Configuración de VPC para entornos de desarrollo AWS Cloud9 - AWS Cloud9
Requisitos de Amazon VPC para AWS Cloud9Creación de una VPC y otros recursos de la VPCCrear una sola VPCCree una subred para AWS Cloud9Configuración de una subred como pública o privada

AWS Cloud9 ya no está disponible para nuevos clientes. Los clientes existentes de AWS Cloud9 pueden seguir utilizando el servicio con normalidad. Más información

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración de VPC para entornos de desarrollo AWS Cloud9

Todos los entornos de AWS Cloud9 desarrollo asociados a una Amazon Virtual Private Cloud (Amazon VPC) deben cumplir requisitos de VPC específicos. Estos entornos incluyen entornos EC2 y entornos SSH que están asociados a instancias de Nube de AWS procesamiento que se ejecutan dentro de una VPC. Los ejemplos incluyen instancias de Amazon EC2 y Amazon Lightsail.

Requisitos de Amazon VPC para AWS Cloud9

La Amazon VPC que AWS Cloud9 utiliza requiere la siguiente configuración. Si ya conoce estos requisitos y solo desea crear una instancia de VPC compatible, vaya directamente a Creación de una VPC y otros recursos de la VPC.

Utilice la siguiente lista de comprobación para confirmar que la VPC cumple todos los siguientes requisitos.

  • La VPC puede estar en el mismo entorno Cuenta de AWS y Región de AWS que el entorno de AWS Cloud9 desarrollo o la VPC puede ser una VPC compartida en un entorno diferente al del entorno. Cuenta de AWS Sin embargo, la VPC debe estar en el mismo lugar que Región de AWS el entorno. Para obtener más información sobre Amazon VPC para un Región de AWS, consulteVer una lista de VPC de una Región de AWS. Para obtener más instrucciones sobre cómo crear una Amazon VPC para AWS Cloud9, consulte. Creación de una VPC y otros recursos de la VPC Para obtener más información acerca de las VPC compartidas de Amazon, consulte Usar VPC compartidas en la Guía del usuario de Amazon VPC.

  • Una VPC debe tener una subred pública. Una subred es pública cuando su tráfico se dirige a una puerta de enlace de Internet. Para obtener una lista de las subredes de una VPC de Amazon, consulte Ver una lista de subredes de una VPC.

  • Si su entorno está accediendo a su instancia de EC2 directamente a través de SSH, la instancia solo se puede lanzar en una subred pública. Para obtener información sobre cómo confirmar si una subred es pública, consulte Confirmar si una subred es pública.

  • Si va a acceder a una Instancia de Amazon EC2 sin entrada mediante Systems Manager, la instancia se puede lanzar en una subred pública o privada.

  • Si utiliza una subred pública, adjunte una puerta de enlace de Internet a la VPC. Esto es para que el AWS Systems Manager Agent (SSM Agent) de la instancia pueda conectarse a Systems Manager.

  • Si utiliza una subred privada, permita que la instancia de la subred se comunique con internet mediante el alojamiento de una gateway NAT en una subred pública. Para obtener más información acerca de la visualización o el cambio de la configuración de una puerta de enlace de Internet, consulte Ver o cambiar la configuración de una gateway de internet

  • La subred pública debe tener una tabla de enrutamiento con un conjunto mínimo de rutas. Para saber cómo confirmar si una subred tiene una tabla de enrutamiento, consulte Confirmar si una subred tiene una tabla de enrutamiento. Para obtener información sobre cómo crear una tabla de enrutamiento, consulte Crear una tabla de enrutamiento.

  • Los grupos de seguridad asociados a la VPC (o a la instancia de Nube de AWS procesamiento, según la arquitectura) deben permitir un conjunto mínimo de tráfico entrante y saliente. Para obtener una lista de los grupos de seguridad de una Amazon VPC, consulte Ver una lista de los grupos de seguridad de una VPC. Para obtener más información sobre la creación de un grupo de seguridad en una Amazon VPC, consulte Crear un grupo de seguridad en una VPC.

  • Para una capa adicional de seguridad, si la VPC tiene una ACL de red, esta debe permitir un conjunto mínimo de tráfico entrante y saliente. Para confirmar si una Amazon VPC tiene al menos una red de ACL, consulte Confirmar si una VPC tiene al menos una ACL de red. Para obtener más información acerca de la creación de una ACL de red, consulte Create a network ACL (Crear una ACL de red).

