Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# ¿Qué es Route 53 VPC Resolver?
<a name="resolver"></a>

El solucionador de VPC de Route 53 responde de forma recursiva a las consultas de DNS de AWS los recursos para los registros públicos, los nombres de DNS específicos de Amazon VPC y las zonas alojadas privadas de Amazon Route 53, y está disponible de forma predeterminada en todos. VPCs 

**nota**  
Anteriormente, Route 53 VPC Resolver se llamaba Route 53 Resolver, pero se le cambió el nombre cuando se introdujo el Solucionador global de Route 53.

Una Amazon VPC se conecta a un solucionador de VPC en una dirección IP de VPC\$12. Esta dirección de VPC\$12 se conecta a un solucionador de VPC dentro de una zona de disponibilidad. 

Un solucionador de VPC responde automáticamente a las consultas de DNS para:
+ Nombres de dominio de VPC locales para instancias de EC2 (por ejemplo, ec2-192-0-2-44.compute-1.amazonaws.com).

  
+ Registros en zonas alojadas privadas (p. ej., acme.example.com).
+ En el caso de los nombres de dominio público, VPC Resolver realiza búsquedas recursivas en servidores de nombres públicos de Internet.

 

Si tienes cargas de trabajo que aprovechan tanto VPCs los recursos locales como los locales, también necesitas resolver los registros DNS alojados localmente. Del mismo modo, es posible que estos recursos locales necesiten resolver los nombres alojados en ellos. AWS Mediante los puntos finales de Resolver y las reglas de reenvío condicional, puede resolver consultas de DNS entre sus recursos locales y crear una configuración de nube híbrida VPCs a través de VPN o Direct Connect (DX). En concreto:
+ Los puntos de conexión de Resolver entrantes permiten realizar consultas de DNS a la VPC desde la red ubicada en las instalaciones u otra VPC.
+ Los puntos de conexión de Resolver salientes permiten realizar consultas de DNS desde la VPC a la red ubicada en las instalaciones u otra VPC. 
+ Las reglas de Resolver permiten crear una regla de reenvío para cada nombre de dominio y especificar el nombre del dominio para el que desea reenviar las consultas de DNS desde la VPC a un solucionador de DNS ubicado en las instalaciones y desde las instalaciones locales a la VPC. Las reglas se aplican directamente a la VPC y se pueden compartir en varias cuentas. 

En el siguiente diagrama se muestra la resolución de DNS híbrida con puntos de conexión de Resolver. Tenga en cuenta que el diagrama está simplificado para mostrar solo una zona de disponibilidad.

![\[Gráfico conceptual que muestra la ruta de una consulta de DNS desde la VPC al almacenamiento de datos local a través de un punto final de salida de Route 53 VPC Resolver y la ruta desde un solucionador de DNS del punto final de entrada de la red hasta la VPC.\]](http://docs.aws.amazon.com/es_es/Route53/latest/DeveloperGuide/images/Resolver-routing.png)


El siguiente diagrama muestra los siguientes pasos:

**Salientes (flechas continuas 1-5):**

1. Una instancia de Amazon EC2 debe resolver una consulta de DNS al dominio internal.example.com. El servidor de DNS con autoridad se encuentra en el centro de datos en las instalaciones. Esta consulta de DNS se envía a la VPC\$12 de la VPC que se conecta al VPC Resolver.

1. Se configura una regla de reenvío de VPC Resolver para reenviar consultas a internal.example.com en el centro de datos local.

1. La consulta se reenvía a un punto de conexión de salida.

1. El punto final saliente reenvía la consulta al solucionador de DNS local a través de una conexión privada entre y el centro de datos. AWS La conexión puede ser una Direct Connect o ambas AWS Site-to-Site VPN, representada como una puerta de enlace privada virtual.

1. El solucionador de DNS ubicado en las instalaciones resuelve la consulta de DNS de internal.example.com y devuelve la respuesta a la instancia de Amazon EC2 a través de la misma ruta en sentido inverso.

**Entrantes (flechas discontinuas a–d):**

1. Un cliente del centro de datos local debe resolver una consulta de DNS a un AWS recurso del dominio dev.example.com. Envía la consulta al solucionador de DNS en las instalaciones. 

1. El solucionador de DNS en las instalaciones tiene una regla de reenvío que dirige las consultas a dev.example.com a un punto de conexión de entrada. 

1. La consulta llega al punto final de entrada a través de una conexión privada, por ejemplo AWS Site-to-Site VPN, Direct Connect o representada como una puerta de enlace virtual.

1. El punto final entrante envía la consulta al Resolver de VPC, y el Resolver de VPC resuelve la consulta de DNS de dev.example.com y devuelve la respuesta al cliente por la misma ruta, a la inversa.

**Topics**
+ [

# Resolución de consultas de DNS entre y tu red VPCs
](resolver-overview-DSN-queries-to-vpc.md)
+ [

# Disponibilidad y escalado del solucionador de VPC Route 53
](resolver-availability-scaling.md)
+ [

# Introducción al solucionador de VPC de Route 53
](resolver-getting-started.md)
+ [

# Reenviar las consultas de DNS entrantes a tu VPCs
](resolver-forwarding-inbound-queries.md)
+ [

# Reenvío de consultas de DNS de salida a su red
](resolver-forwarding-outbound-queries.md)
+ [

# Tutorial sobre las reglas de delegación de Resolver
](outbound-delegation-tutorial.md)
+ [

# Activar la validación de DNSSEC en Amazon Route 53
](resolver-dnssec-validation.md)

# Resolución de consultas de DNS entre y tu red VPCs
<a name="resolver-overview-DSN-queries-to-vpc"></a>

El solucionador de VPC contiene puntos finales que se configuran para responder a las consultas de DNS desde y hacia el entorno local.

**nota**  
 No se admite el reenvío de consultas de DNS privadas a direcciones CIDR \$1 2 de VPC desde los servidores de DNS de VPC en las instalaciones ni de otro tipo. Esto puede provocar resultados inestables. En su lugar, le recomendamos que utilice un punto de conexión de entrada de Resolver.

También puede integrar la resolución de DNS entre los solucionadores de VPC y los de DNS de la red mediante la configuración de reglas de reenvío. *Su red* puede incluir cualquier red a la que se pueda acceder desde la VPC, como las siguientes:
+ La propia VPC
+ Otra VPC interconectada
+ Una red local a AWS la que se conecta mediante una VPN o una Direct Connect puerta de enlace de traducción de direcciones de red (NAT)

Antes de empezar a reenviar consultas, debe crear los puntos finales and/or entrantes y salientes de Resolver en la VPC conectada. Estos puntos de conexión proporcionan una ruta para las consultas entrantes o salientes:

**Punto final entrante: los solucionadores de DNS de su red pueden reenviar las consultas de DNS al Resolver de VPC de Route 53 a través de este punto final**  
Hay dos tipos de puntos de enlace de entrada: un punto de enlace de **entrada predeterminado que reenvía a las direcciones IP y un punto** de enlace de **entrada de delegación que delega la autoridad de un subdominio** alojado en la zona alojada privada de Route 53 al solucionador de VPC de Route 53. Los puntos de enlace entrantes permiten a los solucionadores de DNS resolver fácilmente los nombres de dominio de AWS recursos, como las instancias de EC2 o los registros de una zona alojada privada de Route 53. Para obtener más información, consulte [Cómo los solucionadores de DNS de su red reenvían las consultas de DNS a los puntos finales del Resolver](resolver-overview-forward-network-to-vpc.md).

**Punto final saliente: el solucionador de VPC reenvía de forma condicional las consultas a los solucionadores de la red a través de este punto final**  
Para reenviar las consultas seleccionadas, puede crear reglas de Resolver que especifiquen los nombres de dominio para las consultas de DNS que quiere reenviar (como example.com) y las direcciones IP de los solucionadores de DNS de la red a las que quiere reenviar las consultas. Si una consulta coincide con varias reglas (example.com, acme.example.com), el solucionador de VPC elige la regla que tiene la concordancia más especifica (acme.example.com) y reenvía la consulta a las direcciones IP que ha especificado en dicha regla. Existen tres tipos de reglas: **reenvío**, **sistema** y **delegación**. Para obtener más información, consulte [Cómo los puntos finales de Resolver reenvían las consultas de DNS de su red a su red VPCs](resolver-overview-forward-vpc-to-network.md). 

Al igual que Amazon VPC, VPC Resolver es regional. En cada región en la que se VPCs encuentre, puede elegir si desea reenviar las consultas de su red VPCs a su red (consultas salientes), de su red a la suya VPCs (consultas entrantes) o ambas.

No puede crear puntos de conexión de Resolver en una VPC que no sea de su propiedad. Solo el propietario de la VPC puede crear recursos a nivel de VPC, como puntos de conexión entrantes.

**nota**  
Cuando se crea un punto de conexión de Resolver, no se puede especificar una VPC que tenga el atributo de tenencia de la instancia establecido en `dedicated`. Para obtener más información, consulte [Uso de VPC Resolver si está configurado para la tenencia de instancias dedicadas VPCs](resolver-choose-vpc.md#resolver-considerations-dedicated-instance-tenancy).

Para utilizar el reenvío de entrada o salida, debe crear un punto de conexión de Resolver en la VPC. Como parte de la definición de un punto de conexión, debe especificar las direcciones IP, o delegación de DNS, a las que quiere reenviar las consultas de DNS entrantes o las direcciones IP desde las que quiere que procedan las consultas salientes. Para cada dirección IP y delegación que especifique, VPC Resolver crea automáticamente una interfaz de red elástica de VPC.

El siguiente diagrama muestra la ruta que sigue una consulta de DNS desde un solucionador de DNS de la red hasta los puntos de conexión de Route 53 Resolver.

![\[Gráfico conceptual que muestra la ruta que sigue una consulta de DNS desde un solucionador de DNS de la red hasta los puntos de conexión de Route 53 Resolver.\]](http://docs.aws.amazon.com/es_es/Route53/latest/DeveloperGuide/images/Resolver-inbound-endpoint.png)


El siguiente diagrama muestra la ruta de una consulta de DNS desde una instancia de EC2 de una de sus instancias VPCs a un solucionador de DNS de su red. El dominio jyo.example.com usa una regla de reenvío, mientras que el subdominio ric.example.com ha delegado la autoridad de reenvío a VPC Resolver.

![\[Gráfico conceptual que muestra la ruta de una consulta de DNS desde la red al Resolver de VPC de Route 53.\]](http://docs.aws.amazon.com/es_es/Route53/latest/DeveloperGuide/images/Resolver-outbound-endpoint.png)


Para obtener información general acerca de las interfaces de red de VPC, consulte [Interfaces de red elásticas](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ElasticNetworkInterfaces.html) en la *Guía del usuario de Amazon VPC*.

**Temas**
+ [Cómo los solucionadores de DNS de su red reenvían las consultas de DNS a los puntos finales del Resolver](resolver-overview-forward-network-to-vpc.md)
+ [Cómo los puntos finales de Resolver reenvían las consultas de DNS de su red a su red VPCs](resolver-overview-forward-vpc-to-network.md)
+ [Consideraciones al crear puntos de conexión de entrada y salida](resolver-choose-vpc.md)

# Cómo los solucionadores de DNS de su red reenvían las consultas de DNS a los puntos finales del Resolver
<a name="resolver-overview-forward-network-to-vpc"></a>

Para reenviar las consultas de DNS de su red a Route 53 VPC Resolver, debe crear puntos de conexión entrantes en una región. AWS Hay dos categorías de puntos de conexión de entrada: los **predeterminados** y los de **delegación**.

**Pasos para crear puntos de conexión de entrada predeterminados**

1. Debe crear un punto final de entrada de Resolver predeterminado en una VPC y especificar las direcciones IP a las que los resolutores de la red reenvían las consultas de DNS, junto con un grupo de seguridad de VPC que incluye reglas de entrada que permiten el acceso TCP y UDP en el puerto 53. Para obtener instrucciones, consulte [Configuración del enrutamiento entrante](resolver-forwarding-inbound-queries-configuring.md).

   Para cada dirección IP que especifique para el punto de enlace de entrada, el Resolver de VPC crea una interfaz de red elástica de VPC en la VPC en la que creó el punto de enlace de entrada. 

1. Configurar los solucionadores de la red para que reenvíen las consultas de DNS de los nombres de dominio aplicables a las direcciones IP que especificó en el punto de conexión de entrada. Para obtener más información, consulte [Consideraciones al crear puntos de conexión de entrada y salida](resolver-choose-vpc.md).

**Así es como VPC Resolver resuelve las consultas de DNS que se originan en la red a través de un punto final de entrada predeterminado:**

1. Un navegador web u otra aplicación de la red envía una consulta de DNS para un nombre de dominio que usted reenvía a VPC Resolver.

1. Un solucionador de su red reenvía la consulta a las direcciones IP del punto de conexión de entrada.

1. El punto final entrante reenvía la consulta a VPC Resolver.

1. El solucionador de VPC obtiene el valor aplicable al nombre de dominio en la consulta de DNS, ya sea internamente o mediante una búsqueda recursiva en los servidores de nombres públicos.

1. VPC Resolver devuelve el valor al punto final de entrada.

1. El punto de conexión de entrada devuelve el valor al solucionador de la red.

1. El solucionador de la red devuelve el valor a la aplicación.

1. Con el valor devuelto por VPC Resolver, la aplicación envía una solicitud, por ejemplo, una solicitud de un objeto en un bucket de Amazon S3.

**Pasos para crear puntos de conexión de entrada de delegación**

1. Se crea un punto final de entrada de Delegation Resolver en una VPC. Para obtener instrucciones, consulte [Configuración del enrutamiento entrante](resolver-forwarding-inbound-queries-configuring.md).

   Para cada dirección IP que especifique para el punto de enlace de entrada, el Resolver de VPC crea una interfaz de red elástica de VPC en la VPC en la que creó el punto de enlace de entrada. 

1. Los resolutores de la red se configuran para delegar las consultas de DNS de los nombres de dominio aplicables a VPC Resolver. En el caso de los registros de adherencia, debe introducir las direcciones IP de los puntos de conexión de entrada. Para obtener más información, consulte [Consideraciones al crear puntos de conexión de entrada y salida](resolver-choose-vpc.md).

**Así es como VPC Resolver resuelve las consultas de DNS que se originan en la red a través de un punto final entrante de delegación:**

1. Como requisito previo, debe delegar el subdominio que está alojado en la zona alojada privada de la red en las instalaciones. Como delega el subdominio a través del punto de conexión de entrada de delegación, debe utilizar las direcciones IP del punto de conexión de entrada como los registros de adherencia del subdominio que se va a delegar.
**nota**  
Es posible que también deba incluir los registros de adherencia para asegurarse de que la consulta de DNS se pueda resolver. Si delega un subdominio a servidores de nombres que se encuentran en la misma zona que el dominio principal, necesitará registros de adherencia.

