VPCRequisitos de Amazon para AWS Cloud9 Crea un VPC plus de otros VPC recursos Cree un VPC único Cree una subred para AWS Cloud9 Configuración de una subred como pública o privada

VPCconfiguración para entornos AWS Cloud9 de desarrollo

Todos los entornos de AWS Cloud9 desarrollo asociados a una Amazon Virtual Private Cloud (AmazonVPC) deben cumplir VPC requisitos específicos. Estos entornos incluyen EC2 entornos y SSH entornos asociados a instancias de Nube de AWS cómputo que se ejecutan dentro de unVPC. Algunos ejemplos son las instancias de Amazon EC2 y Amazon Lightsail.

VPCRequisitos de Amazon para AWS Cloud9

El Amazon VPC que AWS Cloud9 usa requiere la siguiente configuración. Si ya estás familiarizado con estos requisitos y solo quieres crear uno compatibleVPC, pasa aCrea un VPC plus de otros VPC recursos.

Usa la siguiente lista de verificación para confirmar que VPC cumple con todos los requisitos siguientes:

VPCPuede estar en el mismo entorno Cuenta de AWS y Región de AWS que el de AWS Cloud9 desarrollo o VPC puede compartirse VPC en un entorno Cuenta de AWS diferente al del entorno. Sin embargo, VPC debe estar en el mismo lugar Región de AWS que el entorno. Para obtener más información sobre Amazon VPCs for an Región de AWS, consulteVea una lista VPCs de Región de AWS. Para obtener más instrucciones sobre cómo crear un Amazon VPC para AWS Cloud9, consultaCrea un VPC plus de otros VPC recursos. Para obtener información sobre cómo trabajar con Amazon compartidoVPCs, consulta Trabajar con Amazon compartido VPCs en la Guía del VPC usuario de Amazon.
VPCDebe tener una subred pública. Una subred es pública cuando su tráfico se dirige a una puerta de enlace de Internet. Para obtener una lista de las subredes de AmazonVPC, consulteVea una lista de subredes de un VPC.
Sin embargoSSH, si su entorno accede a su EC2 instancia directamente, la instancia solo se puede lanzar en una subred pública. Para obtener información sobre cómo confirmar si una subred es pública, consulte Confirmar si una subred es pública.
Si accedes a una EC2instancia de Amazon sin entrada mediante Systems Manager, la instancia se puede lanzar en una subred pública o privada.
Si utilizas una subred pública, conecta una puerta de enlace de Internet a. VPC Esto es así: AWS Systems Manager Agent (SSM Agent) para que la instancia pueda conectarse a Systems Manager.
Si utilizas una subred privada, permite que la instancia de la subred se comunique con Internet alojando una NAT puerta de enlace en una subred pública. Para obtener más información acerca de la visualización o el cambio de la configuración de una puerta de enlace de Internet, consulte Ver o cambiar la configuración de una gateway de internet
La subred pública debe tener una tabla de enrutamiento con un conjunto mínimo de rutas. Para saber cómo confirmar si una subred tiene una tabla de enrutamiento, consulte Confirmar si una subred tiene una tabla de enrutamiento. Para obtener información sobre cómo crear una tabla de enrutamiento, consulte Crear una tabla de enrutamiento.
Los grupos de seguridad asociados a la instancia de procesamiento VPC (o a la instancia de Nube de AWS procesamiento, según la arquitectura) deben permitir un conjunto mínimo de tráfico entrante y saliente. Para obtener una lista de los grupos de seguridad de AmazonVPC, consulteVea una lista de grupos de seguridad de un VPC. Para obtener más información sobre la creación de un grupo de seguridad en AmazonVPC, consulteCree un grupo de seguridad en un VPC.
Para obtener un nivel de seguridad adicional, si VPC tiene una redACL, la red ACL debe permitir un conjunto mínimo de tráfico entrante y saliente. Para confirmar si Amazon VPC tiene al menos una redACL, consultaConfirme si a VPC tiene al menos una red ACL. Para obtener información sobre la creación de una redACL, consulteCree una red ACL.
Si tu entorno de desarrollo se utiliza SSM para acceder a una EC2 instancia, asegúrate de que la subred pública en la que se lanza asigne a la instancia una dirección IP pública. Para ello, debe habilitar la opción de asignación automática de una dirección IP pública para la subred pública y configurarla en Yes. Puede habilitarla en la subred pública antes de crear un entorno AWS Cloud9 en la página de configuración de la subred. Para conocer los pasos necesarios para modificar la configuración de IP de asignación automática en una subred pública, consulte Modificar el atributo de IPv4 direccionamiento público de su subred en la Guía del usuario de Amazon VPC. Para obtener más información sobre la configuración de una subred pública y privada, consulte Configuración de una subred como pública o privada

nota

Para realizar los siguientes procedimientos, inicie sesión AWS Management Console y utilice las credenciales de administrador para abrir la consola de Amazon (https://console.aws.amazon.com/vpc) o la VPC consola de Amazon (EC2https://console.aws.amazon.com/ec2).

Si utiliza la AWS CLI o la AWS CloudShell, le recomendamos que configure la AWS CLI o AWS CloudShell con las credenciales de un administrador en la suya. Cuenta de AWS Si no puede hacerlo, póngase en contacto con su Cuenta de AWS administrador.

Vea una lista VPCs de Región de AWS

Para usar la VPC consola Amazon, en la barra de AWS navegación, elige la Región de AWS que AWS Cloud9 crea el entorno. A continuación, selecciona Tu VPCs en el panel de navegación.

