AWS Cloud9 ya no está disponible para nuevos clientes. Los clientes existentes de AWS Cloud9 pueden seguir utilizando el servicio con normalidad. [Más información](https://aws.amazon.com/blogs/devops/how-to-migrate-from-aws-cloud9-to-aws-ide-toolkits-or-aws-cloudshell/)
Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Acceso a instancias EC2 sin entrada con AWS Systems Manager
Una «instancia EC2 sin entrada» creada para un entorno EC2 permite conectarse AWS Cloud9 a su instancia de Amazon EC2 sin necesidad de abrir ningún puerto de entrada en esa instancia. Puede seleccionar la opción sin entrada al crear un entorno EC2 mediante la consola, la interfaz de la línea de comandos, o una [pila de CloudFormation](#cfn-role-and-permissions). Para obtener más información acerca de cómo crear un entorno con la consola o la interfaz de la línea de comandos, consulte [Paso 1: crear un entorno](tutorials-basic.md#tutorial-create-environment).
**importante**
No hay cargos adicionales por usar el Administrador de sesiones de Systems Manager para administrar las conexiones a la instancia de EC2.
Al seleccionar un tipo de entorno en la página **Create environment** (Crear entorno) de la consola, puede elegir una nueva instancia de EC2 que requiera conectividad entrante o una nueva instancia de EC2 sin entrada que no requiera lo siguiente:
+ **[New EC2 instance](create-environment-main.md#create-environment-console)** (Nueva instancia de EC2): con esta configuración, el grupo de seguridad de la instancia tiene una regla para permitir el tráfico de red entrante. El tráfico de red entrante está restringido a las [direcciones IP aprobadas para las conexiones de AWS Cloud9](ip-ranges.md). Un puerto de entrada abierto permite conectarse a su instancia mediante AWS Cloud9 SSH. Si utiliza AWS Systems Manager Session Manager, puede acceder a su instancia de Amazon EC2 a través de SSM sin abrir los puertos de entrada (sin entrada). Este método solo es aplicable a las nuevas instancias de Amazon EC2. Para obtener más información, consulte [Beneficios de utilizar Systems Manager para entornos de EC2](#ssm-benefits).
+ **[Existing compute](create-environment-main.md#create-environment-console)** (Computación existente): con esta configuración, se accede a una instancia de Amazon EC2 existente que requiere detalles de inicio de sesión de SSH, para los que la instancia debe tener una regla de grupo de seguridad entrante. Si utiliza esta opción, se crea un rol de servicio automáticamente. Puede ver el nombre del rol de servicio en una nota en la parte inferior de la pantalla de configuración.
Si se crea un entorno mediante [AWS CLI](tutorials-basic.md#tutorial-create-environment), puede configurar una instancia de EC2 sin entrada estableciendo la opción `--connection-type CONNECT_SSM` al llamar al comando `create-environment-ec2`. Para obtener más información acerca de la creación de la función de servicio y del perfil de instancias necesarios, consulte [Administración de perfiles de instancia para Systems Manager con AWS CLI](#aws-cli-instance-profiles).
Después de completar la creación de un entorno que utiliza una instancia de EC2 sin entrada, confirme lo siguiente:
+ Systems Manager Session Manager tiene permisos para realizar acciones en la instancia de EC2 en su nombre. Para obtener más información, consulte [Administración de permisos de Systems Manager](#service-role-ssm).
+ AWS Cloud9 los usuarios pueden acceder a la instancia gestionada por Session Manager. Para obtener más información, consulte [Proporcionar a los usuarios acceso a las instancias administradas por el Administrador de sesiones](#access-ec2-session).
## Beneficios de utilizar Systems Manager para entornos de EC2
Permitir que [Session Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html) gestione la conexión segura entre AWS Cloud9 y su instancia EC2 ofrece dos ventajas clave:
+ No es necesario abrir puertos entrantes para la instancia
+ Opción para lanzar la instancia en una subred pública o privada
------
#### [ No open inbound ports ]
[Session](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html) Manager gestiona las conexiones seguras entre su instancia EC2 AWS Cloud9 y su instancia. Session Manager es una función de Systems Manager totalmente gestionada que permite conectarse AWS Cloud9 a su instancia EC2 sin necesidad de abrir los puertos de entrada.
