# Acceso a Amazon EC2 mediante un punto de conexión de VPC de interfaz.
Para mejorar la posición de seguridad de su VPC, cree una conexión privada entre los recursos de la VPC y la API de Amazon EC2. Puede acceder a la API de Amazon EC2 como si estuviera en su VPC, sin el uso de una puerta de enlace de Internet, un dispositivo NAT, una conexión VPN o una conexión Direct Connect. Las instancias de EC2 de la VPC no necesitan direcciones IP públicas para acceder a la API de Amazon EC2.
Para obtener más información, consulte [Acceso a Servicios de AWS a través de AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html) en la *Guía de AWS PrivateLink*.
**Topics**
+ [Creación de un punto de conexión de la VPC de tipo interfaz](#create-endpoint)
+ [Creación de una política de punto de conexión](#endpoint-policy)
## Creación de un punto de conexión de la VPC de tipo interfaz
Cree un punto de conexión para Amazon EC2 con el siguiente nombre de servicio:
+ **com.amazonaws.*región*.ec2**: crea un punto de conexión para las acciones de la API de Amazon EC2.
Para obtener más información, consulte [Acceder a Servicio de AWS a través de un punto de conexión de VPC de interfaz](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) en la *Guía de AWS PrivateLink*.
## Creación de una política de punto de conexión
Una política de punto de conexión es un recurso de IAM que puede adjuntar al punto de conexión de su interfaz. La política de punto de conexión predeterminada permite acceso completo a la API de Amazon EC2 a través del punto de conexión de interfaz. Para controlar el acceso permitido a la API de Amazon EC2 desde la VPC, adjunte una política de punto de conexión personalizada al punto de conexión de interfaz.
Una política de punto de conexión especifica la siguiente información:
+ Las entidades principales que pueden realizar acciones.
+ Las acciones que se pueden realizar.
+ El recurso en el que se pueden realizar las acciones.
**importante**
Cuando se aplica una política no predeterminada a un punto de conexión de VPC de interfaz de Amazon EC2, es posible que algunas solicitudes de API que produzcan un error, como aquellas que fallan a partir de `RequestLimitExceeded`, no estén registradas en AWS CloudTrail o Amazon CloudWatch.
Para obtener más información, consulte [Control del acceso a los servicios con puntos de conexión de la VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) en la *Guía del usuario de AWS PrivateLink*.
En el ejemplo siguiente se muestra una política de punto de conexión de VPC que deniega el permiso para crear volúmenes no cifrados o para lanzar instancias con volúmenes no cifrados. La política de ejemplo también concede permiso para realizar todas las demás acciones de Amazon EC2.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": "ec2:*",
"Effect": "Allow",
"Resource": "*",
"Principal": "*"
},
{
"Action": [
"ec2:CreateVolume"
],
"Effect": "Deny",
"Resource": "*",
"Principal": "*",
"Condition": {
"Bool": {
"ec2:Encrypted": "false"
}
}
},
{
"Action": [
"ec2:RunInstances"
],
"Effect": "Deny",
"Resource": "*",
"Principal": "*",
"Condition": {
"Bool": {
"ec2:Encrypted": "false"
}
}
}]
}
```
------