Para usar el AWS CLI o el AWS CloudShell, ejecute el EC2 describe-vpcscomando Amazon, por ejemplo, de la siguiente manera.


aws ec2 describe-vpcs --output table --query 'Vpcs[*].VpcId' --region us-east-2

En el comando anterior, us-east-2 sustitúyalo por el Región de AWS que AWS Cloud9 crea el entorno en. Para ejecutar el comando anterior en Windows, reemplace las comillas simples (' ') por comillas dobles (" "). Para ejecutar el comando anterior con el aws-shell, omita aws.

El resultado contiene la lista de VPCIDs.

Vea una lista de subredes de un VPC

Para usar la VPC consola de Amazon, selecciona Your VPCs en el panel de navegación. Anota el ID VPC de la columna VPCID. A continuación, elija Subredes en el panel de navegación y busque las subredes que contengan ese ID en la VPCcolumna.

Para usar el AWS CLI o elaws-shell, ejecute el EC2 describe-subnetscomando Amazon, por ejemplo, de la siguiente manera.


aws ec2 describe-subnets --output table --query 'Subnets[*].[SubnetId,VpcId]' --region us-east-2

En el comando anterior, us-east-2 sustitúyalo por el Región de AWS que contiene las subredes. Para ejecutar el comando anterior en Windows, reemplace las comillas simples (' ') por comillas dobles (" "). Para ejecutar el comando anterior con el aws-shell, omita aws.

En el resultado, busca subredes que coincidan con el VPC ID.

Confirmar si una subred es pública

importante

Supongamos que está lanzando la EC2 instancia de su entorno en una subred privada. Asegúrate de que el tráfico saliente esté permitido en esa instancia para que pueda conectarse al SSM servicio. En el caso de las subredes privadas, el tráfico saliente se configura normalmente a través de una puerta de enlace o puntos finales de traducción de direcciones de red (NAT). VPC (Una NAT puerta de enlace requiere una subred pública).

Suponga que elige VPC puntos finales en lugar de una NAT puerta de enlace para el acceso. SSM Es posible que las actualizaciones automáticas y los parches de seguridad de la instancia no funcionen si dependen del acceso a Internet. Puede usar otras aplicaciones, como AWS Systems Manager Patch Manager, para administrar cualquier actualización de software que pueda necesitar su entorno. AWS Cloud9 el software se actualizará con normalidad.

Para usar la VPC consola de Amazon, selecciona Subnets en el panel de navegación. Selecciona la casilla situada junto a la subred que quieres AWS Cloud9 usar. En la pestaña Route Table (Tabla de enrutamiento), si hay una entrada en la columna Target (Destino) que comience por igw-, la subred es pública.

Para usar AWS CLI oaws-shell, ejecuta el EC2 describe-route-tablescomando Amazon.


aws ec2 describe-route-tables --output table --query 'RouteTables[*].Routes[*].{GatewayIds:GatewayId}' --region us-east-2 --filters Name=association.subnet-id,Values=subnet-12a3456b

En el comando anterior, us-east-2 sustitúyalo por el Región de AWS que contiene la subred y sustitúyelo por el subnet-12a3456b ID de subred. Para ejecutar el comando anterior en Windows, reemplace las comillas simples (' ') por comillas dobles (" "). Para ejecutar el comando anterior con el aws-shell, omita aws.

En la salida, si hay al menos un resultado que comience por igw-, la subred es pública.

En el resultado, si no hay resultados, es posible que la tabla de enrutamiento esté asociada a la subred VPC en lugar de a la subred. Para confirmarlo, ejecute el EC2 describe-route-tablescomando Amazon para lo VPC relacionado con la subred en lugar de para la propia subred, por ejemplo, de la siguiente manera.


aws ec2 describe-route-tables --output table --query 'RouteTables[*].Routes[*].{GatewayIds:GatewayId}' --region us-east-1 --filters Name=vpc-id,Values=vpc-1234ab56

En el comando anterior, us-east-2 sustitúyalo por el Región de AWS que contiene el VPC identificador y vpc-1234ab56 sustitúyelo por el VPC identificador. Para ejecutar el comando anterior en Windows, reemplace las comillas simples (' ') por comillas dobles (" "). Para ejecutar el comando anterior con el aws-shell, omita aws.

En el resultado, si hay al menos un resultado que comience porigw-, VPC contiene una puerta de enlace a Internet.

Ver o cambiar la configuración de una gateway de internet

Para usar la VPC consola de Amazon, selecciona Internet Gateways en el panel de navegación. Seleccione la casilla situada junto a la gateway de Internet. Para ver la configuración, fíjese en cada una de las pestañas. Para cambiar una configuración de una pestaña, elija Edit (Editar), si corresponde, y siga las instrucciones en pantalla.

Para usar AWS CLI o aws-shell para ver la configuración, ejecuta el EC2 describe-internet-gatewayscomando Amazon.


aws ec2 describe-internet-gateways --output table --region us-east-2 --internet-gateway-id igw-1234ab5c

En el comando anterior, us-east-2 sustitúyalo por el Región de AWS que contiene la puerta de enlace a Internet y sustitúyelo por igw-1234ab5c el ID de la puerta de enlace a Internet. Para ejecutar el comando anterior con el aws-shell, omita aws.