**importante**
La opción de utilizar Systems Manager para las conexiones sin entrada solo está disponible actualmente cuando se crean nuevos entornos de EC2.
Con el inicio de una sesión del Administrador de sesiones, se realiza una conexión con la instancia de destino. Con la conexión establecida, el entorno ahora puede interactuar con la instancia a través del servicio de Systems Manager. El servicio de Systems Manager se comunica con la instancia a través de Systems Manager Agent ([SSM Agent](https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-agent.html)).
SSM Agent se instala, de forma predeterminada, en todas las instancias utilizadas por los entornos de EC2.
------
#### [ Private/public subnets ]
Al seleccionar una subred para su instancia en la sección **Network settings (advanced)** Configuración de red (avanzada), puede seleccionar una subred privada o pública si se accede a la instancia de su entorno a través de Systems Manager.
![\[Selección de una nueva instancia de EC2 sin entrada para su entorno\]](http://docs.aws.amazon.com/es_es/cloud9/latest/user-guide/images/private-subnet-option.png)
**Subredes privadas**
Para una subred privada, asegúrese de que la instancia todavía puede conectarse al servicio SSM. Para hacerlo, puede [configurar una gateway NAT en una subred pública](https://aws.amazon.com/premiumsupport/knowledge-center/nat-gateway-vpc-private-subnet) o [configurar un punto de enlace de la VPC para Systems Manager](https://aws.amazon.com/premiumsupport/knowledge-center/ec2-systems-manager-vpc-endpoints).
La ventaja de utilizar la gateway NAT es que impide que internet inicie una conexión a la instancia en la subred privada. A la instancia de su entorno se le asigna una dirección IP privada en lugar de una pública. Por lo tanto, la puerta de enlace NAT reenvía el tráfico de la instancia a Internet u otros AWS servicios y, a continuación, envía la respuesta a la instancia.
Para la opción de la VPC, cree al menos tres *puntos de conexión de interfaz* necesarios para Systems Manager: *com.amazonaws.region.ssm*, *com.amazonaws.region.ec2messages* y *com.amazonaws.region.ssmmessages*. Para obtener más información, consulte [Creación de puntos de enlace de la VPC para Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-create-vpc.html#sysman-setting-up-vpc-create) en la *Guía del usuario de AWS Systems Manager *.
**importante**
Actualmente, si la instancia EC2 de su entorno se lanza a una subred privada, no puede usar [credenciales temporales AWS administradas](security-iam.md#auth-and-access-control-temporary-managed-credentials) para permitir que el entorno EC2 acceda a un AWS servicio en nombre de una AWS entidad (un usuario de IAM, por ejemplo).
**Subredes públicas**
Si el entorno de desarrollo usa SSM para acceder a una instancia de EC2, asegúrese de que la subred pública en la que se lanza la instancia asigna una dirección IP pública a la instancia. Para ello, puede especificar su propia dirección IP o habilitar la asignación automática de una dirección IP pública. Para ver los pasos necesarios para modificar la configuración de asignación automática de IP, consulte [Direcciones IP en su VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html) en la *Guía del usuario de Amazon VPC*.
Para obtener más información sobre la configuración de subredes privadas y públicas para las instancias de su entorno, consulte [Cree una subred para AWS Cloud9](vpc-settings.md#vpc-settings-create-subnet).
------
## Administración de permisos de Systems Manager
De forma predeterminada, Systems Manager no tiene permiso para realizar acciones en sus instancias de EC2. El acceso se proporciona a través de un perfil de instancia AWS Identity and Access Management (IAM). (Un perfil de instancias es un contenedor que pasa información del rol de IAM a una instancia de EC2 en el momento del lanzamiento).
Al crear la instancia EC2 sin entrada mediante la AWS Cloud9 consola, tanto el rol de servicio (`AWSCloud9SSMAccessRole`) como el perfil de instancia de IAM (`AWSCloud9SSMInstanceProfile`) se crean automáticamente. (Puede ver `AWSCloud9SSMAccessRole` en la consola de administración de IAM. Los perfiles de instancias no se muestran en la consola de IAM).