1. Un navegador web u otra aplicación de la red envía una consulta de DNS para un nombre de dominio que usted ha delegado al solucionador de VPC.

1. Un solucionador de su red reenvía la consulta a las direcciones IP del punto de conexión de entrada.

1. El punto final entrante delega la consulta en VPC Resolver.

1. El solucionador de VPC devuelve la dirección del AWS recurso desde la zona alojada privada al punto final de entrada.

1. El punto de conexión de entrada devuelve el valor al solucionador de la red.

1. El solucionador de la red devuelve el valor a la aplicación.

1. Con el valor devuelto por VPC Resolver, la aplicación envía una solicitud, por ejemplo, una solicitud de un objeto en un bucket de Amazon S3.

La creación de un punto final entrante no cambia el comportamiento del VPC Resolver, solo proporciona una ruta desde una ubicación fuera de la red hasta AWS el VPC Resolver.

# Cómo los puntos finales de Resolver reenvían las consultas de DNS de su red a su red VPCs
<a name="resolver-overview-forward-vpc-to-network"></a>

Si desea reenviar consultas de DNS desde las instancias EC2 de una o más instancias de una AWS región a su red, VPCs lleve a cabo los siguientes pasos.

1. Se crea un punto final de salida de Resolver en una VPC y se especifican varios valores:
   + La VPC que quiere que atraviesen las consultas de DNS en el recorrido hacia los solucionadores de la red. 
   + Un [grupo de seguridad de VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) que incluye reglas de salida que permiten el acceso de TCP y UDP en el puerto 53 (o el puerto que usa para las consultas de DNS en su red).

   Para cada dirección IP que especifique para el punto de conexión saliente, VPC Resolver crea una interfaz de red elástica de Amazon VPC en la VPC que especifique. Para obtener más información, consulte [Consideraciones al crear puntos de conexión de entrada y salida](resolver-choose-vpc.md).

1. Puede crear una o más reglas que especifican los nombres de dominio de las consultas de DNS que desea delegar a VPC Resolver para que las reenvíen o desea que VPC Resolver las reenvíe a los solucionadores de su red. En el caso de las reglas de reenvío, también debe especificar las direcciones IP de los solucionadores. Para obtener más información, consulte [Uso de reglas para controlar qué consultas se reenvían a la red](resolver-overview-forward-vpc-to-network-using-rules.md).

1. Asocia cada regla a la VPCs que desee reenviar las consultas de DNS a la red.

# Uso de reglas para controlar qué consultas se reenvían a la red
<a name="resolver-overview-forward-vpc-to-network-using-rules"></a>

Las reglas controlan qué consultas de DNS reenvía el punto final de Resolver a los solucionadores de DNS de la red y qué consultas responde VPC Resolver por sí mismo. 

Hay dos formas de categorizar las reglas. Una es según quién crea las reglas:
+ **Reglas autodefinidas**: VPC Resolver crea automáticamente reglas autodefinidas y las asocia a las suyas. VPCs La mayoría de estas reglas se aplican a los nombres de dominio AWS específicos para los que VPC Resolver responde a las consultas. Para obtener más información, consulte [Nombres de dominio para los que VPC Resolver crea reglas de sistema autodefinidas](resolver-overview-forward-vpc-to-network-autodefined-rules.md).
+ **Reglas personalizadas**: puede crear reglas personalizadas y asociarlas a ellas. VPCs En la actualidad, puede crear dos tipos de reglas personalizadas: las **reglas de reenvío condicional**, también conocidas como reglas de reenvío, y las **reglas de delegación**. Las reglas **de reenvío** hacen que VPC Resolver reenvíe las consultas de DNS de las VPCs suyas a las direcciones IP de los solucionadores de DNS de la red.

  Si creas una regla de reenvío para el mismo dominio que una regla autodefinida, VPC Resolver reenvía las consultas de ese nombre de dominio a los solucionadores de DNS de tu red en función de la configuración de la regla de reenvío.

  Las **reglas de delegación** reenvían las consultas de DNS con los registros de delegación correspondientes a la regla de delegación que coinciden con los registros NS en respuesta a los solucionadores de su red.

Otra forma de categorizar las reglas es según lo que hacen:
+ **Reglas de reenvío condicional**: cree reglas de reenvío condicional (también denominadas reglas de reenvío) cuando quiera reenviar consultas de DNS para nombres de dominio especificados a los solucionadores de DNS de la red.
+ **Reglas del sistema**: las reglas del sistema hacen que VPC Resolver anule selectivamente el comportamiento definido en una regla de reenvío. Al crear una regla del sistema, el solucionador de VPC resuelve las consultas de DNS para subdominios específicos que, de otro modo, resolverían los solucionadores de DNS de la red.

  De forma predeterminada, las reglas de reenvío se aplican a un nombre de dominio y todos sus subdominios. Si quiere reenviar las consultas de un dominio a un solucionador de la red, pero no quiere reenviar las consultas a algunos subdominios, debe crear una regla de sistema para los subdominios. Por ejemplo, si crea una regla de reenvío para example.com pero no desea reenviar las consultas a acme.example.com, debe crear una regla de sistema y especificar acme.example.com para el nombre de dominio.
+ **Regla recursiva****: VPC Resolver crea automáticamente una regla recursiva denominada Internet Resolver.** Esta regla hace que el Resolver de VPC de Route 53 actúe como un solucionador recursivo para cualquier nombre de dominio para el que no haya creado reglas personalizadas y para los que el Resolver de VPC no haya creado reglas autodefinidas. Para obtener más información acerca de cómo anular este comportamiento, consulte “Reenvío de todas las consultas a su red”, más adelante en este tema.

Puede crear reglas personalizadas que se apliquen a nombres de dominio específicos (el suyo o la mayoría de los nombres de AWS dominio), a los nombres de AWS dominios públicos o a todos los nombres de dominio. 

**Reenvío a su red de las consultas para nombres de dominio específicos**  
Para reenviar a su red las consultas de un nombre de dominio específico, como example.com, debe crear una regla y especificar ese nombre de dominio. En el caso de las reglas de **reenvío**, también debe especificar las direcciones IP de los solucionadores de DNS de la red a las que quiere reenviar las consultas. En el caso de las reglas de **delegación**, debe crear el registro de delegación sobre el que quiere delegar la autoridad a los solucionadores en las instalaciones. A continuación, asocie cada regla a VPCs la que desee reenviar las consultas de DNS a la red. Por ejemplo, puede crear reglas diferentes para los dominios example.com, example.org y example.net. A continuación, puede asociar las reglas a las VPCs de una AWS región en cualquier combinación.

**Reenvío a su red de las consultas de amazonaws.com**  
El nombre de dominio amazonaws.com es el nombre de dominio público de AWS recursos como las instancias EC2 y los buckets S3. Si quiere reenviar a su red las consultas de amazonaws.com, cree una regla, especifique amazonaws.com como nombre de dominio y especifique **Reenvío** o **Delegación** como tipo de regla, según el método que quiera usar.  
VPC Resolver no reenvía automáticamente las consultas de DNS para algunos subdominios de amazonaws.com, incluso si se crea una regla de reenvío para amazonaws.com. Para obtener más información, consulte [Nombres de dominio para los que VPC Resolver crea reglas de sistema autodefinidas](resolver-overview-forward-vpc-to-network-autodefined-rules.md). Para obtener más información acerca de cómo anular este comportamiento, consulte “Reenvío de todas las consultas a su red”, a continuación.

**Reenvío de todas las consultas a su red**  
  
Si quieres reenviar todas las consultas a tu red, debes crear una regla y especificar «.» (punto) para el nombre de dominio y asocie la regla a la VPCs que desee reenviar todas las consultas de DNS a la red. El solucionador de VPC sigue sin reenviar todas las consultas de DNS a la red porque el uso de un solucionador de DNS externo AWS interrumpiría algunas funciones. Por ejemplo, algunos nombres de AWS dominio internos tienen rangos de direcciones IP internos a los que no se puede acceder desde fuera. AWS Para ver una lista de los nombres de dominio para los que las consultas no se reenvían a la red cuando se crea una regla para “.”, consulte [Nombres de dominio para los que VPC Resolver crea reglas de sistema autodefinidas](resolver-overview-forward-vpc-to-network-autodefined-rules.md).  
Sin embargo, las reglas autodefinidas del sistema para el DNS inverso pueden desactivarse, permitiendo que la regla “.” reenvíe todas las consultas de DNS inverso a su red. Para más información acerca de cómo desactivar las reglas autodefinidas, consulte [Reglas de reenvío para consultas de DNS inversas en VPC Resolver](resolver-rules-managing.md#resolver-automatic-forwarding-rules-reverse-dns).  
Si desea probar a reenviar a la red las consultas de DNS de todos los nombres de dominio, incluidos los nombres de dominio que quedan excluidos del reenvío de forma predeterminada, puede crear una regla “.” y realizar una de las siguientes operaciones:  
+ Establecer la marca `enableDnsHostnames` de la VPC en `false`
+ Crear reglas para los nombres de dominio que se indican en [Nombres de dominio para los que VPC Resolver crea reglas de sistema autodefinidas](resolver-overview-forward-vpc-to-network-autodefined-rules.md)
Si reenvías todos los nombres de dominio a tu red, incluidos los nombres de dominio que VPC Resolver excluye al crear una regla «.», es posible que algunas funciones dejen de funcionar.

# Cómo determina el solucionador de VPC si el nombre de dominio de una consulta coincide con alguna regla
<a name="resolver-overview-forward-vpc-to-network-domain-name-matches"></a>

El solucionador de VPC de Route 53 compara el nombre de dominio de la consulta de DNS con el nombre de dominio de las reglas asociadas a la VPC desde la que se originó la consulta. VPC Resolver considera que los nombres de dominio coinciden en los siguientes casos:
+ Los nombres de dominio coinciden exactamente
+ El nombre de dominio en la consulta es un subdominio del nombre de dominio de la regla

Por ejemplo, si el nombre de dominio de la regla es acme.example.com, VPC Resolver considera que los siguientes nombres de dominio de una consulta de DNS coinciden:
+ acme.example.com
+ zenith.acme.example.com

Los siguientes nombres de dominio no son una coincidencia:
+ example.com
+ nadir.example.com

Si el nombre de dominio de una consulta coincide con el nombre de dominio de más de una regla (como example.com y www.example.com), VPC Resolver enruta las consultas DNS salientes mediante la regla que contiene el nombre de dominio más específico (www.example.com).

# Cómo determina el solucionador de VPC a dónde reenviar las consultas de DNS
<a name="resolver-overview-forward-vpc-to-network-where-to-forward-queries"></a>

Cuando una aplicación que se ejecuta en una instancia EC2 de una VPC envía una consulta de DNS, Route 53 VPC Resolver realiza los siguientes pasos:

1. El solucionador comprueba los nombres de dominio de las reglas.

   Si el nombre de dominio de una consulta coincide con el nombre de dominio de una regla de reenvío predeterminada, VPC Resolver reenvía la consulta a la dirección IP que especificó al crear el punto final de salida. A continuación, el punto de conexión de salida reenvía la consulta a las direcciones IP de los solucionadores de la red, que especificó al crear la regla.

   Si el registro de delegación en respuesta coincide con la regla de delegación, Resolver delega la autoridad a los solucionadores en las instalaciones a través del punto de conexión de salida asociado a la regla de delegación.

   Para obtener más información, consulte [Cómo determina el solucionador de VPC si el nombre de dominio de una consulta coincide con alguna regla](resolver-overview-forward-vpc-to-network-domain-name-matches.md). 

1. El punto de conexión de Resolver reenvía las consultas de DNS en función de la configuración de la regla “.”.

   Si el nombre de dominio de una consulta no coincide con el nombre de dominio de ninguna otra regla, VPC Resolver reenvía la consulta en función de la configuración de la opción «» autodefinida. regla (punto). La regla de los puntos se aplica a todos los nombres de dominio, excepto a algunos nombres de dominio AWS internos y nombres de registro en zonas alojadas privadas. Esta regla hace que VPC Resolver reenvíe las consultas de DNS a los servidores de nombres públicos si los nombres de dominio de las consultas no coinciden con ningún nombre de las reglas de reenvío personalizadas. Si desea reenviar todas las consultas a los solucionadores de DNS de su red, puede crear una regla de reenvío personalizada, especificar "." como nombre de dominio, especificar **Forwarding** (Reenvío) en **Type** (Tipo) y especificar las direcciones IP de esos solucionadores. 

1. VPC Resolver devuelve la respuesta a la aplicación que envió la consulta.

# Uso de reglas en varias regiones
<a name="resolver-overview-forward-vpc-to-network-using-rules-multiple-regions"></a>

El solucionador de VPC de Route 53 es un servicio regional, por lo que los objetos que cree en una AWS región solo están disponibles en esa región. Para utilizar la misma regla en más de una región, debe crear la regla en cada región.

La AWS cuenta que creó una regla puede compartirla con otras AWS cuentas. Para obtener más información, consulte [Compartir las reglas de Resolver con otras AWS cuentas y usar reglas compartidas](resolver-rules-managing.md#resolver-rules-managing-sharing).

# Nombres de dominio para los que VPC Resolver crea reglas de sistema autodefinidas
<a name="resolver-overview-forward-vpc-to-network-autodefined-rules"></a>

El solucionador crea automáticamente reglas del sistema autodefinidas que definen cómo se resuelven de forma predeterminada las consultas de los dominios seleccionados:
+ En el caso de las zonas alojadas privadas y los nombres de dominio específicos de Amazon EC2 (como compute.amazonaws.com y compute.internal), las reglas autodefinidas se aseguran de que las zonas alojadas privadas y las instancias de EC2 sigan solucionándose si crea reglas de reenvío condicional para nombres de dominio menos específicos como “.” (punto) o “com”.
+ En los nombres de dominio reservados públicamente (como localhost y 10.in-addr.arpa), las prácticas recomendadas de DNS establecen que las consultas se respondan localmente en lugar de reenviarse a servidores de nombres públicos. Véase [RFC 6303, Locally Served DNS Zones](https://tools.ietf.org/html/rfc6303).

**nota**  
Si crea una regla de reenvío condicional para “.” (punto) o “com”, le recomendamos que también cree una regla del sistema para amazonaws.com. (Las reglas del sistema hacen que VPC Resolver resuelva localmente las consultas de DNS para dominios y subdominios específicos). La creación de esta regla del sistema mejora el rendimiento, reduce la cantidad de consultas que se reenvían a la red y reduce los cargos de la resolución de VPC.

Si desea anular una regla autodefinida, puede crear una regla de reenvío condicional para el mismo nombre de dominio. 