Cree un puerta de enlace de Internet

Para usar la VPC consola de Amazon, selecciona Internet Gateways en el panel de navegación. Elija Create Internet Gateway (Crear gateway de Internet) y siga las instrucciones en pantalla.

Para usar AWS CLI oaws-shell, ejecuta el EC2 create-internet-gatewaycomando Amazon.


aws ec2 create-internet-gateway --output text --query 'InternetGateway.InternetGatewayId' --region us-east-2

En el comando anterior, us-east-2 sustitúyalo por el Región de AWS que contiene la nueva puerta de enlace a Internet. Para ejecutar el comando anterior en Windows, reemplace las comillas simples (' ') por comillas dobles (" "). Para ejecutar el comando anterior con el aws-shell, omita aws.

La salida contiene el ID de la nueva gateway de Internet.

Adjunte una puerta de enlace de Internet a un VPC

Para usar la VPC consola de Amazon, selecciona Internet Gateways en el panel de navegación. Seleccione la casilla situada junto a la gateway de Internet. Selecciona Acciones, Adjuntar a, VPC si está disponible, y sigue las instrucciones que aparecen en pantalla.

Para usar el AWS CLI o elaws-shell, ejecute el EC2 attach-internet-gatewaycomando Amazon, por ejemplo, de la siguiente manera.


aws ec2 attach-internet-gateway --region us-east-2 --internet-gateway-id igw-a1b2cdef --vpc-id vpc-1234ab56

En el comando anterior, us-east-2 sustitúyalo por el Región de AWS que contiene la puerta de enlace a Internet. Reemplace igw-a1b2cdef por el ID de puerta de enlace de Internet. Y vpc-1234ab56 sustitúyalo por el VPC ID. Para ejecutar el comando anterior con el aws-shell, omita aws.

Confirmar si una subred tiene una tabla de enrutamiento

Para usar la VPC consola de Amazon, selecciona Subnets en el panel de navegación. Selecciona la casilla situada junto a la subred pública de la VPC que quieras AWS Cloud9 usar. En la pestaña Route table (Tabla de enrutamiento), si hay un valor para Route Table (Tabla de enrutamiento), la subred pública tiene una tabla de enrutamiento.

Para usar AWS CLI oaws-shell, ejecuta el EC2 describe-route-tablescomando Amazon.


aws ec2 describe-route-tables --output table --query 'RouteTables[*].Associations[*].{RouteTableIds:RouteTableId}' --region us-east-2 --filters Name=association.subnet-id,Values=subnet-12a3456b

En el comando anterior, us-east-2 sustitúyalo por el Región de AWS que contiene la subred pública y subnet-12a3456b sustitúyelo por el ID de subred pública. Para ejecutar el comando anterior en Windows, reemplace las comillas simples (' ') por comillas dobles (" "). Para ejecutar el comando anterior con el aws-shell, omita aws.

Si hay valores en la salida, la subred pública tiene al menos una tabla de ruteo.

En el resultado, si no hay resultados, es posible que la tabla de enrutamiento esté asociada a la subred VPC en lugar de a la subred. Para confirmarlo, ejecute el EC2 describe-route-tablescomando Amazon para la subred relacionada VPC en lugar de para la propia subred, por ejemplo, de la siguiente manera.


aws ec2 describe-route-tables --output table --query 'RouteTables[*].Associations[*].{RouteTableIds:RouteTableId}' --region us-east-2 --filters Name=vpc-id,Values=vpc-1234ab56

En el resultado, si hay al menos un resultado, VPC tiene al menos una tabla de enrutamiento.

Adjuntar una tabla de enrutamiento a una subred

Para usar la VPC consola de Amazon, selecciona Route Tables en el panel de navegación. Seleccione la casilla situada junto a la tabla de ruteo que desea asociar. En la pestaña Subnet Associations (Asociaciones de subred), elija Edit (Editar), active la casilla situada junto a la subred a la que desea asociarla y, a continuación, elija Save (Guardar).

Para usar el AWS CLI o elaws-shell, ejecute el EC2 associate-route-tablecomando Amazon, por ejemplo, de la siguiente manera.


aws ec2 associate-route-table --region us-east-2 --subnet-id subnet-12a3456b --route-table-id rtb-ab12cde3

En el comando anterior, us-east-2 sustitúyalo por el Región de AWS que contiene la tabla de rutas. Reemplace subnet-12a3456b por el ID de subred. Y reemplace rtb-ab12cde3 por el ID de la tabla de enrutamiento. Para ejecutar el comando anterior con el aws-shell, omita aws.

Crear una tabla de enrutamiento

Para usar la VPC consola de Amazon, selecciona Route Tables en el panel de navegación. Elija Create Route Table (Crear tabla de ruteo de Internet) y luego siga las instrucciones en pantalla.

Para usar el AWS CLI o elaws-shell, ejecute el EC2 create-route-tablecomando Amazon, por ejemplo, de la siguiente manera.


aws ec2 create-route-table --output text --query 'RouteTable.RouteTableId' --region us-east-2 --vpc-id vpc-1234ab56

En el comando anterior, us-east-2 sustitúyalo por el Región de AWS que contiene la nueva tabla de rutas y vpc-1234ab56 sustitúyelo por el VPC ID. Para ejecutar el comando anterior en Windows, reemplace las comillas simples (' ') por comillas dobles (" "). Para ejecutar el comando anterior con el aws-shell, omita aws.

La salida contiene el ID de la nueva tabla de ruteo.