**importante**
Si crea un entorno EC2 sin entrada por primera vez AWS CLI, debe definir de forma explícita el rol de servicio y el perfil de instancia necesarios. Para obtener más información, consulte [Administración de perfiles de instancia para Systems Manager con AWS CLI](#aws-cli-instance-profiles).
**importante**
Si está creando un AWS Cloud9 entorno y utiliza Amazon EC2 Systems Manager con las políticas `AWSCloud9User` o políticas adjuntas, también debe adjuntar una política personalizada que tenga permisos de IAM específicos, consulte. `AWSCloud9Administrator` [Política de IAM personalizada para la creación de un entorno SSM](security-iam.md#custom-policy-ssm-environment) Esto se debe a un problema de permisos con las políticas `AWSCloud9Administrator` y `AWSCloud9User`.
Para una protección de seguridad adicional, la función AWS Cloud9 vinculada al servicio incluye una `PassRole` restricción en su política. `AWSServiceRoleforAWSCloud9` `AWSCloud9ServiceRolePolicy` Cuando *pasa* un rol de IAM a un servicio, permite a ese servicio asumir el rol y ejecutar acciones en su nombre. En este caso, el `PassRole` permiso garantiza que solo AWS Cloud9 se pueda transferir la `AWSCloud9SSMAccessRole` función (y su permiso) a una instancia de EC2. Esto restringe las acciones que se pueden realizar en la instancia EC2 solo a las requeridas por AWS Cloud9.
**nota**
Si ya no necesita utilizar Systems Manager para acceder a una instancia, puede eliminar la función de servicio `AWSCloud9SSMAccessRole`. Para obtener información, consulte [Eliminación de roles o perfiles de instancia](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) en la *Guía del usuario de IAM*.
### Administración de perfiles de instancia para Systems Manager con AWS CLI
También puede crear un entorno de EC2 sin entrada con AWS CLI. Cuando llame a `create-environment-ec2`, establezca la opción `--connection-type` en `CONNECT_SSM`.
Si utiliza esta opción, la función de servicio `AWSCloud9SSMAccessRole` y `AWSCloud9SSMInstanceProfile` no se crean automáticamente. Por lo tanto, para crear el perfil de servicio y el perfil de instancias necesarios, realice una de las siguientes acciones:
+ Cree un entorno de EC2 usando la consola una vez que la función de servicio `AWSCloud9SSMAccessRole` y `AWSCloud9SSMInstanceProfile` se hayan creado automáticamente. Una vez creados, la función de servicio y el perfil de instancias están disponibles para cualquier entorno de EC2 adicional creado mediante AWS CLI.
+ Ejecute los siguientes AWS CLI comandos para crear el rol de servicio y el perfil de instancia.
```
aws iam create-role --role-name AWSCloud9SSMAccessRole --path /service-role/ --assume-role-policy-document '{"Version": "2012-10-17", "Statement": [{"Effect": "Allow","Principal": {"Service": ["ec2.amazonaws.com","cloud9.amazonaws.com"] },"Action": "sts:AssumeRole"}]}'
aws iam attach-role-policy --role-name AWSCloud9SSMAccessRole --policy-arn arn:aws:iam::aws:policy/AWSCloud9SSMInstanceProfile
aws iam create-instance-profile --instance-profile-name AWSCloud9SSMInstanceProfile --path /cloud9/
aws iam add-role-to-instance-profile --instance-profile-name AWSCloud9SSMInstanceProfile --role-name AWSCloud9SSMAccessRole
```
## Proporcionar a los usuarios acceso a las instancias administradas por el Administrador de sesiones
Para abrir un AWS Cloud9 entorno conectado a una instancia EC2 a través de Systems Manager, el usuario debe tener permiso para la operación de la API,`StartSession`. Esta operación inicia una conexión a la instancia de EC2 administrada para una sesión del Administrador de sesiones. Puede conceder acceso a los usuarios mediante una política gestionada AWS Cloud9 específica (se recomienda) o editando una política de IAM y añadiendo los permisos necesarios.