  • Si el entorno de desarrollo usa SSM para acceder a una instancia de EC2, asegúrese de que la subred pública en la que se lanza la instancia asigna una dirección IP pública a la instancia. Para ello, debe habilitar la opción de asignación automática de una dirección IP pública para la subred pública y configurarla en Yes. Puede habilitarla en la subred pública antes de crear un entorno AWS Cloud9 en la página de configuración de la subred. Para consultar los pasos necesarios para modificar la configuración de asignación automática de IP en una subred pública, consulte Modify the public IPv4 addressing attribute for your subnet en la Guía del usuario de Amazon VPC. Para obtener más información acerca de la configuración de subredes públicas y privadas, consulte Configuración de una subred como pública o privada.

nota

Para realizar los siguientes procedimientos, inicie sesión AWS Management Console y utilice las credenciales de administrador para abrir la consola Amazon VPC (https://console.aws.amazon.com/vpc) o la consola Amazon EC2 (https://console.aws.amazon.com/ec2).

Si utiliza la AWS CLI o la AWS CloudShell, le recomendamos que configure la AWS CLI o AWS CloudShell con las credenciales de un administrador en la suya. Cuenta de AWS Si no puede hacerlo, consulte con su Cuenta de AWS administrador.

Ver una lista de VPC de una Región de AWS

Para usar la consola Amazon VPC, en la barra de AWS navegación, selecciona la Región de AWS que AWS Cloud9 crea el entorno. Después, elija Your VPCs (Sus VPC) en el panel de navegación.

Para utilizar el AWS CLI o el AWS CloudShell, ejecute el describe-vpcscomando Amazon EC2, por ejemplo, de la siguiente manera.

aws ec2 describe-vpcs --output table --query 'Vpcs[*].VpcId' --region us-east-2

En el comando anterior, us-east-2 sustitúyalo por el Región de AWS que AWS Cloud9 crea el entorno. Para ejecutar el comando anterior en Windows, reemplace las comillas simples (' ') por comillas dobles (" "). Para ejecutar el comando anterior con el aws-shell, omita aws.

El resultado contiene la lista de los ID de VPC.

Ver una lista de subredes de una VPC

Para utilizar la consola de Amazon VPC, elija Your VPCs (Sus VPC) en el panel de navegación. Anote el ID de la VPC de la columna VPC ID (ID de VPC). A continuación, elija Subnets (Subredes) en el panel de navegación y busque subredes que contengan ese ID en la columna VPC.

Para utilizar el AWS CLI o elaws-shell, ejecute el describe-subnetscomando Amazon EC2, por ejemplo, de la siguiente manera.

aws ec2 describe-subnets --output table --query 'Subnets[*].[SubnetId,VpcId]' --region us-east-2

En el comando anterior, us-east-2 sustitúyalo por el Región de AWS que contiene las subredes. Para ejecutar el comando anterior en Windows, reemplace las comillas simples (' ') por comillas dobles (" "). Para ejecutar el comando anterior con el aws-shell, omita aws.

En la salida, busque las subredes que coincidan con el ID de la VPC.

Confirmar si una subred es pública

importante

Supongamos que está lanzando la instancia de EC2 de su entorno en una subred privada. Asegúrese de que se permite el tráfico saliente para esa instancia para que pueda conectarse al servicio SSM. Para las subredes privadas, el tráfico saliente se configura normalmente a través de una gateway de traducción de direcciones de red (NAT) o de puntos de enlace de la VPC. (Una puerta de enlace NAT requiere una subred pública).

Supongamos que elige puntos de conexión de VPC en lugar de una puerta de enlace NAT para acceder a SSM. Es posible que las actualizaciones automáticas y los parches de seguridad de la instancia no funcionen si dependen del acceso a Internet. Puede usar otras aplicaciones, como AWS Systems Manager Patch Manager, para administrar cualquier actualización de software que pueda necesitar su entorno. AWS Cloud9 el software se actualizará con normalidad.