Ver o cambiar la configuración de una tabla de enrutamiento

Para usar la VPC consola de Amazon, selecciona Route Tables en el panel de navegación. Seleccione la casilla de verificación que hay junto a la tabla de ruteo. Para ver la configuración, fíjese en cada una de las pestañas. Para cambiar una configuración de una pestaña, elija Edit (Editar) y luego siga las instrucciones en pantalla.

Para usar AWS CLI o aws-shell para ver la configuración, ejecuta el EC2 describe-route-tablescomando Amazon, por ejemplo, de la siguiente manera.


aws ec2 describe-route-tables --output table --region us-east-2 --route-table-ids rtb-ab12cde3

En el comando anterior, sustituya por us-east-2 el Región de AWS que contiene la tabla de rutas y rtb-ab12cde3 sustitúyalo por el ID de la tabla de rutas. Para ejecutar el comando anterior con el aws-shell, omita aws.

Configuración mínima sugerida de la tabla de rutas para AWS Cloud9

Destino	Destino	Status	Propagado
CIDR-BLOCK	local	Activo	No
0.0.0.0/0	`igw-INTERNET-GATEWAY-ID`	Activo	No

En esta configuración, CIDR-BLOCK es el CIDR bloque de la subred y igw-INTERNET-GATEWAY-ID es el ID de una puerta de enlace de Internet compatible.

Vea una lista de grupos de seguridad de un VPC

Para usar la VPC consola de Amazon, selecciona Grupos de seguridad en el panel de navegación. En el cuadro Buscar grupos de seguridad, introduzca el VPC ID o el nombre y, a continuación, pulseEnter. Los grupos de seguridad correspondientes VPC aparecen en la lista de resultados de la búsqueda.

Para usar AWS CLI oaws-shell, ejecuta el EC2 describe-security-groupscomando Amazon.


aws ec2 describe-security-groups --output table --query 'SecurityGroups[*].GroupId' --region us-east-2 --filters Name=vpc-id,Values=vpc-1234ab56

El resultado contiene la lista de grupos de seguridad IDs correspondientesVPC.

Vea una lista de grupos de seguridad de una instancia de Nube de AWS procesamiento

Para usar la EC2 consola de Amazon, expanda Instances en el panel de navegación y, a continuación, seleccione Instances. En la lista de instancias, active la casilla situada junto a la instancia. Los grupos de seguridad de esa instancia aparecen en la pestaña Description (Descripción) junto a Security groups (Grupos de seguridad).

Para usar el AWS CLI o elaws-shell, ejecute el EC2 describe-security-groupscomando Amazon, por ejemplo, de la siguiente manera.


aws ec2 describe-instances --output table --query 'Reservations[*].Instances[*].NetworkInterfaces[*].Groups[*].GroupId' --region us-east-2 --instance-ids i-12a3c456d789e0123

En el comando anterior, us-east-2 sustitúyalo por el Región de AWS que contiene la instancia y i-12a3c456d789e0123 sustitúyelo por el ID de la instancia. Para ejecutar el comando anterior en Windows, reemplace las comillas simples (' ') por comillas dobles (" "). Para ejecutar el comando anterior con el aws-shell, omita aws.

El resultado contiene la lista de grupos de seguridad IDs de esa instancia.

Vea o cambie la configuración de un grupo de seguridad en un VPC

Para usar la VPC consola de Amazon, selecciona Grupos de seguridad en el panel de navegación. Seleccione la casilla de verificación situada junto al grupo de seguridad. Para ver la configuración, fíjese en cada una de las pestañas. Para cambiar una configuración de una pestaña, elija Edit (Editar), si corresponde, y siga las instrucciones en pantalla.

Para usar AWS CLI o aws-shell para ver la configuración, ejecuta el EC2 describe-security-groupscomando Amazon, por ejemplo, de la siguiente manera.


aws ec2 describe-security-groups --output table --region us-east-2 --group-ids sg-12a3b456

En el comando anterior, us-east-2 sustitúyalo por el Región de AWS que contiene la instancia y sg-12a3b456 sustitúyelo por el ID del grupo de seguridad. Para ejecutar el comando anterior con el aws-shell, omita aws.

Vea o cambie la configuración de un grupo de seguridad de instancias de Nube de AWS cómputo

Para usar la EC2 consola de Amazon, expanda Instances en el panel de navegación y, a continuación, seleccione Instances. En la lista de instancias, marque la casilla situada junto a la instancia. En la pestaña Description (Descripción), en Security groups (Grupos de seguridad), elija el grupo de seguridad. Consulte cada una de las pestañas. Para cambiar una configuración de una pestaña, elija Edit (Editar), si corresponde, y siga las instrucciones en pantalla.

Para usar AWS CLI o aws-shell para ver la configuración, ejecuta el EC2 describe-security-groupscomando Amazon, por ejemplo, de la siguiente manera.


aws ec2 describe-security-groups --output table --region us-east-2 --group-ids sg-12a3b456

Configuración mínima de tráfico entrante y saliente para AWS Cloud9

importante

Es posible que el grupo de seguridad de una instancia no tenga una regla de entrada. Si es así, esto significa que no se permitirá que el tráfico que procede de otro host entre en la instancia. Para obtener información sobre el uso de instancias sin entrada, consulte. EC2 Acceder a instancias sin ingreso EC2 con AWS Systems Manager

Entrante: todas las direcciones IP que utilizan el puerto 22SSH. Sin embargo, puede restringir estas direcciones IP solo a las que las AWS Cloud9 utilice. Para obtener más información, consulte Intervalos de direcciones SSH IP entrantes para AWS Cloud9.