También existe la posibilidad de desactivar las reglas autodefinidas. Para obtener más información, consulte [Reglas de reenvío para consultas de DNS inversas en VPC Resolver](resolver-rules-managing.md#resolver-automatic-forwarding-rules-reverse-dns). 

El solucionador de VPC crea las siguientes reglas autodefinidas.

**Reglas para zonas alojadas privadas**  
Para cada zona alojada privada que asocie a una VPC, el solucionador de VPC crea una regla y la asocia a la VPC. Si asocias la zona alojada privada a varias VPCs, VPC Resolver asocia la regla a la misma. VPCs  
La regla tiene el tipo **Forward** (Reenvío).

**Reglas para varios nombres de dominio AWS internos**  
Todas las reglas para los nombres de dominio internos de esta sección presentan un tipo **reenvío**. El solucionador de VPC reenvía las consultas de DNS de estos nombres de dominio a los servidores de nombres autorizados de la VPC.  
El solucionador de VPC crea la mayoría de estas reglas cuando se establece la `enableDnsHostnames` marca de una VPC en. `true` El Resolver de VPC crea las reglas incluso si no se utilizan puntos finales de Resolver.
El solucionador de VPC crea las siguientes reglas autodefinidas y las asocia a una VPC cuando se establece la marca `enableDnsHostnames` de la VPC en: `true`   
+ *Region-name*.compute.internal, por ejemplo, eu-west-1.compute.internal. La región us-east-1 no utiliza este nombre de dominio.
+ *Region-name*.computar. *amazon-domain-name*, por ejemplo, eu-west-1.compute.amazonaws.com o cn-north-1.compute.amazonaws.com.rproxy.goskope.com.cn. La región us-east-1 no utiliza este nombre de dominio.
+ ec2.internal. Solo la región us-east-1 utiliza este nombre de dominio.
+ compute-1.internal. Solo la región us-east-1 utiliza este nombre de dominio.
+ compute-1.amazonaws.com. Solo la región us-east-1 utiliza este nombre de dominio.
Las siguientes reglas autodefinidas son para la búsqueda de DNS inversa de las reglas que VPC Resolver crea cuando se establece `enableDnsHostnames` el indicador de la VPC en. `true`  
+ 10.in-addr.arpa
+ 16.172.in-addr.arpa a 31.172.in-addr.arpa 
+ 168.192.in-addr.arpa
+ 254.169.254.169.in-addr.arpa
+ Reglas para cada uno de los rangos de CIDR para la VPC. Por ejemplo, si una VPC tiene un rango de CIDR de 10.0.0.0/23, el solucionador de VPC crea las siguientes reglas: 
  + 0.0.10.in-addr.arpa
  + 1.0.10.in-addr.arpa
Las siguientes reglas autodefinidas, para los dominios relacionados con localhost, también se crean y asocian a una VPC cuando la marca `enableDnsHostnames` para la VPC se establece en `true`:  
+ localhost
+ localdomain
+ 127.in-addr.arpa
+ 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa
+ 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa
El solucionador de VPC crea las siguientes reglas autodefinidas y las asocia a su VPC cuando conecta la VPC con otra VPC a través de una puerta de enlace de tránsito o interconexión de VPC, y con la compatibilidad de DNS habilitada:  
+ La búsqueda de DNS hacia atrás para los rangos de direcciones IP de la VPC del mismo nivel; por ejemplo, 0.192.in-addr.arpa

  Si agrega un bloque IPv4 CIDR a una VPC, el solucionador de VPC agrega una regla autodefinida para el nuevo rango de direcciones IP.
+ Si la otra VPC se encuentra en otra región, los siguientes nombres de dominio:
  + *Region-name*.compute.internal. La región us-east-1 no utiliza este nombre de dominio.
  + *Region-name*.computar. *amazon-domain-name*. La región us-east-1 no utiliza este nombre de dominio.
  + ec2.internal. Solo la región us-east-1 utiliza este nombre de dominio.
  + compute-1.amazonaws.com. Solo la región us-east-1 utiliza este nombre de dominio.

**Una regla para todos los demás dominios**  
El solucionador de VPC crea un «.» regla (punto) que se aplica a todos los nombres de dominio que no se especificaron anteriormente en este tema. La regla «.» tiene un tipo de **recursiva**, lo que significa que la regla hace que el Resolver de VPC actúe como un solucionador recursivo.

# Consideraciones al crear puntos de conexión de entrada y salida
<a name="resolver-choose-vpc"></a>

Antes de crear puntos finales de Resolver entrantes y salientes en una AWS región, tenga en cuenta los siguientes aspectos.

**Topics**
+ [

## Número de puntos de conexión de entrada y salida en cada región
](#resolver-considerations-number-of-endpoints)
+ [

## Uso de la misma VPC para los puntos de conexión de entrada y salida
](#resolver-considerations-same-vpc-inbound-outbound)
+ [

## Puntos de conexión de entrada y zonas alojadas privadas
](#resolver-considerations-inbound-endpoint-private-zone)
+ [

## Emparejamiento de VPC
](#resolver-considerations-vpc-peering)
+ [

## Direcciones IP en subredes compartidas
](#resolver-considerations-shared-subnets)
+ [

## Conexión entre su red y la red en la VPCs que crea los puntos de enlace
](#resolver-considerations-connection-between-network-and-vpcs)
+ [

## Al compartir reglas, también comparte los puntos de conexión de salida
](#resolver-considerations-share-rules-share-outbound-endpoints)
+ [

## Elección de protocolos para los puntos de conexión
](#resolver-endpoint-protocol-considerations)
+ [

## Uso de VPC Resolver si está configurado para la tenencia de instancias dedicadas VPCs
](#resolver-considerations-dedicated-instance-tenancy)

## Número de puntos de conexión de entrada y salida en cada región
<a name="resolver-considerations-number-of-endpoints"></a>

Si desea integrar el DNS de una AWS región con el VPCs DNS de su red, normalmente necesitará un extremo de entrada de Resolver (para las consultas de DNS que reenvía a su red VPCs) y un punto final de salida (para las consultas que reenvía de su red a su red). VPCs Puede crear varios puntos de conexión de entrada y varios puntos de conexión de salida, pero un punto de conexión es suficiente para gestionar las consultas de DNS para cualquier dirección. Tenga en cuenta lo siguiente:
+ Para cada punto de conexión de Resolver, debe especificar dos o más direcciones IP en diferentes zonas de disponibilidad. Cada dirección IP de un punto de conexión puede gestionar un amplio número de consultas de DNS por segundo. (Para obtener información acerca del número máximo actual de consultas por segundo por cada dirección IP de un punto de conexión, consulte [Cuotas en el solucionador de VPC Route 53](DNSLimitations.md#limits-api-entities-resolver).) Si necesita que VPC Resolver gestione más consultas, puede añadir más direcciones IP a su punto de conexión existente en lugar de añadir otro punto de conexión.
+ Los precios de VPC Resolver se basan en la cantidad de direcciones IP de los puntos finales y en la cantidad de consultas de DNS que procesa el punto final. Cada punto de conexión incluye un mínimo de dos direcciones IP. Para obtener más información sobre los precios de VPC Resolver, consulte los precios de [Amazon Route 53](https://aws.amazon.com/route53/pricing/).
+ Cada regla especifica el punto de conexión de salida desde el que se reenvían las consultas de DNS. Si crea varios puntos de conexión de salida en una región de AWS y quiere asociar algunas o todas las reglas de Resolver con cada VPC, tiene que crear varias copias de esas reglas.

## Uso de la misma VPC para los puntos de conexión de entrada y salida
<a name="resolver-considerations-same-vpc-inbound-outbound"></a>

Puede crear puntos de enlace entrantes y salientes en la misma VPC o en diferentes VPCs puntos de la misma región.

Para obtener más información, consulte [Prácticas recomendadas de Amazon Route 53](best-practices.md). 

## Puntos de conexión de entrada y zonas alojadas privadas
<a name="resolver-considerations-inbound-endpoint-private-zone"></a>

Si desea que VPC Resolver resuelva las consultas de DNS entrantes mediante registros de una zona alojada privada, asocie la zona alojada privada a la VPC en la que creó el punto final de entrada. Para obtener información sobre cómo asociar zonas alojadas privadas, consulte. VPCs [Uso de zonas alojadas privadas](hosted-zones-private.md)

## Emparejamiento de VPC
<a name="resolver-considerations-vpc-peering"></a>

Puede usar cualquier VPC de una AWS región para un punto final entrante o saliente, independientemente de si la VPC que elija está emparejada con otra. VPCs Para obtener más información, consulte [Amazon Virtual Private Cloud (VPC)](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html).

## Direcciones IP en subredes compartidas
<a name="resolver-considerations-shared-subnets"></a>

Al crear un punto de conexión de entrada o salida, solo puede especificar una dirección IP en una subred compartida si la cuenta actual creó la VPC. Si otra cuenta crea una VPC y comparte una subred en la VPC con su cuenta, no puede especificar una dirección IP en esa subred. Para obtener más información sobre las subredes compartidas, consulte [Trabajar con subredes compartidas VPCs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html) en la Guía del *usuario de Amazon VPC*.

## Conexión entre su red y la red en la VPCs que crea los puntos de enlace
<a name="resolver-considerations-connection-between-network-and-vpcs"></a>

Debe tener una de las siguientes conexiones entre la red y la red en la VPCs que crea los puntos finales:
+ **Puntos de conexión de entrada**: debe configurar una conexión de [Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html) o una [conexión de VPN](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html) entre su red y cada VPC para la que cree un punto de conexión de entrada o salida.
+ **Puntos de conexión de salida**: debe configurar una conexión de [Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html), una [conexión de VPN](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html) o una [puerta de enlace de traducción de dirección de red (NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html) entre su red y cada VPC para la que cree un punto de conexión de salida.

## Al compartir reglas, también comparte los puntos de conexión de salida
<a name="resolver-considerations-share-rules-share-outbound-endpoints"></a>

Al crear una regla, se especifica el punto de conexión saliente que desea que VPC Resolver utilice para reenviar las consultas de DNS a la red. Si compartes la regla con otra AWS cuenta, también compartes indirectamente el punto final de salida que especificas en la regla. Si ha utilizado más de una AWS cuenta para crear VPCs en una AWS región, puede hacer lo siguiente:
+ Cree un punto de conexión de salida en la región.
+ Cree reglas con una AWS cuenta.
+ Comparte las reglas con todas las AWS cuentas que se hayan creado VPCs en la región.

Esto le permite usar un punto final de salida en una región para reenviar consultas de DNS a su red desde varios puntos de vista, VPCs incluso si VPCs se crearon con AWS cuentas diferentes.

## Elección de protocolos para los puntos de conexión
<a name="resolver-endpoint-protocol-considerations"></a>

Los protocolos de punto de conexión determinan cómo se transmiten los datos a un punto de conexión de entrada y desde un punto de conexión de salida. No es necesario cifrar las consultas de DNS para el tráfico de VPC porque cada flujo de paquetes de la red se autoriza individualmente según una regla para validar el origen y el destino correctos antes de transmitirlos y entregarlos. Es muy poco probable que la información pase arbitrariamente entre entidades sin la autorización específica tanto de la entidad emisora como de la entidad receptora. Si un paquete se enruta a un destino sin una regla que lo iguale, el paquete se descarta. Para obtener más información, consulte [Características de VPC](https://docs.aws.amazon.com/whitepapers/latest/logical-separation/vpc-and-accompanying-features.html).

Los protocolos disponibles son:
+ **Do53:** DNS a través del puerto 53. Los datos se transmiten mediante el solucionador de VPC sin cifrado adicional. Si bien los datos no pueden ser leídos por terceros, se pueden ver dentro de las AWS redes. Utiliza UDP o TCP para enviar los paquetes. Do53 se utiliza principalmente para el tráfico dentro y entre Amazon VPCs. Actualmente, este es el único protocolo disponible para los puntos de conexión de entrada de delegación.
+ **DoH:** los datos se transmiten a través de una sesión HTTPS cifrada. DoH añade un nivel de seguridad adicional, donde los usuarios no autorizados no pueden descifrar los datos y nadie puede leerlos excepto el destinatario previsto. No está disponible para los puntos de conexión de entrada de delegación.
+ **Doh-FIPS:** los datos se transmiten en una sesión HTTPS cifrada que cumple con el estándar criptográfico FIPS 140-2. Admite solo puntos de conexión de entrada. Para obtener más información, consulte [FIPS PUB 140-2](https://doi.org/10.6028/NIST.FIPS.140-2). No está disponible para los puntos de conexión de entrada de delegación.

En el caso de un punto de conexión de entrada de **reenvío**, puede aplicar los protocolos de la siguiente manera:
+  Do53 y DoH en combinación.
+ Do53 y DOH-FIPS en combinación.
+ Do53 solo.
+ DoH solo.
+ DoH-FIPS solo.
+ Ninguno, por lo que se trata como Do53.

Para un punto de conexión de salida, puede aplicar los protocolos de la siguiente manera:
+  Do53 y DoH en combinación.
+ Do53 solo.
+ DoH solo.
+ Ninguno, por lo que se trata como Do53.

Consulte también [Valores que se especifican al crear o editar puntos de conexión de entrada](resolver-forwarding-inbound-queries-values.md) y [Valores que se especifican al crear o editar puntos de conexión de salida](resolver-forwarding-outbound-queries-endpoint-values.md).

## Uso de VPC Resolver si está configurado para la tenencia de instancias dedicadas VPCs
<a name="resolver-considerations-dedicated-instance-tenancy"></a>

Cuando se crea un punto de conexión de Resolver, no se puede especificar una VPC que tenga el [atributo de tenencia de la instancia](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html) establecido en `dedicated`. El solucionador de VPC no se ejecuta en hardware de un solo inquilino.

Puede seguir utilizando VPC Resolver para resolver las consultas de DNS que se originan en una VPC. Cree al menos una VPC que tenga el atributo de propiedad de instancia establecido en `default` y especifique esa VPC cuando cree puntos de conexión de entrada y salida.

Al crear una regla de reenvío, puede asociarla con cualquier VPC, independientemente de la configuración del atributo de propiedad de instancia.