****
| Método | Description (Descripción) |
| --- | --- |
| Utilice una AWS Cloud9 política gestionada específica | Recomendamos usar políticas AWS administradas para permitir a los usuarios acceder a las instancias de EC2 administradas por Systems Manager. Las políticas administradas proporcionan un conjunto de permisos para casos de AWS Cloud9 uso estándar y se pueden adjuntar fácilmente a una entidad de IAM. Todas las políticas administradas también incluyen los permisos para ejecutar la operación de API `StartSession`. Las siguientes son políticas gestionadas específicas de: AWS Cloud9 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/cloud9/latest/user-guide/ec2-ssm.html) Si está creando un AWS Cloud9 entorno y utiliza Amazon EC2 Systems Manager con las políticas `AWSCloud9User` o políticas adjuntas, también debe adjuntar una política personalizada que tenga permisos de IAM específicos, consulte. `AWSCloud9Administrator` [Política de IAM personalizada para la creación de un entorno SSM](security-iam.md#custom-policy-ssm-environment) Esto se debe a un problema de permisos con las políticas `AWSCloud9Administrator` y`AWSCloud9User`. Para obtener más información, consulte [AWS políticas gestionadas para AWS Cloud9](security-iam.md#auth-and-access-control-managed-policies). |
| Editar una política de IAM y agregar instrucciones de política obligatorias | Para editar una política existente, puede añadir permisos para la API de `StartSession`. Para editar una política mediante Consola de administración de AWS o AWS CLI, siga las instrucciones que se proporcionan en la sección [Edición de políticas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/#edit-managed-policy-console) en la Guía del usuario de *IAM*. Cuando edite la política, agregue la instrucción [policy statement](#policy-statement) (véase a continuación), que permite que la operación de API `ssm:startSession` se ejecute. |
Puede utilizar los siguientes permisos para ejecutar la operación de la API `StartSession`. La clave de `ssm:resourceTag` condición especifica que se puede iniciar una sesión del administrador de sesiones para cualquier instancia (`Resource: arn:aws:ec2:*:*:instance/*`) con la condición de que la instancia sea un entorno de desarrollo de AWS Cloud9 EC2 (). `aws:cloud9:environment`
**nota**
Las siguientes políticas administradas también incluyen estas instrucciones de política: `AWSCloud9Administrator`, `AWSCloud9User` y `AWSCloud9EnvironmentMember`.
```
{
"Effect": "Allow",
"Action": "ssm:StartSession",
"Resource": "arn:aws:ec2:*:*:instance/*",
"Condition": {
"StringLike": {
"ssm:resourceTag/aws:cloud9:environment": "*"
},
"StringEquals": {
"aws:CalledViaFirst": "cloud9.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"ssm:StartSession"
],
"Resource": [
"arn:aws:ssm:*:*:document/*"
]
}
```
## Se utiliza CloudFormation para crear entornos EC2 sin entrada
Si utiliza una [plantilla de CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-cloud9-environmentec2.html) para definir un entorno de desarrollo de Amazon EC2 sin entrada, haga lo siguiente antes de crear la pila:
1. Cree una función de servicio de `AWSCloud9SSMAccessRole` y un perfil de instancias de `AWSCloud9SSMInstanceProfile`. Para obtener más información, consulte [Crear un rol de servicio y un perfil de instancia con una plantilla CloudFormation](#creating-cfn-instance-profile).
1. Actualice la política para la entidad de IAM que realiza llamadas. CloudFormation De esta manera, la entidad pueda iniciar una sesión de Session Manager que se conecte a la instancia de EC2. Para obtener más información, consulte [Agregar permisos de Systems Manager a una política de IAM](#updating-IAM-policy).
### Crear un rol de servicio y un perfil de instancia con una plantilla CloudFormation
Debe crear la función de servicio `AWSCloud9SSMAccessRole` y el perfil de instancias `AWSCloud9SSMInstanceProfile` para permitir que Systems Manager administre la instancia de EC2 que respalda su entorno de desarrollo.
Si creó `AWSCloud9SSMAccessRole` anteriormente un entorno EC2 sin entrada [with the console](#using-the-console) o [ejecutó AWS CLI comandos](#aws-cli-instance-profiles), el rol de servicio y el perfil de instancia ya están disponibles para su uso. `AWSCloud9SSMInstanceProfile`
**nota**
Supongamos que intenta crear una CloudFormation pila para un entorno EC2 sin entrada, pero no ha creado primero el rol de servicio y el perfil de instancia necesarios. En ese caso, la pila no se crea y aparece el siguiente mensaje de error:
El AWSCloud9 SSMInstance perfil de instancia no existe en la cuenta.