nota
Para EC2 los entornos que se crean a partir del 31 de julio de 2018, AWS Cloud9 utiliza grupos de seguridad para restringir las direcciones IP entrantes a SSH través del puerto 22. Estas direcciones IP entrantes son específicamente las direcciones que AWS Cloud9 utiliza. Para obtener más información, consulte Intervalos de direcciones SSH IP entrantes para AWS Cloud9.
Entrante (ACLssolo de red): para los EC2 entornos y los entornos asociados a las SSH EC2 instancias de Amazon que ejecutan Amazon Linux o Ubuntu Server, todas las direcciones IP se utilizan a TCP través de los puertos 32768-61000. Para obtener más información y conocer los rangos de puertos para otros tipos de EC2 instancias de Amazon, consulta Puertos efímeros en la Guía VPCdel usuario de Amazon.
Salida: todos los orígenes de tráfico con cualquier protocolo y puerto.

Puede configurar este comportamiento en el nivel del grupo de seguridad. Para obtener un nivel de seguridad adicional, también puedes usar una red. ACL Para obtener más información, consulte Comparación de grupos de seguridad y redes ACLs en la Guía del VPC usuario de Amazon.

Por ejemplo, para añadir reglas de entrada y salida a un grupo de seguridad, configure dichas reglas tal y como se indica a continuación.

Reglas de entrada
Tipo	Protocolo	Rango de puerto	Origen
SSH(22)	TCP(6)	22	0.0.0.0 (pero consulte la siguiente nota y los Intervalos de direcciones SSH IP entrantes para AWS Cloud9.)

nota

Para EC2 los entornos que se creen a partir del 31 de julio de 2018, AWS Cloud9 agrega una regla de entrada para restringir el uso de las direcciones IP entrantes a SSH través del puerto 22. Esto se limita específicamente a las direcciones que utiliza. AWS Cloud9 Para obtener más información, consulte Intervalos de direcciones SSH IP entrantes para AWS Cloud9.

Reglas de salida
Tipo	Protocolo	Rango de puerto	Origen
Todo el tráfico	ALL	ALL	0.0.0.0/0

Si también decide agregar reglas de entrada y salida a una redACL, puede configurarlas de la siguiente manera.

Reglas de entrada
Regla n.º	Tipo	Protocolo	Rango de puerto	Origen	Permitir/Denegar
100	SSH(22)	TCP(6)	22	0.0.0.0 (pero consulte los Intervalos de direcciones SSH IP entrantes para AWS Cloud9.)	ALLOW
200	TCPRegla personalizada	TCP(6)	32768-61000 (para las instancias de Amazon Linux y Ubuntu Server. Para otros tipos de instancias, consulte Puertos efímeros).	0.0.0.0/0	ALLOW
`*`	Todo el tráfico	ALL	ALL	0.0.0.0/0	DENY

Reglas de salida
Regla n.º	Tipo	Protocolo	Rango de puerto	Origen	Permitir/Denegar
100	Todo el tráfico	ALL	ALL	0.0.0.0/0	ALLOW
`*`	Todo el tráfico	ALL	ALL	0.0.0.0/0	DENY

Para obtener más información sobre los grupos de seguridad y la redACLs, consulte lo siguiente en la Guía del VPC usuario de Amazon.

Cree un grupo de seguridad en un VPC

Para usar Amazon VPC o EC2 las consolas de Amazon, realiza una de las siguientes acciones:

En la VPC consola de Amazon, selecciona Grupos de seguridad en el panel de navegación. Elija Create Security Group (Crear grupo de seguridad) y luego siga las instrucciones en pantalla.
En la EC2 consola de Amazon, expanda Red y seguridad en el panel de navegación y, a continuación, elija Grupos de seguridad. Elija Create Security Group (Crear grupo de seguridad) y luego siga las instrucciones en pantalla.

Para usar el AWS CLI o elaws-shell, ejecute el EC2 create-security-groupcomando Amazon, por ejemplo, de la siguiente manera.


aws ec2 create-security-group --region us-east-2 --vpc-id vpc-1234ab56

Confirme si a VPC tiene al menos una red ACL

Para usar la VPC consola de Amazon, selecciona Your VPCs en el panel de navegación. Selecciona la casilla situada junto a la VPC que quieras AWS Cloud9 usar. En la pestaña Resumen, si hay un valor para Red ACL, significa que VPC tiene al menos una redACL.

Para usar AWS CLI oaws-shell, ejecuta el EC2 describe-network-aclscomando Amazon.


aws ec2 describe-network-acls --output table --query 'NetworkAcls[*].Associations[*].NetworkAclId' --region us-east-2 --filters Name=vpc-id,Values=vpc-1234ab56

Si el resultado contiene al menos una entrada de la lista, significa que VPC tiene al menos una redACL.

Ver una lista de redes ACLs para un VPC

Para usar la VPC consola de Amazon, selecciona Red ACLs en el panel de navegación. En el ACLs cuadro Buscar en la red, introduce el VPC ID o el nombre y, a continuación, presionaEnter. La red ACLs correspondiente VPC aparece en la lista de resultados de búsqueda.

Para usar AWS CLI oaws-shell, ejecuta el EC2 describe-network-aclscomando Amazon.


aws ec2 describe-network-acls --output table --query 'NetworkAcls[*].Associations[*].NetworkAclId' --region us-east-2 --filters Name=vpc-id,Values=vpc-1234ab56

El resultado contiene una lista de redes ACLs para elloVPC.