# Disponibilidad y escalado del solucionador de VPC Route 53
<a name="resolver-availability-scaling"></a>

El solucionador de VPC Route 53, que se ejecuta en la dirección CIDR \$1 2 de Amazon VPC y fd00:ec2: :253, está disponible de forma predeterminada en todos los servidores y responde de forma recursiva a las consultas de DNS de registros públicos VPCs, nombres de DNS específicos de Amazon VPC y zonas alojadas privadas de Route 53. Hay dos componentes de alta disponibilidad, transparentes para los usuarios, que componen el Resolver VPC Route 53: el servicio Nitro Resolver y la flota de Resolver Zonal. El servicio Nitro Resolver es un servicio que se ejecuta en la tarjeta Nitro en las instancias Nitro y en Dom0 en las instancias de generaciones anteriores, y consume los paquetes dirigidos al Resolver de VPC de Route 53 de forma local en el servidor host. Para obtener más información, consulte [El diseño de seguridad del sistema Nitro. AWS](https://docs.aws.amazon.com/whitepapers/latest/security-design-of-aws-nitro-system/security-design-of-aws-nitro-system.html) 

El servicio Nitro Resolver incluye una caché local que puede ayudar a reducir la latencia al responder a las consultas repetidas que una instancia realiza durante un breve período de tiempo. Cuando el servicio Nitro Resolver recibe una consulta para la cual no tiene una respuesta en caché, reenvía la consulta a la flota de Zonal Resolver, una flota de solucionadores de alta disponibilidad que normalmente se encuentran en la misma zona de disponibilidad que la instancia. Cuando se producen errores al momento de administrar las consultas de los servidores de nombres ascendentes u otros componentes de la ruta, el servicio Nitro Resolver suele poder administrar estos errores de forma transparente sin que ello afecte a las cargas de trabajo que se ejecutan en la instancia. Además, si el Resolver detecta que se agota el tiempo de espera en las consultas, se deniegan las conexiones o se produce un error de SERVFAILS en los servidores de nombres del dominio, puede que responda con una respuesta en caché superior al valor Time-To-Live (TTL) para mejorar la disponibilidad. Las consultas entre el servicio Nitro Resolver y la flota de Zonal Resolver están restringidas a una red estrictamente controlada fuera de la VPC del cliente, a la que los clientes no pueden acceder y están sujetas a rigurosos controles de seguridad. Al administrar las consultas entre el servicio Nitro Resolver y la flota de Zonal Resolver fuera de la VPC, los clientes no pueden interceptar las consultas de DNS dentro de la VPC. Las consultas destinadas a asignar nombres a servidores ajenos a ella AWS atravesarán la red pública de Internet y se originarán en direcciones IP públicas que pertenezcan a la flota de Zonal Resolver. En la actualidad, no admitimos el atributo EDNS0 -Client Subnet, lo que significa que todas las consultas destinadas a servidores de nombres DNS públicos no incluyen información sobre la dirección IP del cliente de origen. 

El servicio Nitro Resolver forma parte de los servicios Link-Local de la instancia. Los servicios de Link-Local incluyen Route 53 VPC Resolver, Amazon Time Service (NTP), Instance Metadata Service (IMDS) y Windows Licensing Service (para instancias de Windows). Estos servicios se escalan con cada interfaz de red elástica que cree en la VPC y cada interfaz de red permite 1024 paquetes por segundo (PPS) destinados a los servicios Link-Local. Se rechazan los paquetes que superen este límite. Puede determinar si ha superado este límite a partir del valor `linklocal_allowance_exceeded` devuelto por ethtool. Para obtener más información acerca de la ethtool, consulte [Supervisar el rendimiento de la red de la instancia de Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/monitoring-network-performance-ena.html) en la *Guía del usuario de Amazon EC2*. El agente también puede informar de esta métrica a las CloudWatch métricas. CloudWatch Dado que el solucionador de VPC Route 53 se implementa por interfaz de red, se escala y se vuelve más confiable a medida que se agregan más instancias en más zonas de disponibilidad. No hay un límite agregado por VPC en cuanto al número de consultas, por lo que el Resolver de VPC de Route 53 puede escalar dentro de los límites de una VPC, lo que se basa intrínsecamente en el uso de direcciones de red (NAU). Para obtener más información, consulte [Uso de direcciones de red para la VPC](https://docs.aws.amazon.com/vpc/latest/userguide/network-address-usage.html) en la *Guía del usuario de Amazon Virtual Private Cloud*.

En el siguiente diagrama, se muestra una descripción general de cómo el solucionador de VPC de Route 53 resuelve las consultas de DNS en las zonas de disponibilidad.

![\[Gráfico conceptual que muestra cómo Route 53 VPC Resolver resuelve las consultas de DNS dentro de las zonas de disponibilidad.\]](http://docs.aws.amazon.com/es_es/Route53/latest/DeveloperGuide/images/Resolver-scale-availability2.png)


# Introducción al solucionador de VPC de Route 53
<a name="resolver-getting-started"></a>

La consola de VPC Resolver de Route 53 incluye un asistente que le guía por los siguientes pasos para empezar a usar VPC Resolver:
+ Crear puntos de conexión: de entrada, de salida o ambos.
+ Para los puntos de conexión de salida, cree una o más reglas de reenvío, que especifican los nombres de dominio para los que quiere dirigir las consultas de DNS a la red.
+ Si ha creado un punto de conexión de salida, elija la VPC a la que quiere asociar las reglas.<a name="resolver-getting-started-procedure"></a>

**Para configurar el solucionador de VPC de Route 53 mediante el asistente**

1. Inicie sesión en la consola de VPC Resolver Consola de administración de AWS y ábrala en. [https://console.aws.amazon.com/route53resolver/](https://console.aws.amazon.com/route53resolver/)

1. En la página **Bienvenido a Route 53 VPC Resolver**, elija **Configurar** puntos finales.

1. En la barra de navegación, elija la región en la que desea crear un punto de conexión del solucionador.

1. En **Basic configuration** (Configuración básica), elija la dirección en la que desea reenviar las consultas de DNS:
   + **Entrantes y salientes**: el asistente le guía por los ajustes que le permiten reenviar consultas de DNS de los solucionadores de la red al solucionador de VPC de una VPC y reenviar consultas específicas (como example.com o example.net) desde una VPC a los solucionadores de la red. 
   + **Solo entrantes**: el asistente lo guía a través de la configuración que le permite reenviar las consultas de DNS de los solucionadores de su red al solucionador de VPC en una VPC.
   + **Inbound only** (Solo salida): el asistente le guía por la configuración que permite reenviar las consultas especificadas de una VPC a los solucionadores de su red.

1. Elija **Siguiente**.

1. Si eligió **Inbound and outbound** (Entrada y salida) o **Inbound only** (Solo entrada), escriba los valores correspondientes para configurar un punto de conexión entrante. A continuación, prosiga con el paso 7. Para obtener más información, consulte [Valores que se especifican al crear o editar puntos de conexión de entrada](resolver-forwarding-inbound-queries-values.md).

   Si elige **Outbound only** (Solo salida), vaya al paso 7.

1. Escriba los valores aplicables para configurar un punto de conexión de salida. Para obtener más información, consulte [Valores que se especifican al crear o editar puntos de conexión de salida](resolver-forwarding-outbound-queries-endpoint-values.md).

1. Si eligió **Inbound and outbound** (Entrada y salida) u **Outbound only** (Solo salida), escriba los valores correspondientes para crear una regla. Para obtener más información, consulte [Valores que se especifican al crear o editar reglas](resolver-forwarding-outbound-queries-rule-values.md).

1. En la página **Review and create** (Revisar y crear), confirme que la configuración que ha especificado en páginas anteriores sea correcta. Si fuera necesario, elija **Edit** (Editar) en la sección correspondiente y actualice la configuración. Cuando esté satisfecho con la configuración, haga clic en **Submit** (Enviar).
**nota**  
La creación de un punto de conexión de salida tarda uno o dos minutos. No se puede crear otro punto de conexión de salida hasta que no se haya creado el primero.

1. Si desea crear más reglas, consulte [Administración de reglas de reenvío](resolver-rules-managing.md).

1. Si creó un punto de conexión de entrada, configure los solucionadores de DNS de la red para que reenvíen las consultas de DNS aplicables a las direcciones IP del punto de conexión de entrada. Para obtener más información, consulte la documentación de su aplicación de DNS.

# Reenviar las consultas de DNS entrantes a tu VPCs
<a name="resolver-forwarding-inbound-queries"></a>

Para reenviar las consultas de DNS de su red a VPC Resolver, debe crear un punto final entrante. Un punto de conexión entrante especifica las direcciones IP (del rango de direcciones IP disponibles para la VPC) a las que desea que los solucionadores de DNS de su red reenvíen las consultas de DNS. Esas direcciones IP no son direcciones IP públicas, por lo que, para cada punto final de entrada, debe conectar la VPC a la red mediante Direct Connect una conexión o una conexión VPN.

Al implementar la delegación entrante, delega la autoridad de DNS para un subdominio de su infraestructura de DNS local a VPC Resolver. Para configurar correctamente esta delegación, debe usar las direcciones IP del punto de conexión de entrada como registros de adherencia (registros NS) en el servidor de nombres en las instalaciones para el subdominio que se va a delegar. Por ejemplo, si delega el subdominio «aws.example.com» a VPC Resolver a través de un punto final de delegación entrante con las direcciones IP 10.0.1.100 y 10.0.1.101, debe crear registros NS en su servidor DNS local que apunten a «aws.example.com» a estas direcciones IP. Esto garantiza que las consultas de DNS del subdominio delegado se enruten correctamente al solucionador de VPC a través del punto de enlace de entrada, lo que permite que el solucionador de VPC responda con registros de la zona alojada privada asociada.

# Configuración del enrutamiento entrante
<a name="resolver-forwarding-inbound-queries-configuring"></a>

Para crear un punto de conexión de entrada, siga el procedimiento que se indica a continuación.<a name="resolver-forwarding-inbound-queries-configuring-procedure"></a>

**Para crear un punto de conexión de entrada**

1. Inicie sesión en la consola de Route 53 Consola de administración de AWS y ábrala en. [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)

1. En el panel de navegación, elija **Inbound endpoints** (Puntos de conexión de entrada).

1. En la barra de navegación, elija la región en la que desea crear un punto de conexión de entrada.

1. Elija **Create inbound endpoint** (Crear punto de conexión de entrada).

1. Ingrese los valores aplicables. Para obtener más información, consulte [Valores que se especifican al crear o editar puntos de conexión de entrada](resolver-forwarding-inbound-queries-values.md).

1. Elija **Create** (Crear).

1. Configure los solucionadores de DNS de la red para que reenvíen las consultas de DNS aplicables a las direcciones IP del punto de conexión de entrada. Para obtener más información, consulte la documentación de su aplicación de DNS.

# Valores que se especifican al crear o editar puntos de conexión de entrada
<a name="resolver-forwarding-inbound-queries-values"></a>

Al crear o editar un punto de conexión de entrada, tiene que especificar los siguientes valores:

**ID de Outpost**  
Si va a crear el punto final para un solucionador de VPC en una AWS Outposts VPC, este es el ID. AWS Outposts 

**Endpoint name (Nombre del punto de conexión)**  
Un nombre fácil de recordar que le permite encontrar fácilmente un punto de conexión de entrada en el panel.

**Categoría del punto de conexión**  
Elija **Predeterminado** o **Delegación**. Cuando la categoría es **Predeterminado**, el solucionador de la red reenvía las solicitudes de DNS a la dirección IP del punto de conexión de entrada. Cuando la categoría es **Delegación**, la autoridad de un dominio se delega en el solucionador de VPC.

**VPC in the *region-name* Region (VPC en la región nombre-región)**  
Todas las consultas DNS entrantes de la red pasan por esta VPC hasta llegar a VPC Resolver.

**Security group for this endpoint (Grupo de seguridad para este punto de conexión)**  
El ID de uno o varios grupos de seguridad que desea utilizar para controlar el acceso a esta VPC. El grupo de seguridad que especifique debe incluir una o más reglas de entrada. Las reglas de entrada deben permitir el acceso de TCP y UDP en el puerto 53. Si utiliza el protocolo DoH, también tendrá que permitir el puerto 443 en el grupo de seguridad. No puede cambiar este valor después de crear el punto de conexión.  
Algunas reglas de grupos de seguridad hacen que se realice un seguimiento de su conexión y, en general, el número máximo de consultas por segundo por dirección IP para un punto de conexión de salida puede ser tan bajo como 1500. Para evitar el seguimiento de la conexión provocado por un grupo de seguridad, consulte [Conexiones sin seguimiento](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-connection-tracking.html#untracked-connections).  
Para añadir varios grupos de seguridad, utilice el comando. AWS CLI `create-resolver-endpoint` Para obtener más información, consulte [create-resolver-endpoint](https://docs.aws.amazon.com/cli/latest/reference/route53resolver/create-resolver-endpoint.html)
Para obtener más información, consulte [Grupos de seguridad de su VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) en la *Guía del usuario de Amazon VPC*.

**Tipo de punto de conexión**  
El tipo de punto final puede ser una dirección IP de pila doble o una dirección IP de doble pila. IPv4 IPv6 En el caso de un punto final de doble pila, el punto final tendrá una IPv4 IPv6 dirección a la que el solucionador de DNS de la red pueda reenviar las consultas de DNS.   
Por motivos de seguridad, denegamos el acceso directo al IPv6 tráfico de Internet público a todas las IPv6 direcciones IP y de doble pila. 

**Direcciones IP**  
Las direcciones IP a las que quiere que los solucionadores de DNS de su red reenvíen las consultas de DNS. Le pedimos que especifique un mínimo de dos direcciones IP para la redundancia. Si ha creado un punto final de entrada de delegación, utilice estas direcciones IP como registros NS adhesivos para el subdominio para el que quiere delegar la autoridad a VPC Resolver. Tenga en cuenta lo siguiente:    
**Varias zonas de disponibilidad**  
Le recomendamos que especifique direcciones IP que se encuentren al menos en dos zonas de disponibilidad. Opcionalmente, puede especificar direcciones IP adicionales en estas u otras zonas de disponibilidad.  
**Direcciones IP e interfaces de red elásticas de Amazon VPC**  
Para cada combinación de zona de disponibilidad, subred y dirección IP que especifique, VPC Resolver crea una interfaz de red elástica de Amazon VPC. Para obtener información acerca del número máximo actual de consultas de DNS por segundo por cada dirección IP de un punto de conexión, consulte [Cuotas en el solucionador de VPC Route 53](DNSLimitations.md#limits-api-entities-resolver). Para obtener información acerca de los precios de cada interfaz de red elástica, consulte “Amazon Route 53” en la [página de precios de Amazon Route 53](https://aws.amazon.com/route53/pricing/). 
El punto de conexión de Resolver tiene una dirección IP privada. Estas direcciones IP no cambiarán a lo largo de la vida de un punto de conexión.
Para cada dirección IP, especifique los siguientes valores. Cada dirección IP debe estar en una zona de disponibilidad de la VPC que especificó en **VPC in the *region-name* Region** (VPC en la región nombre-región).    
**Zona de disponibilidad**  
La zona de disponibilidad por la que quiere que pasen las consultas de DNS en el recorrido hacia la VPC. La zona de disponibilidad que especifique debe estar configurada con una subred.  
**Subred**  
La subred que contiene las direcciones IP que desea asignar a su punto final de Resolver. ENIs Estas son las direcciones a las que enviará las consultas de DNS. La subred debe tener una dirección IP disponible.  
La dirección IP de la subred debe coincidir con el **Tipo de punto de conexión**.  
**Dirección IP**  
La dirección IP que quiere asignar a los puntos de conexión de entrada.  
Elija si desea que VPC Resolver elija una dirección IP para usted de entre las direcciones IP disponibles en la subred especificada o si desea especificar la dirección IP usted mismo.  
Si decide especificar la dirección IP usted mismo, introduzca una IPv6 dirección IPv4 O o ambas.

