones disponibles dependen de las direcciones IP asignadas a la instancia. Si una opción aparece atenuada, significa que la instancia no tiene asignada una dirección IP de ese tipo.
1. En **Punto de conexión de EC2 Instance Connect**, elija el ID del punto de conexión de EC2 Instance Connect.
**nota**
El punto de conexión de EC2 Instance Connect debe ser compatible con la dirección IP que haya elegido en el paso anterior. Si el tipo de dirección IP del punto de conexión es de tipo doble pila, puede funcionar tanto con direcciones IPv4 como IPv6. Para obtener más información, consulte [Creación de un punto de conexión de EC2 Instance Connect](create-ec2-instance-connect-endpoints.md).
1. En **Nombre de usuario**, si la AMI que utilizó para iniciar la instancia utiliza un nombre de usuario que no sea `ec2-user`, introduzca el nombre de usuario correcto.
1. En **Duración máxima del túnel (segundos)**, ingrese la duración máxima permitida de la conexión SSH.
La duración debe cumplir con la condición `maxTunnelDuration` especificada en la política de IAM. Si no se tiene acceso a la política de IAM, contáctese con su administrador.
1. Elija **Conectar**. Esto abre una ventana de terminal para la instancia.
## Conexión a la instancia de Linux con SSH
Puede usar SSH para conectarse a la instancia de Linux y usar el comando `open-tunnel` para establecer un túnel privado. Se puede utilizar `open-tunnel` en los modos de conexión única o múltiple. Puede especificar el ID de la instancia, una dirección IPv4 privada o una dirección IPv6.
Para obtener más información acerca del uso de la AWS CLI para conectarse a la instancia de mediante SSH, consulte [Conexión mediante la AWS CLI](ec2-instance-connect-methods.md#connect-linux-inst-eic-cli-ssh).
El siguiente ejemplo usa [OpenSSH](https://www.openssh.com/). Puede usar cualquier otro cliente SSH que admita el modo proxy.
### Conexión única de
**Para permitir solo una conexión a una instancia mediante SSH y el comando `open-tunnel`**
Utilice `ssh` y el comando de AWS CLI [https://docs.aws.amazon.com/cli/latest/reference/ec2-instance-connect/open-tunnel.html](https://docs.aws.amazon.com/cli/latest/reference/ec2-instance-connect/open-tunnel.html) de la siguiente manera: El comando de proxy `-o` incluye el comando `open-tunnel` que crea el túnel privado hacia la instancia.
```
ssh -i my-key-pair.pem ec2-user@i-1234567890abcdef0 \
-o ProxyCommand='aws ec2-instance-connect open-tunnel --instance-id i-1234567890abcdef0'
```
Para:
+ `-i`: especifique el par de claves que se usó para iniciar la instancia.
+ `ec2-user@i-1234567890abcdef0`: especifique el nombre de usuario de la AMI que se usó para iniciar la instancia y el ID de la instancia. En el caso de instancias con una dirección IPv6, debe especificar la dirección IPv6 en lugar del ID de la instancia.
+ `--instance-id`: especifique el ID de la instancia a la que se va a conectar. Como alternativa, especifique `%h`, que extrae el ID de instancia del usuario. En el caso de instancias con una dirección IPv6, reemplace `--instance-id i-1234567890abcdef0` por `--private-ip-address 2001:db8::1234:5678:1.2.3.4`.
### Conexión múltiple
Para permitir varias conexiones a una instancia, primero ejecute el comando de AWS CLI [https://docs.aws.amazon.com/cli/latest/reference/ec2-instance-connect/open-tunnel.html](https://docs.aws.amazon.com/cli/latest/reference/ec2-instance-connect/open-tunnel.html) para iniciar la escucha de nuevas conexiones TCP y, a continuación, use `ssh` para crear una nueva conexión TCP y un túnel privado hacia la instancia.
**Para permitir varias conexiones a la instancia mediante SSH y el comando `open-tunnel`**
1. Ejecute el siguiente comando para iniciar la escucha de nuevas conexiones TCP en el puerto especificado del equipo local.
```
aws ec2-instance-connect open-tunnel \
--instance-id i-1234567890abcdef0 \
--local-port 8888
```
Resultado previsto:
```
Listening for connections on port 8888.
```
1. En una *nueva ventana de terminal*, ejecute el comando `ssh` para crear una nueva conexión TCP y un túnel privado para la instancia.
```
ssh -i my-key-pair.pem ec2-user@localhost -p 8888
```
Salida esperada: en la *primera* ventana de terminal, aparecerá lo siguiente:
```
[1] Accepted new tcp connection, opening websocket tunnel.