Ver o cambiar la configuración de una red ACL

Para usar la VPC consola de Amazon, selecciona Red ACLs en el panel de navegación. Selecciona la casilla situada junto a la redACL. Para ver la configuración, fíjese en cada una de las pestañas. Para cambiar una opción de configuración de una pestaña, elija Edit (Editar), si corresponde, y siga las instrucciones en pantalla.

Para usar AWS CLI o aws-shell para ver la configuración, ejecuta el EC2 describe-network-aclscomando Amazon.


aws ec2 describe-network-acls --output table --region us-east-2 --network-acl-ids acl-1234ab56

En el comando anterior, us-east-2 sustitúyalo por el Región de AWS que contiene la red ACL y acl-1234ab56 sustitúyelo por el ACL identificador de la red. Para ejecutar el comando anterior con el aws-shell, omita aws.

Cree una red ACL

Para usar la VPC consola de Amazon, selecciona Red ACLs en el panel de navegación. Selecciona Crear red yACL, a continuación, sigue las instrucciones que aparecen en pantalla.

Para usar AWS CLI oaws-shell, ejecuta el EC2 create-network-aclcomando Amazon.


aws ec2 create-network-acl --region us-east-2 --vpc-id vpc-1234ab56

En el comando anterior, us-east-2 sustitúyalo por el Región de AWS VPC que contenga el comando al que deseas conectar la nueva redACL. Además, vpc-1234ab56 sustitúyalo por el VPC ID. Para ejecutar el comando anterior con el aws-shell, omita aws.

Crea un VPC plus de otros VPC recursos

Utilice el siguiente procedimiento para crear VPC y los VPC recursos adicionales que necesite para ejecutar la aplicación. VPClos recursos incluyen subredes, tablas de enrutamiento, puertas de enlace de Internet y NAT puertas de enlace.

Para crear aVPC, subredes y otros VPC recursos mediante la consola

Abre la VPC consola de Amazon en https://console.aws.amazon.com/vpc/.
En el VPC panel de control, selecciona Crear VPC.
Para crear recursos, elige VPCy mucho más.
Para crear etiquetas de nombre para los VPC recursos, mantenga seleccionada la generación automática de etiquetas de nombre. Para proporcionar sus propias etiquetas de nombre para los VPC recursos, desactívela.
Para IPv4CIDRbloquear, debe introducir un rango de IPv4 direcciones paraVPC. El IPv4 rango recomendado para AWS Cloud9 es10.0.0.0/16.
(Opcional) Para soportar IPv6 el tráfico, elige IPv6CIDRbloquear, bloque proporcionado por Amazon IPv6 CIDR.
Elija una opción de tenencia. Esta opción define si EC2 las instancias que lances VPC se ejecutarán en hardware compartido con otras personas Cuentas de AWS o en hardware dedicado únicamente a tu uso. Si eliges la tenencia de la instancia futuraDefault, las EC2 instancias que se lancen VPC a VPC ella utilizarán el atributo de tenencia que se especificó al lanzar la instancia. Para obtener más información, consulta Cómo lanzar una instancia con parámetros definidos en la Guía del EC2 usuario de Amazon.

Si eliges el arrendamiento de las futuras VPCDedicated, las instancias siempre se ejecutarán como instancias dedicadas en un hardware dedicado a tu uso. Si está utilizando AWS Outposts, su Outpost requiere conectividad privada y debe utilizar el Default arrendamiento.
Para el número de zonas de disponibilidad (AZs), se recomienda aprovisionar subredes en al menos dos Availability Zones para un entorno de producción. Para elegir el AZs para sus subredes, expanda Personalizar AZs. De lo contrario, puede dejar que AWS elija el AZs por usted.
Para configurar las subredes, elija valores para Cantidad de subredes públicas y Cantidad de subredes privadas. Para elegir los rangos de direcciones IP para sus subredes, expanda Personalizar bloques de subredes CIDR. De lo contrario, deja que los AWS elijan por ti.
(Opcional) Si los recursos de una subred privada necesitan acceso a Internet público a través deIPv4: en el caso de NATlas puertas de enlace, elija el número de ellas AZs en las que desea crear NAT las puertas de enlace. En producción, le recomendamos que implemente una NAT puerta de enlace en cada zona de disponibilidad con recursos que necesiten acceso a la Internet pública.
(Opcional) Si los recursos de una subred privada necesitan acceso a la Internet pública a través deIPv6: para la puerta de enlace de Internet solo de salida, elija Sí.
(Opcional) Para acceder a Amazon S3 directamente desde su puerta de enlace VPC VPC, elija S3 Gateway. Esto crea un VPC punto de enlace de puerta de enlace para Amazon S3. Para obtener más información, consulte los VPCpuntos de enlace de la puerta de enlace en la AWS PrivateLink guía.
(Opcional) En cuanto a DNSlas opciones, ambas opciones de resolución de nombres de dominio están habilitadas de forma predeterminada. Si el valor predeterminado no satisface sus necesidades, puede deshabilitar estas opciones.
(Opcional) Para añadir una etiqueta a la tuyaVPC, expande Etiquetas adicionales, selecciona Añadir nueva etiqueta e introduce una clave de etiqueta y un valor de etiqueta.
En el panel de vista previa, puede visualizar las relaciones entre los VPC recursos que configuró. Las líneas continuas representan las relaciones entre los recursos. Las líneas punteadas representan el tráfico de red hacia NAT las puertas de enlace, las puertas de enlace de Internet y los puntos finales de las puertas de enlace. Una vez creado elVPC, puede visualizar los recursos en este formato VPC en cualquier momento mediante la pestaña Mapa de recursos.
Cuando termines de configurar tuVPC, selecciona Crear VPC.