**Protocolos**  
El protocolo del punto de conexión determina cómo se transmiten los datos al punto de conexión de entrada. Elija uno o varios protocolos en función del nivel de seguridad necesario.  
+ **Do53:** (predeterminado) Los datos se retransmiten mediante el solucionador de VPC Route 53 sin cifrado adicional. Si bien los datos no pueden ser leídos por terceros, se pueden ver dentro de las redes. AWS Actualmente, este es el único protocolo disponible para la categoría de puntos de conexión de entrada de **Delegación**.
+ **DoH:** los datos se transmiten a través de una sesión HTTPS cifrada. El DoH añade un nivel de seguridad adicional, donde los usuarios no autorizados no pueden descifrar los datos y nadie puede leerlos excepto el destinatario previsto.
+ **Doh-FIPS:** los datos se transmiten en una sesión HTTPS cifrada que cumple con el estándar criptográfico FIPS 140-2. Admite solo puntos de conexión de entrada. Para obtener más información, consulte [FIPS PUB 140-2](https://doi.org/10.6028/NIST.FIPS.140-2).
**nota**  
En el caso de los puntos finales entrantes DOH/DOH-FIPS, existe un problema conocido relacionado con la publicación de una IP de origen incorrecta en el registro de consultas del VPC Resolver.
Para un punto de conexión de entrada, puede aplicar los protocolos de la siguiente manera:  
+  Do53 y DoH en combinación.
+ Do53 y DOH-FIPS en combinación.
+ Do53 solo.
+ DoH solo.
+ DoH-FIPS solo.
+ Ninguno, por lo que se trata como Do53.
 No se puede cambiar el protocolo de un punto de conexión de entrada directamente de solo Do53 a solo DoH o DoH-FIPS. Esto es para evitar una interrupción repentina del tráfico entrante que depende de Do53. Para cambiar el protocolo de Do53 a DoH o DoH-FIPS, primero debe habilitar Do53 y DoH o Do53 y DoH-FIPS, para asegurarse de que todo el tráfico entrante se transfiera a través del protocolo DoH o DoH-FIPS y, a continuación, se elimine Do53.

**Tags**  
Especifique una o más claves y los valores correspondientes. Por ejemplo, puede especificar **Centro de costos** en **Key** (Clave) y **456** en **Value** (Valor).

# Administración de puntos de conexión de entrada
<a name="resolver-forwarding-inbound-queries-managing"></a>

Para administrar los puntos de conexión de entrada, siga el procedimiento correspondiente.

**Topics**
+ [

## Visualización y edición de puntos de conexión de entrada
](#resolver-forwarding-inbound-queries-managing-viewing)
+ [

## Visualización del estado de los puntos de conexión de entrada
](#resolver-forwarding-inbound-queries-managing-viewing-status)
+ [

## Eliminación de puntos de conexión de entrada
](#resolver-forwarding-inbound-queries-managing-deleting)

## Visualización y edición de puntos de conexión de entrada
<a name="resolver-forwarding-inbound-queries-managing-viewing"></a>

Para ver y editar la configuración de un punto de conexión de entrada, realice el siguiente procedimiento.<a name="resolver-forwarding-inbound-queries-managing-viewing-procedure"></a>

**Para ver y editar la configuración de un punto de conexión de entrada**

1. Inicie sesión en la consola de Route 53 y ábrala en. Consola de administración de AWS [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)

1. En el panel de navegación, elija **Inbound endpoints** (Puntos de conexión de entrada).

1. En la barra de navegación, elija la región en la que creó el punto de conexión de entrada.

1. Elija la opción correspondiente al punto de entrada cuya configuración desea ver o editar.

1. Elija **View details** (Ver detalles) o **Edit** (Editar).

   Para obtener información acerca de los valores para los puntos de conexión de entrada, consulte [Valores que se especifican al crear o editar puntos de conexión de entrada](resolver-forwarding-inbound-queries-values.md).

1. Si eligió **Edit** (Editar), escriba los valores correspondientes y elija **Save** (Guardar).

## Visualización del estado de los puntos de conexión de entrada
<a name="resolver-forwarding-inbound-queries-managing-viewing-status"></a>

Para ver el estado de un punto de conexión de entrada, realice el procedimiento siguiente.<a name="resolver-forwarding-inbound-queries-managing-viewing-status-procedure"></a>

**Para ver el estado de un punto de conexión de entrada**

1. Inicie sesión en la consola de Route 53 Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

1. En el panel de navegación, elija **Inbound endpoints** (Puntos de conexión de entrada).

1. En la barra de navegación, elija la región en la que creó el punto de conexión de entrada. La columna **Status (Estado)** contiene uno de los valores siguientes:  
**Creación**  
El solucionador de VPC está creando y configurando una o más interfaces de red de Amazon VPC para este punto final.  
**Operational (En funcionamiento)**  
Las interfaces de red de Amazon VPC para este punto de conexión están configuradas correctamente y pueden transmitir consultas de DNS entrantes o salientes entre su red y VPC Resolver.  
**Actualización**  
El solucionador de VPC está asociando o desasociando una o más interfaces de red con este punto final.  
**Auto recovering (Recuperación automática)**  
El solucionador de VPC está intentando recuperar una o más de las interfaces de red asociadas a este punto final. Durante el proceso de recuperación, el punto de conexión opera con una capacidad limitada debido al límite en el número de consultas de DNS por dirección IP (por interfaz de red). Para ver el límite actual, consulte [Cuotas en el solucionador de VPC Route 53](DNSLimitations.md#limits-api-entities-resolver).  
**Action needed (Acción necesaria)**  
Este punto final está en mal estado y VPC Resolver no puede recuperarlo automáticamente. Para solucionar el problema, le recomendamos que compruebe cada dirección IP que haya asociado al punto de conexión. Para cada dirección IP que no esté disponible, añada otra dirección IP y, a continuación, elimine la dirección IP que no esté disponible. (Un punto de conexión siempre debe incluir al menos dos direcciones IP). Un estado de **Action needed** (Acción necesaria) puede deberse a varios motivos. Estas son dos causas comunes:  
   + Se ha eliminado una o más interfaces de red asociadas al punto de conexión mediante Amazon VPC.
   + No se ha podido crear la interfaz de red por algún motivo que está fuera del control del solucionador de VPC.  
**Eliminación**  
El solucionador de VPC está eliminando este punto final y las interfaces de red asociadas.

## Eliminación de puntos de conexión de entrada
<a name="resolver-forwarding-inbound-queries-managing-deleting"></a>

Para eliminar un punto de conexión de entrada, siga el procedimiento que se indica a continuación.

**importante**  
Si eliminas un punto de enlace entrante, las consultas de DNS de tu red ya no se reenvían a VPC Resolver en la VPC que especificaste en el punto de enlace. <a name="resolver-forwarding-inbound-queries-managing-deleting-procedure"></a>

**Para eliminar un punto de conexión de entrada**

1. Inicie sesión en la consola de Route 53 Consola de administración de AWS y ábrala en. [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)

1. En el panel de navegación, elija **Inbound endpoints** (Puntos de conexión de entrada).

1. En la barra de navegación, elija la región en la que creó el punto de conexión de entrada.

1. Elija la opción correspondiente al punto de conexión que desea eliminar.

1. Elija **Eliminar**.

1. Para confirmar que desea eliminar el punto de conexión, escriba el nombre del punto de conexión y elija **Submit** (Enviar).

# Reenvío de consultas de DNS de salida a su red
<a name="resolver-forwarding-outbound-queries"></a>

Para reenviar a la red las consultas de DNS que se originan en las instancias de Amazon EC2 de una o más VPCs instancias, debe crear un punto de enlace saliente y una o más reglas:

**Punto de conexión de salida**  
Para reenviar las consultas de DNS de su red VPCs a su red, debe crear un punto de enlace saliente. Un punto de conexión saliente especifica las direcciones IP de las que se originan las consultas. Esas direcciones IP, que usted elige entre el rango de direcciones IP disponibles para su VPC, no son direcciones IP públicas. Esto significa que para cada punto de conexión de salida debe conectar la VPC a la red mediante una conexión Direct Connect , una conexión de VPN o una gateway de enlace de traducción de direcciones de red (NAT). Tenga en cuenta que puede usar el mismo punto final de salida para varios VPCs puntos de conexión de la misma región o puede crear varios puntos de enlace salientes. Si desea utilizar su punto de conexión saliente DNS64, puede habilitarlo DNS64 mediante Amazon Virtual Private Cloud. Para obtener más información, consulte [DNS64 y NAT64](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-nat64-dns64) en la Guía del *usuario de Amazon VPC*.  
El Resolver de VPC elige aleatoriamente la IP de destino de la regla de resolución de VPC y no hay preferencia a la hora de elegir una IP de destino en particular sobre la otra. Si una IP de destino no responde a la solicitud de DNS reenviada, el solucionador de VPC volverá a intentar encontrar una dirección IP aleatoria entre el destino. IPs  
Asegúrese de que se pueda acceder a todas las direcciones IP de destino desde los puntos de conexión de Resolver. Si el solucionador de VPC no puede reenviar las consultas de DNS salientes a ninguna de las IP de destino, los tiempos de resolución de DNS pueden prolongarse. 

**Reglas**  
Para especificar los nombres de dominio de las consultas que quiere reenviar a los solucionadores de DNS de su red, puede crear una o más reglas. Cada regla de reenvío especifica un nombre de dominio. A continuación, asocie las reglas a VPCs las que desee reenviar las consultas a la red.   
Las reglas de delegación saliente siguen principios de delegación específicos que difieren de las reglas de reenvío estándar. Al crear una regla de delegación, el solucionador de VPC evalúa los registros de delegación de la regla comparándolos con los registros NS de las respuestas de DNS para determinar si se debe realizar la delegación. El solucionador de VPC delegará la autoridad en tus resolutores locales solo cuando haya una coincidencia entre la configuración de la regla de delegación y los registros NS reales devueltos en la respuesta de DNS. A diferencia de las reglas de reenvío que redirigen las consultas en función de la coincidencia de nombres de dominio, las reglas de delegación respetan la cadena de delegación del DNS y solo se activan cuando los servidores de nombres autorizados de la respuesta coinciden con la configuración de delegación.  
Para obtener más información, consulte los temas siguientes:  
+ [Private hosted zones that have overlapping namespaces](hosted-zone-private-considerations.md#hosted-zone-private-considerations-private-overlapping)
+ [Private hosted zones and Route 53 VPC Resolver rules](hosted-zone-private-considerations.md#hosted-zone-private-considerations-resolver-rules)

# Configuración del enrutamiento saliente
<a name="resolver-forwarding-outbound-queries-configuring"></a>

Para configurar el Resolver de VPC para que reenvíe las consultas de DNS que se originan en la VPC a la red, lleve a cabo los siguientes procedimientos.

**importante**  
Tras crear un punto final de salida, debe crear una o varias reglas y asociarlas a una o varias. VPCs Las reglas especifican los nombres de dominio de las consultas de DNS que quiere reenviar a su red.<a name="resolver-forwarding-outbound-queries-configuring-create-endpoint-procedure"></a>

**Para crear un punto de conexión de salida**

1. Inicie sesión en la consola de Route 53 Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

1. En el panel de navegación, elija **Inbound Outbound** (Puntos de conexión de salida).

1. En la barra de navegación, elija la región en la que desea crear un punto de conexión de salida.

1. Elija **Create outbound endpoint** (Crear punto de conexión de salida).

1. Ingrese los valores aplicables. Para obtener más información, consulte [Valores que se especifican al crear o editar puntos de conexión de salida](resolver-forwarding-outbound-queries-endpoint-values.md).

1. Elija **Create** (Crear).
**nota**  
La creación de un punto de conexión de salida tarda uno o dos minutos. No se puede crear otro punto de conexión de salida hasta que no se haya creado el primero.

1. Cree una o más reglas para especificar los nombres de dominio de las consultas de DNS que quiere reenviar a su red. Para obtener más información, consulte el siguiente procedimiento.

Para crear una o varias reglas de reenvío, siga el procedimiento que se indica a continuación.<a name="resolver-forwarding-outbound-queries-configuring-create-rule-procedure"></a>

**Para crear reglas de reenvío y asociarlas a una o más VPCs**

1. Inicie sesión en la consola de Route 53 Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

1. En el panel de navegación, seleccione **Reglas**.

1. En la barra de navegación, elija la región en la que desee crear la regla.

1. Seleccione **Creación de regla**.

1. Ingrese los valores aplicables. Para obtener más información, consulte [Valores que se especifican al crear o editar reglas](resolver-forwarding-outbound-queries-rule-values.md).

1. Seleccione **Save**.

1. Para agregar otra regla, repita los pasos 4 a 6. 

# Valores que se especifican al crear o editar puntos de conexión de salida
<a name="resolver-forwarding-outbound-queries-endpoint-values"></a>

Al crear o editar un punto de conexión de salida, tiene que especificar los siguientes valores:

**ID de Outpost**  
Si va a crear el punto final para un solucionador de VPC en una AWS Outposts VPC, este es el ID. AWS Outposts 

**Endpoint name (Nombre del punto de conexión)**  
Un nombre fácil de recordar que le permite encontrar fácilmente un punto de conexión de salida en el panel.

**VPC in the *region-name* Region (VPC en la región nombre-región)**  
Todas las consultas de DNS salientes atravesarán esta VPC en el recorrido hacia su red.

**Security group for this endpoint (Grupo de seguridad para este punto de conexión)**  
El ID de uno o varios grupos de seguridad que desea utilizar para controlar el acceso a esta VPC. El grupo de seguridad que especifique debe incluir una o más reglas de salida. Las reglas de salida deben permitir el acceso de TCP y UDP en el puerto que utiliza para las consultas de DNS de la red. No puede cambiar este valor después de crear un punto de conexión.   
Algunas reglas de los grupos de seguridad harán que se rastree su conexión y podrían afectar al número máximo de consultas por segundo desde el punto de conexión de salida al servidor de nombres de destino. Para evitar el seguimiento de la conexión provocado por un grupo de seguridad, consulte [Conexiones sin seguimiento](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-connection-tracking.html#untracked-connections).  
Para obtener más información, consulte [Grupos de seguridad de su VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) en la *Guía del usuario de Amazon VPC*.