Al crear un entorno EC2 sin entrada por primera vez CloudFormation, puede definir los `AWSCloud9SSMAccessRole` y `AWSCloud9SSMInstanceProfile` como recursos de IAM en la plantilla.
Este extracto de una plantilla de ejemplo muestra cómo definir estos recursos. La `AssumeRole` acción devuelve las credenciales de seguridad que proporcionan acceso tanto al AWS Cloud9 entorno como a su instancia EC2.
```
AWSTemplateFormatVersion: 2010-09-09
Resources:
AWSCloud9SSMAccessRole:
Type: AWS::IAM::Role
Properties:
AssumeRolePolicyDocument:
Version: 2012-10-17
Statement:
- Effect: Allow
Principal:
Service:
- cloud9.amazonaws.com
- ec2.amazonaws.com
Action:
- 'sts:AssumeRole'
Description: 'Service linked role for AWS Cloud9'
Path: '/service-role/'
ManagedPolicyArns:
- arn:aws:iam::aws:policy/AWSCloud9SSMInstanceProfile
RoleName: 'AWSCloud9SSMAccessRole'
AWSCloud9SSMInstanceProfile:
Type: "AWS::IAM::InstanceProfile"
Properties:
InstanceProfileName: AWSCloud9SSMInstanceProfile
Path: "/cloud9/"
Roles:
-
Ref: AWSCloud9SSMAccessRole
```
### Agregar permisos de Systems Manager a una política de IAM
Después de [definir un rol de servicio y un perfil de instancia](#creating-cfn-instance-profile) en la [plantilla de CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-cloud9-environmentec2.html), asegúrese de que la entidad de IAM que crea la pila tiene permiso para iniciar una sesión de Session Manager. Una sesión es una conexión realizada a la instancia de EC2 mediante Session Manager.
**nota**
Si no agrega permisos para iniciar una sesión del Administrador de sesiones antes de crear una pila para un entorno de EC2 sin entrada, se devuelve un error `AccessDeniedException`.
Añada los siguientes permisos a la política para la entidad de IAM mediante una llamada a CloudFormation.
```
{
"Effect": "Allow",
"Action": "ssm:StartSession",
"Resource": "arn:aws:ec2:*:*:instance/*",
"Condition": {
"StringLike": {
"ssm:resourceTag/aws:cloud9:environment": "*"
},
"StringEquals": {
"aws:CalledViaFirst": "cloudformation.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"ssm:StartSession"
],
"Resource": [
"arn:aws:ssm:*:*:document/*"
]
}
```
## Configuración de puntos de enlace de la VPC para Amazon S3 para descargar dependencias
Si la instancia EC2 de su AWS Cloud9 entorno no tiene acceso a Internet, cree un punto de enlace de VPC para un bucket de Amazon S3 específico. Este depósito contiene las dependencias necesarias para conservar tu IDE. up-to-date
La configuración de un punto de conexión de VPC para Amazon S3 también implica personalizar la política de acceso. Desea que la política de acceso permita el acceso solo al bucket de S3 de confianza que contiene las dependencias que se van a descargar.
**nota**
Puede crear y configurar puntos de enlace de VPC mediante la API Consola de administración de AWS, AWS CLI o Amazon VPC. En el siguiente procedimiento, se muestra cómo crear un punto de conexión de VPC con la interfaz de la consola.
## Crear y configurar un punto de enlace de la VPC para Amazon S3
1. En Consola de administración de AWS, vaya a la página de la consola de Amazon VPC.
1. En la barra de navegación, elija **Endpoints** (Puntos de enlace).
1. En la página **Endpoints** (Puntos de enlace), elija **Create Endpoint** (Crear punto de enlace).
1. En la página **Create Endpoint** (Crear un punto de conexión), introduzca “s3” en el campo de búsqueda y pulse **Intro** para ver una lista de los puntos de conexión disponibles para Amazon S3 en la Región de AWS actual.
1. En la lista de puntos de enlace de Amazon S3 devuelta, seleccione el tipo **Gateway**.
1. A continuación, elija la VPC que contiene la instancia de EC2 de su entorno.
1. Ahora elija la tabla de enrutamiento de la VPC. De esta forma, las subredes asociadas pueden acceder al punto de conexión. La instancia de EC2 de su entorno se encuentra en una de estas subredes.