```
Es posible que vea el siguiente código de error:
```
[1] Closing tcp connection.
```
## Conéctese a la instancia de Linux con el ID de la instancia mediante la AWS CLI
Si conoce solo el ID de la instancia, puede utilizar el comando de la CLI AWS CLI [ec2-instance-connect ssh](https://docs.aws.amazon.com/cli/latest/reference/ec2-instance-connect/ssh.html) para conectarse a ella mediante un cliente SSH. Para obtener más información, consulte [Conexión mediante la AWS CLI](ec2-instance-connect-methods.md#connect-linux-inst-eic-cli-ssh).
**Requisitos previos**
+ Instale la versión 2 de la AWS CLI y configúrela con sus credenciales. Para obtener más información, consulte [Instalación o actualización de la versión más reciente de AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) y [Configuración de AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-configure.html) en la *Guía del usuario de AWS Command Line Interface*.
+ Como alternativa, abra AWS CloudShell y ejecute los comandos de AWS CLI en el intérprete de comandos previamente autenticado.
**Para conectarse a una instancia mediante el ID de instancia y un punto de conexión de EC2 Instance Connect**
Si solo conoce el ID de la instancia, use el comando [ec2-instance-connect ssh](https://docs.aws.amazon.com/cli/latest/reference/ec2-instance-connect/ssh.html) de la CLI y especifique el comando `ssh`, el ID de la instancia y el parámetro `--connection-type` con el valor `eice` para usar un punto de conexión de EC2 Instance Connect. Si la instancia solo tiene una dirección IPv6, también debe incluir el parámetro `--instance-ip` con la dirección IPv6.
+ Si la instancia tiene una dirección IPv4 privada (también puede tener una dirección IPv6), use el siguiente comando y los siguientes parámetros:
```
aws ec2-instance-connect ssh \
--instance-id i-1234567890example \
--os-user ec2-user \
--connection-type eice
```
+ Si la instancia solo tiene una dirección IPv6, incluya el parámetro `--instance-ip` con la dirección IPv6.
```
aws ec2-instance-connect ssh \
--instance-id i-1234567890example \
--instance-ip 2001:db8::1234:5678:1.2.3.4 \
--os-user ec2-user \
--connection-type eice
```
**sugerencia**
Si se presenta un error, asegúrese de usar la versión 2 de AWS CLI. El parámetro `ssh` solo está disponible para la AWS CLI versión 2. Para obtener más información, consulte [Información AWS CLI sobre la versión 2](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html#welcome-versions-v2) en la *AWS Command Line InterfaceGuía del usuario*.
## Conectarse a una instancia de Windows mediante RDP
Puede usar el protocolo de escritorio remoto (RDP) a través del punto de conexión de EC2 Instance Connect para conectarse a una instancia de Windows sin una dirección IPv4 pública ni un nombre de DNS público.
**Para conectarse a la instancia de Windows mediante un cliente RDP**
1. Complete los pasos del 1 al 8 en [Conectarse a una instancia de Windows mediante RDP](connect-rdp.md). Tras descargar el archivo de escritorio de RDP en el paso 8, aparecerá el mensaje **No se puede conectar**, lo cual es de esperar porque la instancia no tiene una dirección IP pública.
1. Ejecute el siguiente comando para establecer un túnel privado hacia la VPC en la que se encuentra la instancia. `--remote-port` debe tener el valor `3389` porque RDP usa el puerto 3389 de forma predeterminada.
```
aws ec2-instance-connect open-tunnel \
--instance-id i-1234567890abcdef0 \
--remote-port 3389 \
--local-port any-port
```
1. En la carpeta **Descargas**, busque el archivo de escritorio de RDP que descargó y arrástrelo a la ventana del cliente de RDP.
1. Haga clic con el botón derecho en el archivo de escritorio de RDP y elija **Editar**.
1. En la ventana **Editar PC**, ingrese `localhost:local-port` en **Nombre del PC** (la instancia a la que conectarse), donde `local-port` utilizará el mismo valor que en el paso 2 y, a continuación, seleccione **Guardar**.
Tenga en cuenta que la siguiente captura de pantalla de la ventana **Editar PC** procede de Escritorio remoto de Microsoft en un Mac. Si utiliza un cliente Windows, la ventana puede ser diferente.
![\[El cliente RDP con el ejemplo “localhost:5555” en el campo de nombre del PC.\]](http://docs.aws.amazon.com/es_es/AWSEC2/latest/UserGuide/images/ec2-instance-connect-endpoint-rdp.png)
1. En el cliente RDP, haga clic con el botón derecho en el PC (que acaba de configurar) y elija **Conectar** para conectarse a su instancia.