**Tipo de punto de conexión**  
El tipo de punto final puede ser una dirección IP IPv4 de pila doble o una dirección IP. IPv6 En el caso de un punto final de doble pila, el punto final tendrá una IPv4 IPv6 dirección a la que el solucionador de DNS de la red pueda reenviar las consultas de DNS.   
Por motivos de seguridad, denegamos el acceso directo IPv6 del tráfico a la Internet pública a todas las IPv6 direcciones IP y de doble pila.

**Direcciones IP**  
Las direcciones IP de su VPC a las que quiere que VPC Resolver reenvíe las consultas de DNS cuando se dirijan a los resolutores de su red. Estas no son las direcciones IP de los solucionadores de DNS de la red; las direcciones IP de los solucionadores se especifican al crear las reglas que se asocian a uno o más. VPCs Le pedimos que especifique un mínimo de dos direcciones IP para la redundancia.   
El punto de conexión de Resolver tiene una dirección IP privada. Estas direcciones IP no cambiarán a lo largo de la vida de un punto de conexión.
Tenga en cuenta lo siguiente:    
**Varias zonas de disponibilidad**  
Le recomendamos que especifique direcciones IP que se encuentren al menos en dos zonas de disponibilidad. Opcionalmente, puede especificar direcciones IP adicionales en estas u otras zonas de disponibilidad.  
**Direcciones IP e interfaces de red elásticas de Amazon VPC**  
Para cada combinación de zona de disponibilidad, subred y dirección IP que especifique, VPC Resolver crea una interfaz de red elástica de Amazon VPC. Para obtener información acerca del número máximo actual de consultas de DNS por segundo por cada dirección IP de un punto de conexión, consulte [Cuotas en el solucionador de VPC Route 53](DNSLimitations.md#limits-api-entities-resolver). Para obtener información acerca de los precios de cada interfaz de red elástica, consulte “Amazon Route 53” en la [página de precios de Amazon Route 53](https://aws.amazon.com/route53/pricing/).  
**Orden de direcciones IP**  
Puede especificar direcciones IP en cualquier orden. Al reenviar consultas de DNS, VPC Resolver no elige las direcciones IP en función del orden en que aparecen las direcciones IP.
Para cada dirección IP, especifique los siguientes valores. Cada dirección IP debe estar en una zona de disponibilidad de la VPC que especificó en **VPC in the *region-name* Region** (VPC en la región nombre-región).    
**Zona de disponibilidad**  
La zona de disponibilidad por la que quiere que pasen las consultas de DNS en el recorrido hacia su red. La zona de disponibilidad que especifique debe estar configurada con una subred.  
**Subred**  
La subred que contiene la dirección IP que quiere que las consultas de DNS se creen en el recorrido hacia su red. La subred debe tener una dirección IP disponible.  
La dirección IP de la subred debe coincidir con el **Tipo de punto de conexión**.  
**Dirección IP**  
La dirección IP que quiere que las consultas de DNS se creen en el recorrido hacia su red.  
Elija si desea que VPC Resolver elija una dirección IP para usted de entre las direcciones IP disponibles en la subred especificada o si desea especificar la dirección IP usted mismo.  
Si decide especificar la dirección IP usted mismo, introduzca una IPv6 dirección IPv4 O o ambas.

**Protocolos**  
El protocolo de punto de conexión determina cómo se transmiten los datos desde el punto de conexión de salida. Elija uno o varios protocolos en función del nivel de seguridad necesario.  
+ **Do53:** (predeterminado) Los datos se retransmiten mediante el solucionador de VPC Route 53 sin cifrado adicional. Si bien los datos no pueden ser leídos por terceros, se pueden ver dentro de las redes de AWS .
+ **DoH:** los datos se transmiten a través de una sesión HTTPS cifrada. El DoH añade un nivel de seguridad adicional, donde los usuarios no autorizados no pueden descifrar los datos y nadie puede leerlos excepto el destinatario previsto.
Para un punto de conexión de salida, puede aplicar los protocolos de la siguiente manera:  
+  Do53 y DoH en combinación.
+ Do53 solo.
+ DoH solo.
+ Ninguno, por lo que se trata como Do53.

**Tags**  
Especifique una o más claves y los valores correspondientes. Por ejemplo, puede especificar **Centro de costos** en **Key** (Clave) y **456** en **Value** (Valor).

# Valores que se especifican al crear o editar reglas
<a name="resolver-forwarding-outbound-queries-rule-values"></a>

Al crear o editar una regla de reenvío, tiene que especificar los siguientes valores:

**Nombre de la regla**  
Un nombre fácil de recordar que permite encontrar fácilmente una regla en el panel.

**Tipo de regla**  
Elija el valor aplicable:  
+ **Forward (Reenviar)**: elija esta opción cuando quiera reenviar consultas de DNS para un nombre de dominio especificado a los solucionadores de la red.
+ **Delegar**: elige esta opción si quieres delegar la autoridad de un subdominio, alojado en una zona alojada privada, a tu resolutor local (o a un solucionador de VPC de otra VPC).
+ **Sistema**: elija esta opción si desea que VPC Resolver anule selectivamente el comportamiento definido en una regla de reenvío. Al crear una regla del sistema, el solucionador de VPC resuelve las consultas de DNS para subdominios específicos que, de otro modo, resolverían los solucionadores de DNS de la red.
De forma predeterminada, las reglas de reenvío se aplican a un nombre de dominio y todos sus subdominios. Si quiere reenviar las consultas de un dominio a un solucionador de la red, pero no quiere reenviar las consultas a algunos subdominios, debe crear una regla de sistema para los subdominios. Por ejemplo, si crea una regla de reenvío para example.com pero no desea reenviar las consultas a acme.example.com, debe crear una regla de sistema y especificar acme.example.com para el nombre de dominio.

**Registro de delegación: solo para reglas de delegación**  
Las consultas de DNS que coinciden con este dominio se reenvían a los solucionadores de la red.  
Como requisito previo para una regla de delegación, debe crear registros NS en la zona alojada privada cuando utilice la delegación de zona alojada privada a punto de conexión de salida. El registro es: NS - servidores de nombres para delegar a través del punto de conexión de salida de Resolver con una regla de delegación. Para obtener más información, consulte [Tipo de registro NS](ResourceRecordTypes.md#NSFormat).

**VPCs que utilizan esta regla**  
Los VPCs que utilizan esta regla para reenviar consultas de DNS para el nombre o los nombres de dominio especificados. Puede aplicar una regla a tantos VPCs como desee.

**Nombre de dominio: solo para las reglas de reenvío**  
Las consultas de DNS para este nombre de dominio se reenvían a las direcciones IP que especifique en las **Target IP addresses** (Direcciones IP de destino). Por ejemplo, puede especificar un dominio específico (example.com), un dominio de nivel superior (com) o un punto (.) para reenviar todas las consultas de DNS. Para obtener más información, consulte [Cómo determina el solucionador de VPC si el nombre de dominio de una consulta coincide con alguna regla](resolver-overview-forward-vpc-to-network-domain-name-matches.md).

**Punto de conexión de salida**  
**El solucionador de VPC reenvía las consultas de DNS a través del punto de enlace saliente que especifique aquí a las direcciones IP que especifique en las direcciones IP de destino.**

**Direcciones IP de destino**  
Cuando una consulta de DNS coincide con el nombre que especifica en **Domain name** (Nombre de dominio), el punto de conexión de salida reenvía la consulta a las direcciones IP que especifica aquí. Suelen ser las direcciones IP de los solucionadores de DNS de su red.  
**Target IP addresses** (Direcciones IP de destino) solo está disponible cuando el valor de **Rule type** (Tipo de regla) es **Forward** (Reenvío).  
Especifique IPv6 las direcciones IPv4 o los protocolos ServerNameIndication que desee utilizar para el punto final. ServerNameIndication solo se aplica cuando el protocolo seleccionado es DoH.  
No se admite la resolución de la dirección IP de destino del FQDN de un solucionador DoH que haya en la red a través del punto de conexión de salida. Los puntos de conexión de salida necesitan la dirección IP de destino del solucionador DoH de la red para reenviar las consultas DoH. Si el solucionador DoH de su red necesita el FQDN en el SNI de TLS y en el encabezado del host HTTP, debe proporcionarlo. ServerNameIndication 

**ServerNameIndication**  
La indicación del nombre del servidor DoH al que desea reenviar las consultas. Solo se usa si el protocolo es DoH.

**Tags**  
Especifique una o más claves y los valores correspondientes. Por ejemplo, puede especificar **Centro de costos** en **Key** (Clave) y **456** en **Value** (Valor).  
Estas son las etiquetas que permiten organizar su Administración de facturación y costos de AWS factura. AWS Para obtener más información sobre el uso de etiquetas para la asignación de costes, consulte [Uso de etiquetas de asignación de costes](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html) en la *Guía del usuario de AWS Billing *.

# Administración de puntos de conexión de salida
<a name="resolver-forwarding-outbound-queries-managing"></a>

Para administrar los puntos de conexión de salida, siga el procedimiento correspondiente.

**Topics**
+ [

## Visualización y edición de puntos de conexión de salida
](#resolver-forwarding-outbound-queries-managing-viewing)
+ [

## Visualización del estado de los puntos de conexión de salida
](#resolver-forwarding-outbound-queries-managing-viewing-status)
+ [

## Eliminación de puntos de conexión de salida
](#resolver-forwarding-outbound-queries-managing-deleting)

## Visualización y edición de puntos de conexión de salida
<a name="resolver-forwarding-outbound-queries-managing-viewing"></a>

Para ver y editar la configuración de un punto de conexión de salida, realice el siguiente procedimiento.<a name="resolver-forwarding-outbound-queries-managing-viewing-procedure"></a>

**Para ver y editar la configuración de un punto de conexión de salida**

1. Inicie sesión en la consola de Route 53 Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

1. En el panel de navegación, elija **Inbound Outbound** (Puntos de conexión de salida).

1. En la barra de navegación, elija la región en la que creó el punto de conexión de salida.

1. Elija la opción correspondiente al punto de entrada cuya configuración desea ver o editar.

1. Elija **View details** (Ver detalles) o **Edit** (Editar).

   Para obtener información acerca de los valores de los puntos de conexión de salida, consulte [Valores que se especifican al crear o editar puntos de conexión de salida](resolver-forwarding-outbound-queries-endpoint-values.md).

1. Si eligió **Edit** (Editar), escriba los valores correspondientes y, a continuación, elija **Save** (Guardar).

## Visualización del estado de los puntos de conexión de salida
<a name="resolver-forwarding-outbound-queries-managing-viewing-status"></a>

Para ver el estado de un punto de conexión de salida, realice el procedimiento siguiente.<a name="resolver-forwarding-outbound-queries-managing-viewing-status-procedure"></a>

**Para ver el estado de un punto de conexión de salida**

1. Inicie sesión en la consola de Route 53 Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

1. En el panel de navegación, elija **Inbound Outbound** (Puntos de conexión de salida).

1. En la barra de navegación, elija la región en la que creó el punto de conexión de salida. La columna **Status (Estado)** contiene uno de los valores siguientes:  
**Creación**  
El solucionador de VPC está creando y configurando una o más interfaces de red de Amazon VPC para este punto final.  
**Operational (En funcionamiento)**  
Las interfaces de red de Amazon VPC para este punto de conexión están configuradas correctamente y pueden transmitir consultas de DNS entrantes o salientes entre su red y VPC Resolver.  
**Actualización**  
El solucionador de VPC está asociando o desasociando una o más interfaces de red con este punto final.  
**Auto recovering (Recuperación automática)**  
El solucionador de VPC está intentando recuperar una o más de las interfaces de red asociadas a este punto final. Durante el proceso de recuperación, el punto de conexión opera con una capacidad limitada debido al límite en el número de consultas de DNS por dirección IP (por interfaz de red). Para ver el límite actual, consulte [Cuotas en el solucionador de VPC Route 53](DNSLimitations.md#limits-api-entities-resolver).  
**Action needed (Acción necesaria)**  
Este punto final está en mal estado y VPC Resolver no puede recuperarlo automáticamente. Para solucionar el problema, le recomendamos que compruebe cada dirección IP que haya asociado al punto de conexión. Para cada dirección IP que no esté disponible, añada otra dirección IP y, a continuación, elimine la dirección IP que no esté disponible. (Un punto de conexión siempre debe incluir al menos dos direcciones IP). Un estado de **Action needed** (Acción necesaria) puede deberse a varios motivos. Estas son dos causas comunes:  
   + Se ha eliminado una o más interfaces de red asociadas al punto de conexión mediante Amazon VPC.
   + No se ha podido crear la interfaz de red por algún motivo que está fuera del control del solucionador de VPC.  
**Eliminación**  
El solucionador de VPC está eliminando este punto final y las interfaces de red asociadas.

## Eliminación de puntos de conexión de salida
<a name="resolver-forwarding-outbound-queries-managing-deleting"></a>

Para poder eliminar un punto de conexión, primero debe eliminar las reglas que estén asociadas a una VPC.

Para eliminar un punto de conexión de salida, siga el procedimiento que se indica a continuación.

**importante**  
Si eliminas un punto de conexión saliente, VPC Resolver deja de reenviar las consultas de DNS de tu VPC a tu red en busca de reglas que especifiquen el punto de enlace de salida eliminado.<a name="resolver-forwarding-outbound-queries-managing-deleting-procedure"></a>

**Para eliminar un punto de conexión de salida**

1. Inicie sesión en la consola de Route 53 Consola de administración de AWS y ábrala en. [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)

1. En el panel de navegación, elija **Inbound Outbound** (Puntos de conexión de salida).

1. En la barra de navegación, elija la región en la que creó el punto de conexión de salida.

1. Elija la opción correspondiente al punto de conexión que desea eliminar.

1. Elija **Eliminar**.

1. Para confirmar que desea eliminar el punto de conexión, escriba el nombre del punto de conexión y, a continuación, elija **Submit** (Enviar).

# Administración de reglas de reenvío
<a name="resolver-rules-managing"></a>

Si desea que VPC Resolver reenvíe las consultas de nombres de dominio específicos a su red, cree una regla de reenvío para cada nombre de dominio y especifique el nombre del dominio para el que desea reenviar las consultas.