1. En la sección **Policy** (Política), haga clic en la opción **Custom** (Personalizada) y reemplace la política estándar por la siguiente.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Access-to-C9-bucket-only",
"Effect": "Allow",
"Principal": "*",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::{bucket_name}/content/dependencies/*"
}
]
}
```
------
Para el elemento `Resource`, reemplace `{bucket_name}` por el nombre real del bucket que está disponible en su Región de AWS. Por ejemplo, si lo utiliza AWS Cloud9 en la región Europa (Irlanda), debe especificar lo siguiente`"Resource": "arn:aws:s3:::static-eu-west-1-prod-static-hld3vzaf7c4h/content/dependencies/`:.
En la siguiente tabla se muestran los nombres de los cubos Regiones de AWS donde AWS Cloud9 están disponibles.
**Depósitos de Amazon S3 en regiones AWS Cloud9**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/cloud9/latest/user-guide/ec2-ssm.html)
1. Seleccione **Crear punto de conexión**.
Si ha proporcionado la información de configuración correcta, un mensaje muestra el ID del punto de conexión que se ha creado.
1. Para verificar que su IDE puede acceder al bucket de Amazon S3, inicie una sesión del terminal mediante las opciones **Window** (Ventana), **New Terminal** (Nuevo terminal) en la barra de menús. A continuación, ejecute el siguiente comando y reemplace `{bucket_name}` por el nombre real del bucket de su región.
```
ping {bucket_name}.s3.{region}.amazonaws.com.
```
Por ejemplo, si creó un punto de conexión para un bucket de Amazon S3 en la región Este de EE. UU. (Norte de Virginia), ejecute el siguiente comando:
```
ping static-us-east-1-prod-static-mft1klnkc4hl.s3.us-east-1.amazonaws.com
```
Si el ping obtiene una respuesta, esto confirma que su IDE puede acceder al bucket y a sus dependencias.
Para obtener más información sobre esta función, consulte [Endpoints for Amazon S3](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html) en la *AWS PrivateLinkguía*.
## Configuración de puntos de enlace de la VPC para conectividad privada
Cuando se lanza una instancia en una subred con la opción **access using Systems Manager** (Acceso a través de Systems Manager), su grupo de seguridad no tiene una regla de entrada que permita el tráfico de red entrante. Sin embargo, el grupo de seguridad tiene una regla de salida que permite el tráfico saliente de la instancia. Esto es necesario para descargar los paquetes y bibliotecas necesarios para mantener el AWS Cloud9 IDE actualizado.
Para evitar el tráfico saliente y entrante de la instancia, cree y configure los puntos de conexión de Amazon VPC para Systems Manager. Con un punto final de VPC de interfaz (punto final de interfaz), puede conectarse a los servicios impulsados por. [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-share-your-services.html) AWS PrivateLink es una tecnología que se puede utilizar para acceder de forma privada a Amazon EC2 y a Systems Manager APIs mediante direcciones IP privadas. Para configurar los puntos de enlace de la VPC para que utilicen Systems Manager, siga las instrucciones proporcionadas en este [Recursos del Centro de Conocimientos](https://aws.amazon.com/premiumsupport/knowledge-center/ec2-systems-manager-vpc-endpoints/).
**aviso**
Supongamos que configura un grupo de seguridad que no permite el tráfico de red entrante o saliente. Por lo tanto, la instancia EC2 que admite su AWS Cloud9 IDE no tiene acceso a Internet. Debe crear un [punto de conexión de Amazon S3 para su VPC](#configure-s3-endpoint) para permitir el acceso a las dependencias contenidas en un bucket de S3 de confianza. Además, es posible que algunas Servicios de AWS, por ejemplo AWS Lambda, no funcionen según lo previsto sin acceso a Internet.
Con AWS PrivateLink, hay cargos de procesamiento de datos por cada gigabyte procesado a través del punto final de la VPC. Esto es independiente del origen o el destino del tráfico. Para obtener más información, consulte [Precios de AWS PrivateLink](https://aws.amazon.com/privatelink/pricing/).