Para usar la consola de Amazon VPC, elija Subnets (Subredes) en el panel de navegación. Seleccione la casilla situada junto a la subred que desee AWS Cloud9 utilizar. En la pestaña Route Table (Tabla de enrutamiento), si hay una entrada en la columna Target (Destino) que comience por igw-, la subred es pública.

Para utilizar el AWS CLI oaws-shell, ejecute el comando Amazon EC2 describe-route-tables.

aws ec2 describe-route-tables --output table --query 'RouteTables[*].Routes[*].{GatewayIds:GatewayId}' --region us-east-2 --filters Name=association.subnet-id,Values=subnet-12a3456b

En el comando anterior, us-east-2 sustitúyalo por el Región de AWS que contiene la subred y sustitúyelo por el ID subnet-12a3456b de subred. Para ejecutar el comando anterior en Windows, reemplace las comillas simples (' ') por comillas dobles (" "). Para ejecutar el comando anterior con el aws-shell, omita aws.

En la salida, si hay al menos un resultado que comience por igw-, la subred es pública.

En la salida, si no hay resultados, la tabla de enrutamiento podría estar asociada con la VPC en lugar de estarlo con la subred. Para confirmarlo, ejecute el comando describe-route-tables de Amazon EC2 para la VPC relacionada con la subred en lugar de la propia subred, por ejemplo, como se indica a continuación.

aws ec2 describe-route-tables --output table --query 'RouteTables[*].Routes[*].{GatewayIds:GatewayId}' --region us-east-1 --filters Name=vpc-id,Values=vpc-1234ab56

En el comando anterior, us-east-2 sustitúyalo por el Región de AWS que contiene la VPC y sustitúyalo por el ID vpc-1234ab56 de VPC. Para ejecutar el comando anterior en Windows, reemplace las comillas simples (' ') por comillas dobles (" "). Para ejecutar el comando anterior con el aws-shell, omita aws.

En la salida, si hay al menos un resultado que comience por igw-, la VPC contiene una gateway de internet.

Ver o cambiar la configuración de una gateway de internet

Para usar la consola de Amazon VPC, elija Internet Gateways (Gateways de Internet) en el panel de navegación. Seleccione la casilla situada junto a la gateway de Internet. Para ver la configuración, fíjese en cada una de las pestañas. Para cambiar una configuración de una pestaña, elija Edit (Editar), si corresponde, y siga las instrucciones en pantalla.

Para usar AWS CLI o aws-shell para ver la configuración, ejecute el comando Amazon EC2 describe-internet-gateways.

aws ec2 describe-internet-gateways --output table --region us-east-2 --internet-gateway-id igw-1234ab5c

En el comando anterior, us-east-2 sustitúyalo por el Región de AWS que contiene la puerta de enlace a Internet y sustitúyalo por igw-1234ab5c el ID de la puerta de enlace a Internet. Para ejecutar el comando anterior con el aws-shell, omita aws.

Cree un puerta de enlace de Internet

Para usar la consola de Amazon VPC, elija Internet Gateways (Gateways de Internet) en el panel de navegación. Elija Create Internet Gateway (Crear gateway de Internet) y siga las instrucciones en pantalla.

Para utilizar el AWS CLI oaws-shell, ejecute el comando Amazon EC2 create-internet-gateway.

aws ec2 create-internet-gateway --output text --query 'InternetGateway.InternetGatewayId' --region us-east-2

En el comando anterior, us-east-2 sustitúyalo por el Región de AWS que contiene la nueva puerta de enlace a Internet. Para ejecutar el comando anterior en Windows, reemplace las comillas simples (' ') por comillas dobles (" "). Para ejecutar el comando anterior con el aws-shell, omita aws.

La salida contiene el ID de la nueva gateway de Internet.

Adjuntar un puerta de enlace de Internet a una VPC

Para usar la consola de Amazon VPC, elija Internet Gateways (Gateways de Internet) en el panel de navegación. Seleccione la casilla situada junto a la gateway de Internet. Elija Actions, Attach to VPC (Acciones, Asociar a VPC), si está disponible, y siga las instrucciones en pantalla.