**Topics**
+ [

## Visualización y edición de reglas de reenvío
](#resolver-rules-managing-viewing)
+ [

## Creación de reglas de reenvío
](#resolver-rules-managing-creating-rules)
+ [

## Agregar reglas para búsqueda inversa
](#add-reverse-lookup)
+ [

## Asociación de reglas de reenvío a una VPC
](#resolver-rules-managing-associating-rules)
+ [

## Anulación de la asociación de reglas de reenvío de una VPC
](#resolver-rules-managing-disassociating-rules)
+ [

## Compartir las reglas de Resolver con otras AWS cuentas y usar reglas compartidas
](#resolver-rules-managing-sharing)
+ [

## Eliminación de reglas de reenvío
](#resolver-rules-managing-deleting)
+ [

## Reglas de reenvío para consultas de DNS inversas en VPC Resolver
](#resolver-automatic-forwarding-rules-reverse-dns)

## Visualización y edición de reglas de reenvío
<a name="resolver-rules-managing-viewing"></a>

Para ver y editar la configuración de una regla de reenvío, realice el siguiente procedimiento.<a name="resolver-rules-managing-viewing-procedure"></a>

**Para ver y editar la configuración de una regla de reenvío**

1. Inicie sesión en la consola de Route 53 Consola de administración de AWS y ábrala en. [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)

1. En el panel de navegación, seleccione **Reglas**.

1. En la barra de navegación, elija la región en la que creó la regla.

1. Elija la opción correspondiente a la regla cuya configuración desea ver o editar.

1. Elija **View details** (Ver detalles) o **Edit** (Editar).

   Para obtener información acerca de los valores para las reglas de reenvío, consulte [Valores que se especifican al crear o editar reglas](resolver-forwarding-outbound-queries-rule-values.md).

1. Si eligió **Edit** (Editar), escriba los valores correspondientes y, a continuación, elija **Save** (Guardar).

## Creación de reglas de reenvío
<a name="resolver-rules-managing-creating-rules"></a>

Para crear una o varias reglas de reenvío, siga el procedimiento que se indica a continuación.<a name="resolver-rules-managing-creating-rules-procedure"></a>

**Para crear reglas de reenvío y asociarlas a una o más VPCs**

1. Inicie sesión en la consola de Route 53 Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

1. En el panel de navegación, seleccione **Reglas**.

1. En la barra de navegación, elija la región en la que desee crear la regla.

1. Seleccione **Creación de regla**.

1. Ingrese los valores aplicables. Para obtener más información, consulte [Valores que se especifican al crear o editar reglas](resolver-forwarding-outbound-queries-rule-values.md).

1. Seleccione **Save**.

1. Para agregar otra regla, repita los pasos 4 a 6. 

## Agregar reglas para búsqueda inversa
<a name="add-reverse-lookup"></a>

Si necesita controlar las búsquedas inversas en la VPC, puede agregar reglas al punto de conexión de salida del solucionador.

**Para crear la regla de búsqueda inversa**

1. Siga los pasos del procedimiento anterior, hasta el paso 5.

1. Cuando especifique la regla, ingrese el campo PTR para la dirección IP o direcciones para las que desea una regla de reenvío de búsqueda inversa.

   Por ejemplo, si necesita reenviar búsquedas de direcciones en el rango 10.0.0.0/23, ingrese dos reglas:
   + 0.0.10.in-addr.arpa
   + 1.0.10.in-addr.arpa

   Cualquier dirección IP de esas subredes se referenciará como un subdominio de esos registros PTR; por ejemplo, 10.0.1.161 tendrá una dirección de búsqueda inversa de 161.1.0.10.in-addr.apra, que es un subdominio de 1.0.10.in-addra.apra.

1. Especifique el servidor al que desea reenviar estas búsquedas.

1. Agregue estas reglas al punto de conexión de salida del solucionador.

Tenga en cuenta que al activar `enableDNSHostNames` para su VPC, se agregan automáticamente registros PTR. Consulte [¿Qué es Route 53 VPC Resolver?](resolver.md). El procedimiento anterior solo es necesario si desea especificar explícitamente un solucionador para rangos IP determinados; por ejemplo, al reenviar consultas a un servidor de Active Directory.

## Asociación de reglas de reenvío a una VPC
<a name="resolver-rules-managing-associating-rules"></a>

Después de crear una regla de reenvío, debe asociarla a una o más VPCs. Las reglas solo funcionarán después de que estén asociadas a una VPC. Al asociar una regla a una VPC, el solucionador de VPC comienza a reenviar las consultas de DNS del nombre de dominio especificado en la regla a los solucionadores de DNS que especificó en la regla. Las consultas atraviesan el punto de conexión de salida que especificó al crear la regla.<a name="resolver-rules-managing-associating-procedure"></a>

**Para asociar una regla de reenvío a uno o varios VPCs**

1. Inicie sesión en la consola de Route 53 Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

1. En el panel de navegación, seleccione **Reglas**.

1. En la barra de navegación, elija la región en la que creó la regla.

1. Elija el nombre de la regla que desee asociar a una o más VPCs.

1. Elija **Asociar VPC**.

1. En **VPCs la sección Use esta regla**, elija la opción a la VPCs que desee asociar la regla.

1. Elija **Añadir**.

## Anulación de la asociación de reglas de reenvío de una VPC
<a name="resolver-rules-managing-disassociating-rules"></a>

Puede anular la asociación de una regla de reenvío de una VPC en las siguientes circunstancias:
+ En el caso de las consultas de DNS que se originan en esta VPC, desea que VPC Resolver deje de reenviar a la red las consultas del nombre de dominio especificado en la regla. 
+ Quiere eliminar la regla de reenvío. Si una regla está asociada actualmente a una o varias VPCs, debe desasociarla de todas VPCs antes de poder eliminarla.

Si desea desasociar una regla de reenvío de una o varias VPCs, lleve a cabo el siguiente procedimiento.<a name="resolver-rules-managing-disassociating-procedure"></a>

**Para anular la asociación de una regla de reenvío de una VPC**

1. Inicie sesión en la consola de Route 53 Consola de administración de AWS y ábrala en. [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)

1. En el panel de navegación, seleccione **Reglas**.

1. En la barra de navegación, elija la región en la que creó la regla.

1. Elija el nombre de la regla que desee desasociar de una o más VPCs.

1. Elija la opción de la VPC que desea desasociar de la regla.

1. Elija **Desasociar**.

1. Escriba **disassociate (desasociar)** para confirmar.

1. Seleccione **Enviar**.

## Compartir las reglas de Resolver con otras AWS cuentas y usar reglas compartidas
<a name="resolver-rules-managing-sharing"></a>

Puede compartir las reglas de Resolver que creó con una AWS cuenta con otras AWS cuentas. Para compartir reglas, la consola de resolución de VPC de Route 53 se integra con AWS Resource Access Manager. Para obtener más información acerca de Resource Access Manager, consulte la [Guía del usuario de Resource Access Manager](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html).

Tenga en cuenta lo siguiente:

**Asociar reglas compartidas a VPCs**  
Si otra AWS cuenta ha compartido una o más reglas con la suya, puede asociar las reglas a la suya VPCs del mismo modo que asoció las reglas que creó con la suya VPCs. Para obtener más información, consulte [Asociación de reglas de reenvío a una VPC](#resolver-rules-managing-associating-rules).

**Eliminación o dejar de compartir una regla**  
Si comparte una regla con otras cuentas y, a continuación, la elimina o deja de compartirla, y si la regla estaba asociada a una o más cuentas VPCs, Route 53 VPC Resolver comienza a procesar las consultas de DNS para esas cuentas en VPCs función de las reglas restantes. El comportamiento es el mismo que si anula la asociación de la regla con la VPC.  
Si se comparte una regla en una unidad organizativa (OU) y una cuenta de la OU se mueve a otra unidad organizativa, se eliminarán todas las asociaciones de la regla compartida con cualquier VPC de la cuenta. Sin embargo, si la regla de resolución de VPC ya estaba compartida con la OU de destino, la asociación de VPC permanecerá intacta y no se disociará.

**Número máximo de reglas y asociaciones**  
Cuando una cuenta crea una regla y la comparte con una o más cuentas, se aplica el número máximo de reglas por AWS región a la cuenta que creó la regla.  
Cuando una cuenta con la que se comparte una regla asocia la regla a una o más VPCs, el número máximo de asociaciones entre reglas y VPCs por región se aplica a la cuenta con la que se comparte la regla.  
Para conocer las cuotas actuales de VPC Resolver, consulte. [Cuotas en el solucionador de VPC Route 53](DNSLimitations.md#limits-api-entities-resolver)

**Permisos**  
Para compartir una regla con otra AWS cuenta, debe tener permiso para usar la [PutResolverRulePolicy](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_PutResolverRulePolicy.html)acción.

**Restricciones en la AWS cuenta con la que se comparte una regla**  
La cuenta con la que se comparte una regla no puede cambiar o eliminar la regla. 

**Etiquetado**  
Solo la cuenta que creó una regla puede añadir, eliminar o consultar etiquetas de la regla.

Para ver el estado actual de uso compartido de una regla (incluida la cuenta que compartió la regla o la cuenta con la que se comparte una regla) y para compartir reglas con otra cuenta, siga el procedimiento que se indica a continuación.<a name="resolver-rules-managing-sharing-procedure"></a>

**Para ver el estado de uso compartido y las reglas de uso compartido con otra AWS cuenta**

1. Inicie sesión en la consola de Route 53 Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

1. En el panel de navegación, seleccione **Reglas**.

1. En la barra de navegación, elija la región en la que creó la regla.

   La columna **Sharing status** (Estado de uso compartido) muestra el estado actual de uso compartido de las reglas creadas por la cuenta actual o que se comparten con la cuenta actual:
   + **No compartida**: la AWS cuenta actual creó la regla y la regla no se comparte con ninguna otra cuenta.
   + **Shared by me** (Compartido por mí): la cuenta actual creó la regla y la compartió con una o varias cuentas.
   + **Shared with me** (Compartido conmigo): otra cuenta creó la regla y la compartió con la cuenta actual.

1. Elija el nombre de la regla cuya información de uso compartido desea mostrar o que desea compartir con otra cuenta.

   En la *rule name* página **Regla:**, el valor de **Propietario** muestra el ID de la cuenta que creó la regla. Es la cuenta actual a menos que el valor de **Sharing status** (Estado de uso compartido) sea **Shared with me** (Compartido conmigo). En ese caso, **Owner** (Propietario) es la cuenta que creó la regla y la compartió con la cuenta actual.

1. Elija **Share** (Compartir )para ver información adicional o para compartir la regla con otra cuenta. Aparecerá una página en la consola de Resource Access Manager, en función del valor de **Sharing status** (Estado de uso compartido):
   + **Not shared** (No compartido): aparece la página **Create resource share** (Crear recurso compartido de recursos). Para obtener más información acerca de cómo compartir la regla con otra cuenta, unidad organizativa u organización, vaya al paso 6.
   + **Shared by me** (Compartido por mí): la página **Shared resources** (Recursos compartidos) muestra las reglas y otros recursos que son propiedad de la cuenta actual y que están compartidos con otras cuentas.
   + **Shared with me** (Compartido conmigo): la página **Shared resources** (Recursos compartidos) muestra las reglas y otros recursos que son propiedad de otras cuentas y que están compartidos con la cuenta actual.

1. Para compartir una regla con otra AWS cuenta, unidad organizativa u organización, especifique los siguientes valores.
**nota**  
No se puede actualizar la configuración de uso compartido. Si desea cambiar cualquiera de los siguientes valores, debe volver a compartir una regla con la nueva configuración y, a continuación, quitar la configuración de uso compartido anterior.  
**Description (Descripción)**  
Escriba una breve descripción que le ayude a recordar por qué compartió la regla.  
**Recursos**  
Seleccione la casilla de verificación correspondiente a la regla que desea compartir.  
**Entidades principales**  
Introduzca el número de AWS cuenta, el nombre de la OU o el nombre de la organización.  
**Tags**  
Especifique una o más claves y los valores correspondientes. Por ejemplo, puede especificar **Centro de costos** en **Key** (Clave) y **456** en **Value** (Valor).  
Estas son las etiquetas Administración de facturación y costos de AWS que permiten organizar su AWS factura; también puede utilizarlas para otros fines. Para obtener más información sobre el uso de etiquetas para la asignación de costes, consulte [Uso de etiquetas de asignación de costes](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html) en la *Guía del usuario de AWS Billing *.

## Eliminación de reglas de reenvío
<a name="resolver-rules-managing-deleting"></a>

Para eliminar una regla de reenvío, realice el procedimiento siguiente.

Tenga en cuenta lo siguiente:
+ Si la regla de reenvío está asociada a alguna VPCs, debe desasociarla de la regla VPCs antes de poder eliminarla. Para obtener más información, consulte [Anulación de la asociación de reglas de reenvío de una VPC](#resolver-rules-managing-disassociating-rules).
+ No puede eliminar la regla **Internet Resolver** (Solucionador de Internet) predeterminada, que tiene un valor **Recursive** (Recursivo) para **Type** (Tipo). Esta regla hace que el Resolver de VPC de Route 53 actúe como un solucionador recursivo para cualquier nombre de dominio para el que no haya creado reglas personalizadas y para los que el Resolver de VPC no haya creado reglas autodefinidas. Para obtener más información acerca de cómo se clasifican las reglas, consulte [Uso de reglas para controlar qué consultas se reenvían a la red](resolver-overview-forward-vpc-to-network-using-rules.md).<a name="resolver-rules-managing-deleting-procedure"></a>

**Para eliminar una regla de reenvío**

1. Inicie sesión en la consola de Route Consola de administración de AWS 53 y ábrala en. [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)

1. En el panel de navegación, seleccione **Reglas**.

1. En la barra de navegación, elija la región en la que creó la regla.

1. Elija la opción correspondiente a la regla que desea eliminar.

1. Elija **Eliminar**.

1. Para confirmar que desea eliminar la regla, escriba el nombre de la regla y elija **Submit** (Enviar).

## Reglas de reenvío para consultas de DNS inversas en VPC Resolver
<a name="resolver-automatic-forwarding-rules-reverse-dns"></a>

Cuando `enableDnsHostnames` y se `enableDnsSupport` configuran `true` para una nube privada virtual (VPC) desde Amazon VPC, VPC Resolver crea automáticamente reglas de sistema definidas automáticamente para las consultas de DNS inversas. Para obtener más información sobre esta configuración, consulte [Atributos DNS en su VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-support) en la *Guía para desarrolladores de Amazon VPC*.

Las reglas de reenvío para consultas de DNS inversas son especialmente útiles para servicios como SSH o Active Directory, que tienen la opción de autenticar a los usuarios realizando una búsqueda DNS inversa de la dirección IP desde la que un cliente esta intentando conectarse a un recurso. Para obtener más información acerca de reglas del sistema autodefinidas, consulte [Nombres de dominio para los que VPC Resolver crea reglas de sistema autodefinidas](resolver-overview-forward-vpc-to-network-autodefined-rules.md). 

Puede desactivar estas reglas y modificar todas las consultas de DNS inversas para que, por ejemplo, se reenvíen a los servidores de nombres locales para su resolución.