1. En la solicitud, ingrese la contraseña descifrada de la cuenta de administrador.
## Solución de problemas
Utilice la siguiente información para diagnosticar y solucionar los problemas comunes que pueda encontrar al utilizar el punto de conexión de EC2 Instance Connect para conectar una instancia.
### No puede conectarse a su instancia
Los siguientes son los motivos habituales por los que es posible que no pueda conectarse a su instancia.
+ Grupos de seguridad: compruebe los grupos de seguridad asignados al punto de conexión de EC2 Instance Connect y su instancia. Para obtener más información acerca de las reglas de los grupos de seguridad obligatorios, consulte [Grupos de seguridad para el punto de conexión de EC2 Instance Connect](eice-security-groups.md).
+ Estado de instancia: compruebe que la instancia esté en el estado `running`.
+ Par de claves: si el comando que usa para conectarse requiere una clave privada, compruebe que la instancia tenga una clave pública y que dispone de la clave privada correspondiente.
+ Permisos de IAM: compruebe que dispone de los permisos de IAM necesarios. Para obtener más información, consulte [Concesión de permisos para el punto de conexión de EC2 Instance Connect](permissions-for-ec2-instance-connect-endpoint.md).
Para obtener más consejos de solución de problemas para instancias de Linux, consulte [Solución de problemas de conexión a la instancia de Linux de Amazon EC2](TroubleshootingInstancesConnecting.md). Para obtener más consejos de solución de problemas para instancias de Windows, consulte [Solución de problemas con la conexión a la instancia de Windows de Amazon EC2](troubleshoot-connect-windows-instance.md).
### ErrorCode: AccessDeniedException
Si aparece un error `AccessDeniedException` y la condición `maxTunnelDuration` se especifica en la política de IAM, asegúrese de especificar el parámetro `--max-tunnel-duration` al conectarse a una instancia. Para obtener más información sobre este parámetro, consulte [https://docs.aws.amazon.com/cli/latest/reference/ec2-instance-connect/open-tunnel.html](https://docs.aws.amazon.com/cli/latest/reference/ec2-instance-connect/open-tunnel.html) en la *Referencia de comandos de AWS CLI*.
# Registro de las conexiones establecidas en el punto de conexión de EC2 Instance Connect
Puede registrar las operaciones de los recursos y auditar las conexiones establecidas en el punto de conexión de EC2 Instance Connect con los registros de AWS CloudTrail.
Para obtener más información sobre el uso de AWS CloudTrail con Amazon EC2, consulte [Registro de llamadas a la API de Amazon EC2 mediante AWS CloudTrail](monitor-with-cloudtrail.md).
## Registro de las llamadas a la API del punto de conexión de EC2 Instance Connect con AWS CloudTrail
Las operaciones de recursos del punto de conexión de EC2 Instance Connect se registran en CloudTrail como eventos de administración. Cuando se hacen las siguientes llamadas a la API, la actividad se registra como un evento de CloudTrail en **Historial de eventos**:
+ `CreateInstanceConnectEndpoint`
+ `DescribeInstanceConnectEndpoints`
+ `DeleteInstanceConnectEndpoint`
Puede ver, buscar y descargar los últimos eventos en su Cuenta de AWS. Para obtener más información, consulte [Visualización de eventos con el historial de eventos de CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html) en la *Guía del usuario de AWS CloudTrail*.
## AWS CloudTrail se utiliza para auditar a los usuarios que se conectan a una instancia mediante el punto de conexión de EC2 Instance Connect
Los intentos de conexión a instancias a través del punto de conexión de EC2 Instance Connect se registran en CloudTrail en el **historial de eventos**. Cuando se inicia una conexión a una instancia a través de un punto de conexión de EC2 Instance Connect, la conexión se registra como un evento de administración de CloudTrail con el `eventName` de `OpenTunnel`.
Puede crear reglas de Amazon EventBridge que enruten el evento de CloudTrail a un destino. Para más información, consulte la [Guía del usuario de Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html).