Cree un VPC único

Utilice el siguiente procedimiento para crear una VPC sin VPC recursos adicionales mediante la VPC consola de Amazon.

Para crear una VPC sin VPC recursos adicionales utilizando la consola

Abre la VPC consola de Amazon en https://console.aws.amazon.com/vpc/.
En el VPC panel de control, selecciona Crear VPC.
Para crear recursos, elija VPCsolo.
(Opcional) En la etiqueta de nombre, introduce un nombre para tuVPC. Esta acción creará una etiqueta con una clave de Name y el valor que especifique.
Para IPv4CIDRbloquear, realice una de las siguientes acciones:
- Elija la entrada IPv4 CIDR manual e introduzca un rango de IPv4 direcciones para suVPC. El IPv4 rango recomendado AWS Cloud9 es10.0.0.0/16.
- Elija un IPv4CIDRbloque IPAM asignado, seleccione un conjunto de direcciones de Amazon VPC IP Address Manager (IPAM) IPv4 y una máscara de red. El tamaño del CIDR bloque está limitado por las reglas de asignación del IPAM grupo. IPAMes una VPC función que le ayuda a planificar, rastrear y monitorear las direcciones IP de sus AWS cargas de trabajo. Para obtener más información, consulte ¿Qué es? IPAM en la Guía del administrador de Amazon Virtual Private Cloud.
  
  Si utiliza IPAM para administrar sus direcciones IP, le recomendamos que elija esta opción. De lo contrario, el CIDR bloque que especifique VPC podría superponerse con una IPAM CIDR asignación.
(Opcional) Para crear una pila dobleVPC, especifique un rango de IPv6 direcciones para suVPC. Para IPv6CIDRbloquear, realice una de las siguientes acciones:
- Elija IPAM-assigned IPv6 CIDR block y seleccione su conjunto de IPAM IPv6 direcciones. El tamaño del CIDR bloque está limitado por las reglas de asignación del IPAM grupo.
- Para solicitar un IPv6 CIDR bloqueo de un grupo de IPv6 direcciones de Amazon, selecciona el bloque proporcionado por Amazon IPv6 CIDR. En Network Border Group, selecciona el grupo desde el que se AWS anuncian las direcciones IP. Amazon proporciona un tamaño de IPv6 CIDR bloque fijo de /56.
- Elige «IPv6CIDRpropiedad mía» para usar un IPv6 CIDR bloque que usaste para AWS usar «trae tus propias direcciones IP» () BYOIP. En Pool, elija el conjunto de IPv6 direcciones desde el que desea asignar el IPv6 CIDR bloque.
(Opcional) Elija una opción de tenencia. Esta opción define si EC2 las instancias que lances VPC se ejecutarán en hardware compartido con otras Cuentas de AWS personas o en hardware dedicado únicamente a tu uso. Si eliges la tenencia de la instancia VPC futuraDefault, EC2 las instancias que se lancen a ella VPC utilizarán el atributo de tenencia que se especificó al lanzar la instancia. Para obtener más información, consulta Cómo lanzar una instancia con parámetros definidos en la Guía del EC2 usuario de Amazon.

Si eliges el arrendamiento de las futuras VPCDedicated, las instancias siempre se ejecutarán como instancias dedicadas en un hardware dedicado a tu uso. Si está utilizando AWS Outposts, su Outpost requiere conectividad privada y debe utilizar el Default arrendamiento.
(Opcional) Para añadir una etiqueta a la suyaVPC, elija Añadir nueva etiqueta e introduzca una clave de etiqueta y un valor de etiqueta.
Selecciona Crear VPC.
Después de crear unaVPC, puede añadir subredes.

Cree una subred para AWS Cloud9

Puedes usar la VPC consola de Amazon para crear una subred compatible con AWS Cloud9. VPC La posibilidad de crear una subred pública o privada para la EC2 instancia depende de la forma en que el entorno se conecte a ella:

Acceso directo a través deSSH: solo una subred pública
Acceso a través de Systems Manager: subred pública o privada

La opción de lanzar su entorno EC2 en una subred privada solo está disponible si crea un EC2 entorno «sin entrada» mediante la consola, la línea de comandos o. AWS CloudFormation

Siga los mismos pasos para crear una subred que pueda convertirse en pública o privada. Si la subred está asociada a una tabla de enrutamiento que tiene una ruta a una gateway de internet, esta se convierte en una subred pública. No obstante, si la subred está asociada a una tabla de enrutamiento que no tiene ninguna ruta a una gateway de internet, se convierte en una subred privada. Para obtener más información, consulte Configuración de una subred como pública o privada

Si ha seguido el procedimiento anterior para crear un formulario VPC AWS Cloud9, no es necesario que también siga este procedimiento. Esto se debe a que el VPC asistente de creación nueva crea automáticamente una subred.

importante

Ya Cuenta de AWS deben tener una compatible VPC en la misma Región de AWS para el entorno. Para obtener más información, consulte los VPC requisitos enVPCRequisitos de Amazon para AWS Cloud9.
Para este procedimiento, le recomendamos que inicie sesión en la VPC consola de Amazon AWS Management Console y la abra con las credenciales de un IAM administrador de su cuenta Cuenta de AWS. Si no puedes hacerlo, ponte en contacto con tu Cuenta de AWS administrador.
Es posible que algunas organizaciones no le permitan crear subredes. Si no puede crear una subred, póngase en contacto con el Cuenta de AWS administrador o el administrador de la red.