Después de desactivar las reglas automáticas, cree reglas para reenviar las consultas a sus recursos locales en función de sus necesidades. Para obtener más información sobre cómo administrar reglas de reenvío, consulte [Administración de reglas de reenvío](#resolver-rules-managing).<a name="resolver-automatic-reverse-rules-disable-procedure"></a>

**Para desactivar reglas autodefinidas**

1. Inicie sesión en la consola de Route Consola de administración de AWS 53 y ábrala en. [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)

1. En el panel de navegación, en **VPC Resolver**, elija y **VPCs**, a continuación, elija un ID de VPC.

1. En **Autodefined rules for reverse DNS resolution** (Reglas autodefinidas para la resolución DNS inversa), desmarque la casilla de verificación. Si la casilla de verificación ya está desactivada, puede seleccionarla para activar la resolución DNS inversa autodefinida.

Para obtener información relacionada APIs, consulte Configuración de [VPC Resolver](https://docs.aws.amazon.com/Route53/latest/APIReference/API-actions-by-function.html#actions-by-function-resolver-configuration). APIs

# Tutorial sobre las reglas de delegación de Resolver
<a name="outbound-delegation-tutorial"></a>

 La regla de delegación permite al solucionador de VPC llegar a los servidores de nombres que alojan la zona delegada a través del punto final de salida especificado. Mientras que la regla de reenvío informa al solucionador de VPC que reenvíe las consultas de DNS a los servidores de nombres que coincidan con el dominio especificado a través del punto final de salida, la regla de delegación informa al solucionador de VPC que debe llegar a los servidores de nombres delegados a través del punto final de salida especificado cuando se devuelven los registros NS delegados. El solucionador de VPC envía una consulta a los servidores de nombres delegados cuando los registros NS de la respuesta de DNS coinciden con el nombre de dominio especificado en el registro de delegación. 

## Pasos para utilizar la delegación saliente a través del punto de conexión de Resolver
<a name="delegation-steps"></a>

1. Cree un punto final de salida de Resolver en la VPC desde el que desee que se originen las consultas de DNS a los resolutores de la red. 

   Puede utilizar la siguiente API o el comando de CLI:
   + [API de `CreateResolverEndpoint`](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_CreateResolverEndpoint.html)
   + [CLI de `create-resolver-endpoint`](https://docs.aws.amazon.com/cli/latest/reference/route53resolver/create-resolver-endpoint.html)

1. Cree una o más reglas de delegación que especifiquen los nombres de dominio para los que se deben delegar las consultas a la red a través del punto de conexión de salida especificado.

   Ejemplo de creación de reglas de delegación con CLI:

   ```
   aws route53resolver create-resolver-rule \
   --region REGION \
   --creator-request-id delegateruletest \
   --delegation-record example.com \
   --name delegateruletest \
   --rule-type DELEGATE \
   --resolver-endpoint-id outbound endpoint ID
   ```

1. Asocie la regla de delegación a VPCs la que desee delegar las consultas.

   Puede utilizar la siguiente API o el comando de CLI:
   + [AssociateResolverRule](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_AssociateResolverRule.html)API.
   + [associate-resolver-rules](https://docs.aws.amazon.com/cli/latest/reference/route53resolver/associate-resolver-rule.html)Comando CLI.

## Tipos de delegación admitidos por el punto de conexión de salida de Resolver
<a name="delegation-types"></a>

El solucionador de VPC admite dos tipos de delegación saliente:
+ Delegación saliente de la zona alojada privada de Route 53 a VPC Resolver:

   Delega un subdominio de una zona alojada privada a un servidor DNS en las instalaciones o a una zona alojada pública de Internet mediante la delegación saliente. Esta delegación saliente le permite dividir la administración de sus registros de DNS entre la zona alojada privada y la zona delegada. La delegación se puede hacer con o sin un registro de adherencia en una zona alojada privada en función de la configuración de DNS. Para obtener más información, consulte [De una zona alojada privada a un punto de conexión de salida](#phz-to-outbound-delegation). 
+ Delegación saliente a saliente de VPC Resolver:

   Delega un subdominio de su servidor DNS en las instalaciones a otro servidor en las instalaciones en una ubicación igual o diferente mediante la delegación entre puntos de conexión de salida. Esto es similar a la delegación de una zona alojada privada a un punto de conexión de salida, donde puede delegar a una zona alojada en su servidor de nombres en las instalaciones. Para obtener más información, consulte [Entre puntos de salida](#outbound-to-outbound-delegation). 

### Ejemplo de configuración de delegación saliente de una zona alojada privada de Route 53 a VPC Resolver
<a name="phz-to-outbound-delegation"></a>

 Supongamos que se tiene una configuración de DNS en la que la zona alojada principal está alojada en una zona alojada privada de Route 53 en una Amazon VPC y los subdominios se delegan a servidores de nombres alojados en Europa, Asia y América del Norte. Todas las consultas de DNS se pasan a través del solucionador de VPC. 

Siga los pasos de ejemplo para configurar la zona alojada privada y el solucionador de VPC.

**Configuración de una zona alojada privada para la delegación saliente**

1. Para la configuración de la zona alojada privada:

   Zona alojada principal: `hr.example.com`

   ```
   $TTL    86400 ; 24 hours
   $ORIGIN hr.example.com
   @  1D  IN     SOA @    root (20200322001 3H 15 1w 3h)
   @  1D  IN  NS @
   eu.hr.example.com IN NS ns1.eu.hr.example.com.
   apac.hr.example.com IN NS ns2.apac.hr.example.com.
   na.hr.example.com IN NS ns3.na.hr.example.net. # Out of Zone Delegation
   
   ns1.eu.hr.example.com IN A 10.0.0.30 # Glue Record
   ns2.apac.hr.example.com IN A 10.0.0.40 # Glue Record
   ```

1. Para el servidor de nombres en las instalaciones en la región de Europa:
   + Zona alojada: `eu.hr.example.com`, IP del NS: `10.0.0.30`

   ```
   $TTL    86400 ; 24 hours
   $ORIGIN eu.hr.example.com
   @  1D  IN     SOA @    root (20200322001 3H 15 1w 3h)
   @  1D  IN  NS @
   
   test.eu.hr.example.com IN A 1.2.3.4
   ```

1. Para el servidor de nombres en las instalaciones en la región de Asia:

   Zona alojada: `apac.hr.example.com`, `10.0.0.40`

   El servidor de nombres de APAC puede delegar el subdominio a otros servidores de nombres.

   ```
   $TTL    86400 ; 24 hours
   $ORIGIN apac.hr.example.com
   @  1D  IN     SOA @    root (20200322001 3H 15 1w 3h)
   @  1D  IN  NS @
   
   test.apac.hr.example.com IN A 5.6.7.8
   engineering.apac.hr.example.com IN NS ns1.engineering.apac.hr.example.com
   sales.apac.hr.example.com IN NS ns2.sales.apac.hr.example.com
   ns1.engineering.apac.hr.example.com IN A 10.0.0.80
   ns2.sales.apac.hr.example.com IN A 10.0.0.90
   ```

   Zona alojada: `engineering.apac.hr.example.com`, `10.0.0.80`

   ```
   $TTL 86400 ; 24 hours
   $ORIGIN engineering.apac.hr.example.com
   @ 1D IN SOA @ root (20200322001 3H 15 1w 3h)
   @ 1D IN NS @
   test.engineering.apac.hr.example.com IN A 1.1.1.1
   ```

1. Para el servidor de nombres en las instalaciones en la región de América del Norte:

   Zona alojada: `na.hr.example.net`, IP del NS: `10.0.0.50`

   ```
   $TTL    86400 ; 24 hours
   $ORIGIN na.hr.example.net
   @  1D  IN     SOA @    root (20200322001 3H 15 1w 3h)
   @  1D  IN  NS @
   ns3.na.hr.example.net. IN A 10.0.0.50
   test.na.hr.example.com  IN A 9.10.11.12
   ```

**Configuración de VPC Resolver**
+ Para el solucionador de VPC, debe configurar una regla de reenvío y dos reglas de delegación:

  **Regla de reenvío**

  1. Para reenviar el registro de out-of-zone delegación, de modo que el solucionador de VPC de Route 53 conozca la IP del NS delegado para reenviar la solicitud inicial.

     domain-name: `hr.example.net` target-ips: `10.0.0.50`

  **Reglas de delegación**

  1. Regla de delegación para la delegación en la zona:

     delegation-record: `hr.example.com`

  1. Regla de delegación para la delegación fuera de la zona:

     delegation-record: `hr.example.net`

### Ejemplo de configuración de delegación entre puntos de salida
<a name="outbound-to-outbound-delegation"></a>

 En lugar de tener la zona alojada principal en una Amazon VPC, supongamos que se tiene una configuración de DNS en la que la zona alojada principal se encuentra en la ubicación central en las instalaciones y los subdominios se delegan a servidores de nombres alojados en Europa, Asia y América del Norte. Todas las consultas de DNS se pasan a través del solucionador de VPC. 

Siga los pasos de ejemplo para configurar el DNS local y el solucionador de VPC.

**Configuración de DNS en las instalaciones**

1. Para el servidor de nombres en las instalaciones en la región central:
   + **Zona alojada principal:** `hr.example.com`

     Zona alojada `hr.example.com`, IP del NS: `10.0.0.20`

   ```
   $TTL    86400 ; 24 hours
   $ORIGIN hr.example.com
   @  1D  IN     SOA @    root (20200322001 3H 15 1w 3h)
   @  1D  IN  NS @
   eu.hr.example.com IN NS ns1.eu.hr.example.com.
   apac.hr.example.com IN NS ns2.apac.hr.example.com.
   na.hr.example.com IN NS ns3.na.hr.example.net. # Out of zone delegation
   
   ns1.eu.hr.example.com IN A 10.0.0.30 # Glue record
   ns2.apac.hr.example.com IN A 10.0.0.40 # Glue record
   ```

1.  Para el servidor de nombres en las instalaciones en la región de Europa (la configuración de los servidores de nombres de Europa, Asia y América del Norte es la misma que la de la delegación de una zona alojada privada a un punto de conexión de salida):
   + Zona alojada: `eu.hr.example.com`, IP del NS: `10.0.0.30`

   ```
   $TTL    86400 ; 24 hours
   $ORIGIN eu.hr.example.com
   @  1D  IN     SOA @    root (20200322001 3H 15 1w 3h)
   @  1D  IN  NS @
   
   test.eu.hr.example.com IN A 1.2.3.4
   ```

1. Para el servidor de nombres en las instalaciones en la región de Asia:

   Zona alojada: `apac.hr.example.com`, `10.0.0.40`

   El servidor de nombres de APAC puede delegar el subdominio a otros servidores de nombres.

   ```
   $TTL    86400 ; 24 hours
   $ORIGIN apac.hr.example.com
   @  1D  IN     SOA @    root (20200322001 3H 15 1w 3h)
   @  1D  IN  NS @
   
   test.apac.hr.example.com IN A 5.6.7.8
   engineering.apac.hr.example.com IN NS ns1.engineering.apac.hr.example.com
   sales.apac.hr.example.com IN NS ns2.sales.apac.hr.example.com
   ns1.engineering.apac.hr.example.com IN A 10.0.0.80
   ns2.sales.apac.hr.example.com IN A 10.0.0.90
   ```

   Zona alojada: `engineering.apac.hr.example.com`, `10.0.0.80`

   ```
   $TTL 86400 ; 24 hours
   $ORIGIN engineering.apac.hr.example.com
   @ 1D IN SOA @ root (20200322001 3H 15 1w 3h)
   @ 1D IN NS @
   test.engineering.apac.hr.example.com IN A 1.1.1.1
   ```

1. Para el servidor de nombres en las instalaciones en la región de América del Norte:

   Zona alojada: `na.hr.example.net`, IP del NS: `10.0.0.50`

   ```
   $TTL    86400 ; 24 hours
   $ORIGIN na.hr.example.net
   @  1D  IN     SOA @    root (20200322001 3H 15 1w 3h)
   @  1D  IN  NS @
   ns3.na.hr.example.net. IN A 10.0.0.50
   test.na.hr.example.com  IN A 9.10.11.12
   ```

**Configuración de VPC Resolver**
+ Para el VPC Resolver, debe configurar reglas de reenvío y reglas de delegación:

  **Reglas de reenvío**

  1. Para reenviar la solicitud inicial de modo que las consultas se reenvíen a la zona alojada principal `hr.example.com` en la ubicación central:

     domain-name: `hr.example.com` target-ips: `10.0.0.20`

  1. Para reenviar el registro de out-of-zone delegación, de modo que el solucionador de VPC conozca la dirección IP del servidor de nombres delegado para reenviar la solicitud inicial:

     domain-name: `hr.example.net` target-ips: `10.0.0.50`

  **Reglas de delegación**

  1. Regla de delegación para la delegación en la zona:

     registro de delegación: `hr.example.com`

  1. Regla de delegación para la delegación fuera de la zona:

     delegation-record: `hr.example.net`

# Activar la validación de DNSSEC en Amazon Route 53
<a name="resolver-dnssec-validation"></a>

Al habilitar la validación de DNSSEC para una virtual private cloud (VPC) en Amazon Route 53, las firmas DNSSEC se verifican criptográficamente para garantizar que la respuesta no se ha manipulado. Habilite la validación DNSSEC en la página de detalles de la VPC. 

El solucionador de VPC aplica la validación de DNSSEC a los nombres públicos firmados cuando realiza una resolución de DNS recursiva. 

Sin embargo, si la resolución de VPC reenvía a otra resolución de DNS, esa resolución está realizando una resolución de DNS recursiva y, por lo tanto, también debe aplicar la validación de DNSSEC.

**importante**  
Activar la validación DNSSEC puede afectar la resolución de DNS para los registros DNS públicos de recursos de AWS en una VPC, lo que podría provocar una interrupción. Tenga en cuenta que activar o desactivar la validación de DNSSEC puede tardar varios minutos. 

**nota**  
En este momento, el solucionador de VPC Route 53 de su VPC (también conocido como AmazonProvided DNS) ignora el bit del encabezado EDNS DO (DNSSEC OK) y el bit CD (Checking Disabled) de la consulta de DNS. Si ha configurado DNSSEC, esto significa que, si bien el solucionador de VPC realiza la validación de DNSSEC, no devuelve los registros de DNSSEC ni establece el bit AD en la respuesta. Por lo tanto, el solucionador de VPC no admite actualmente la realización de su propia validación de DNSSEC. Si necesita hacer esto, tendrá que realizar su propia resolución de DNS recursiva.<a name="resolver-dnssec-validation-procedure"></a>

**Para habilitar la validación DNSSEC para una VPC**

1. Inicie sesión en la consola de Route 53 Consola de administración de AWS y ábrala en. [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)

1. En el panel de navegación, en **VPC Resolver, elija**. **VPCs**

1. En **Validación de DNSSEC**, seleccione la casilla de verificación. Si la casilla de verificación ya está seleccionada, puede desactivarla para eliminar la validación de DNSSEC.

   Tenga en cuenta que activar o desactivar la validación de DNSSEC puede tardar varios minutos.