A continuación se muestra un ejemplo de un evento de administración `OpenTunnel` que se registró en CloudTrail.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "ABCDEFGONGNOMOOCB6XYTQEXAMPLE",
"arn": "arn:aws:iam::1234567890120:user/IAM-friendly-name",
"accountId": "123456789012",
"accessKeyId": "ABCDEFGUKZHNAW4OSN2AEXAMPLE",
"userName": "IAM-friendly-name"
},
"eventTime": "2023-04-11T23:50:40Z",
"eventSource": "ec2-instance-connect.amazonaws.com",
"eventName": "OpenTunnel",
"awsRegion": "us-east-1",
"sourceIPAddress": "1.2.3.4",
"userAgent": "aws-cli/1.15.61 Python/2.7.10 Darwin/16.7.0 botocore/1.10.60",
"requestParameters": {
"instanceConnectEndpointId": "eici-0123456789EXAMPLE",
"maxTunnelDuration": "3600",
"remotePort": "22",
"privateIpAddress": "10.0.1.1"
},
"responseElements": null,
"requestID": "98deb2c6-3b3a-437c-a680-03c4207b6650",
"eventID": "bbba272c-8777-43ad-91f6-c4ab1c7f96fd",
"readOnly": false,
"resources": [{
"accountId": "123456789012",
"type": "AWS::EC2::InstanceConnectEndpoint",
"ARN": "arn:aws:ec2:us-east-1:123456789012:instance-connect-endpoint/eici-0123456789EXAMPLE"
}],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "123456789012",
"eventCategory": "Management"
}
```
# Rol vinculado a un servicio del punto de conexión de EC2 Instance Connect
Amazon EC2 utiliza [roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#iam-term-service-linked-role) de AWS Identity and Access Management (IAM). Un rol vinculado a un servicio es un tipo único de rol de IAM que se encuentra vinculado directamente a Amazon ECS. Los roles vinculados a servicios están predefinidos por Amazon EC2 e incluyen todos los permisos que Amazon EC2 necesita para llamar a otros servicios de Servicios de AWS en su nombre. Para obtener más información, consulte [Roles vinculados al servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html) en la *Guía del usuario de IAM*.
## Permisos de roles vinculados a un servicio del punto de conexión de EC2 Instance Connect
Amazon EC2 usa **AWSServiceRoleForEC2InstanceConnect** para crear y administrar las interfaces de red de la cuenta que requiere el punto de conexión de EC2 Instance Connect.
El rol vinculado a un servicio denominado **AWSServiceRoleForEC2InstanceConnect** confía en que el siguiente servicio asuma el rol:
+ `ec2-instance-connect.amazonaws.com`
El rol vinculado a un servicio denominado **AWSServiceRoleForEC2InstanceConnect** utiliza la siguiente política administrada:
+ **Ec2InstanceConnectEndpoint**
Para ver los permisos de la política administrada, consulte [Ec2InstanceConnectEndpoint](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Ec2InstanceConnectEndpoint.html) en la *Referencia de políticas administradas por AWS*.
## Creación del rol vinculado a un servicio para el punto de conexión de EC2 Instance Connect
No es necesario crear manualmente este rol vinculado a servicios. Cuando crea un punto de conexión de EC2 Instance Connect, Amazon EC2 crea el rol vinculado al servicio para usted.
## Edición del rol vinculado a un servicio del punto de conexión de EC2 Instance Connect
El punto de conexión de EC2 Instance Connect no permite editar el rol vinculado a un servicio **AWSServiceRoleForEC2InstanceConnect**.
## Eliminación del rol vinculado a un servicio del punto de conexión de EC2 Instance Connect
Si ya no tiene que utilizar el punto de conexión de EC2 Instance Connect, le recomendamos que elimine el rol vinculado a un servicio **AWSServiceRoleForEC2InstanceConnect**.
Puede eliminar el rol vinculado a un servicio solo después de eliminar todos los recursos del punto de conexión de EC2 Instance Connect.
Para obtener información sobre la eliminación de roles vinculados a servicios, consulte [Cómo eliminar un rol vinculado al servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete-slr) en la *Guía del usuario de IAM*.
Debe configurar permisos para permitir a una entidad de IAM (un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.
# Cupo del Punto de conexión de EC2 Instance Connect
Su Cuenta de AWS tiene cuotas predeterminadas, anteriormente conocidas como “límites”, para cada servicio de AWS. A menos que se indique lo contrario, cada cuota es específica de la región.
Su Cuenta de AWS tiene los siguientes cupos en relación con los puntos de conexión de EC2 Instance Connect.
| Nombre | Predeterminado | Ajustable |
| --- | --- | --- |
| Número máximo de puntos de conexión de EC2 Instance Connect por Cuenta de AWS por Región de AWS | 5 | No |
| Número máximo de puntos de conexión de EC2 Instance Connect por VPC | 1 | No |
| Número máximo de puntos de conexión de EC2 Instance Connect por subred | 1 | No |
| Número máximo de conexiones simultáneas por punto de conexión de EC2 Instance Connect | 20 | No |