Para crear una subred

Si la VPC consola de Amazon aún no está abierta, inicia sesión en AWS Management Console y abre la VPC consola de Amazon en https://console.aws.amazon.com/vpc.
En la barra de navegación, si Región de AWS no es lo mismo que la región del entorno, selecciona la región correcta.
Elija Subnets (Subredes) en el panel de navegación, si todavía no se muestra la página Subnets (Subredes).
Elija Create Subnet (Crear subred).
En el cuadro de diálogo Create Subnet (Crear subred), en Name tag (Etiqueta de nombre), ingrese el nombre de la subred.
Para VPC, elija la VPC a la que desea asociar la subred.
Para la zona de disponibilidad, elija la zona de disponibilidad dentro de la Región de AWS que va a utilizar la subred o elija Sin preferencias para que pueda AWS elegir una zona de disponibilidad por usted.
Para IPv4CIDRbloquear, introduzca el rango de direcciones IP que va a utilizar la subred, en CIDR formato. Este rango de direcciones IP debe ser un subconjunto de direcciones IP del. VPC

Para obtener información sobre CIDR los bloques, consulta VPC el artículo sobre el tamaño de las subredes en la Guía VPCdel usuario de Amazon. Véase también 3.1. Concepto básico y notación de prefijos en RFC 4632 o IPv4 CIDR bloques en Wikipedia.

Después de crear la subred, configúrelo como una subred pública o privada.

Configuración de una subred como pública o privada

Después de crear una subred, puede convertirla en pública o privada. Para ello, especifique cómo se comunica con internet.

Una subred pública tiene una dirección IP pública a la que se adjunta una puerta de enlace a Internet (IGW) que permite la comunicación entre la instancia de la subred e Internet y otros sitios. Servicios de AWS

Una instancia de una subred privada tiene una dirección IP privada y se utiliza una puerta de enlace de traducción de direcciones de red (NAT) para enviar tráfico de ida y vuelta entre la instancia de la subred e Internet, entre otras. Servicios de AWS La NAT puerta de enlace debe estar alojada en una subred pública.

Public subnets

nota

Incluso si la instancia de su entorno se lanza en una subred privada, VPC debe incluir al menos una subred pública. Esto se debe a que la NAT puerta de enlace que reenvía el tráfico hacia y desde la instancia debe estar alojada en una subred pública.

La configuración de una subred como pública implica adjuntarle una puerta de enlace a Internet (IGW), configurar una tabla de enrutamiento para especificar una ruta hacia ella y definir los ajustes de un grupo de seguridad para controlar el tráfico entrante y saliente. IGW

La orientación para llevar a cabo estas tareas se proporciona en Crea un VPC plus de otros VPC recursos.

importante

Si su entorno de desarrollo se utiliza SSM para acceder a una EC2 instancia, asegúrese de que la subred pública en la que se lanza asigne a la instancia una dirección IP pública. Para ello, debe habilitar la opción de asignación automática de una dirección IP pública para la subred pública y configurarla en Yes. Puedes habilitarlo en la subred pública antes de crear un AWS Cloud9 entorno en la página de configuración de la subred. Para conocer los pasos necesarios para modificar la configuración de IP de asignación automática en una subred pública, consulte Modificar el atributo de IPv4 direccionamiento público de su subred en la Guía del usuario de Amazon VPC. Para obtener más información acerca de la configuración de subredes públicas y privadas, consulte Configuración de una subred como pública o privada.

Private subnets

Si va a crear una instancia sin entrada a la que se accede a través de Systems Manager, puede lanzarla en una subred privada. Una subred privada no tiene una dirección IP pública. Por lo tanto, necesita una NAT puerta de enlace para asignar la dirección IP privada a una dirección pública para las solicitudes, y también debe volver a asignar la dirección IP pública a la dirección privada para la respuesta.

aviso

Se te cobrará por crear y usar una NAT pasarela en tu cuenta. NATSe aplican tarifas de procesamiento de datos y uso por hora de la pasarela. Amazon también EC2 cobra por la transferencia de datos. Para obtener más información, consulta los VPCprecios de Amazon.

Antes de crear y configurar la NAT puerta de enlace, debe hacer lo siguiente:

Cree una VPC subred pública para alojar la NAT puerta de enlace.
Proporcione una dirección IP elástica que se pueda asignar a la NAT puerta de enlace.
Para la subred privada, desactive la casilla Habilitar la asignación automática de IPv4 direcciones públicas para que se asigne una dirección IP privada a la instancia lanzada en ella. Para obtener más información, consulta la sección Dirección IP VPC en la Guía del VPC usuario de Amazon.

Para conocer los pasos de esta tarea, consulte Trabajar con NAT puertas de enlace en la Guía del VPC usuario de Amazon.

importante

Actualmente, si la EC2 instancia de su entorno se lanza a una subred privada, no puede usar credenciales temporales AWS administradas para permitir que el EC2 entorno acceda y Servicio de AWS en nombre de una AWS entidad, como un IAM usuario.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

EC2Entornos comparados con SSH entornos

SSHrequisitos de host del entorno