Para utilizar el AWS CLI o elaws-shell, ejecute el attach-internet-gatewaycomando Amazon EC2, por ejemplo, de la siguiente manera.

aws ec2 attach-internet-gateway --region us-east-2 --internet-gateway-id igw-a1b2cdef --vpc-id vpc-1234ab56

En el comando anterior, us-east-2 sustitúyalo por el Región de AWS que contiene la puerta de enlace a Internet. Reemplace igw-a1b2cdef por el ID de puerta de enlace de Internet. Y reemplace vpc-1234ab56 por el ID de VPC. Para ejecutar el comando anterior con el aws-shell, omita aws.

Confirmar si una subred tiene una tabla de enrutamiento

Para usar la consola de Amazon VPC, elija Subnets (Subredes) en el panel de navegación. Seleccione la casilla situada junto a la subred pública de la VPC que AWS Cloud9 desee utilizar. En la pestaña Route table (Tabla de enrutamiento), si hay un valor para Route Table (Tabla de enrutamiento), la subred pública tiene una tabla de enrutamiento.

Para utilizar el AWS CLI oaws-shell, ejecute el comando Amazon EC2 describe-route-tables.

aws ec2 describe-route-tables --output table --query 'RouteTables[*].Associations[*].{RouteTableIds:RouteTableId}' --region us-east-2 --filters Name=association.subnet-id,Values=subnet-12a3456b

En el comando anterior, us-east-2 sustitúyalo por el Región de AWS que contiene la subred pública y sustitúyelo por el subnet-12a3456b ID de subred pública. Para ejecutar el comando anterior en Windows, reemplace las comillas simples (' ') por comillas dobles (" "). Para ejecutar el comando anterior con el aws-shell, omita aws.

Si hay valores en la salida, la subred pública tiene al menos una tabla de ruteo.

En la salida, si no hay resultados, la tabla de enrutamiento podría estar asociada con la VPC en lugar de estarlo con la subred. Para confirmarlo, ejecute el comando describe-route-tables de Amazon EC2 para la VPC relacionada con la subred en lugar de la propia subred, por ejemplo, como se indica a continuación.

aws ec2 describe-route-tables --output table --query 'RouteTables[*].Associations[*].{RouteTableIds:RouteTableId}' --region us-east-2 --filters Name=vpc-id,Values=vpc-1234ab56

En el comando anterior, us-east-2 sustitúyalo por el Región de AWS que contiene la VPC y sustitúyalo por el ID vpc-1234ab56 de VPC. Para ejecutar el comando anterior en Windows, reemplace las comillas simples (' ') por comillas dobles (" "). Para ejecutar el comando anterior con el aws-shell, omita aws.

En la salida, si hay al menos un resultado, la VPC tiene al menos una tabla de enrutamiento.

Adjuntar una tabla de enrutamiento a una subred

Para usar la consola de Amazon VPC, elija Route Tables (Tablas de enrutamiento) en el panel de navegación. Seleccione la casilla situada junto a la tabla de ruteo que desea asociar. En la pestaña Subnet Associations (Asociaciones de subred), elija Edit (Editar), active la casilla situada junto a la subred a la que desea asociarla y, a continuación, elija Save (Guardar).

Para utilizar el AWS CLI o elaws-shell, ejecute el associate-route-tablecomando Amazon EC2, por ejemplo, de la siguiente manera.

aws ec2 associate-route-table --region us-east-2 --subnet-id subnet-12a3456b --route-table-id rtb-ab12cde3

En el comando anterior, us-east-2 sustitúyalo por el Región de AWS que contiene la tabla de rutas. Reemplace subnet-12a3456b por el ID de subred. Y reemplace rtb-ab12cde3 por el ID de la tabla de enrutamiento. Para ejecutar el comando anterior con el aws-shell, omita aws.

Crear una tabla de enrutamiento

Para usar la consola de Amazon VPC, elija Route Tables (Tablas de enrutamiento) en el panel de navegación. Elija Create Route Table (Crear tabla de ruteo de Internet) y luego siga las instrucciones en pantalla.

Para utilizar el AWS CLI o elaws-shell, ejecute el create-route-tablecomando Amazon EC2, por ejemplo, de la siguiente manera.

aws ec2 create-route-table --output text --query 'RouteTable.RouteTableId' --region us-east-2 --vpc-id vpc-1234ab56

En el comando anterior, us-east-2 sustitúyalo por el Región de AWS que contiene la nueva tabla de enrutamiento y vpc-1234ab56 sustitúyelo por el ID de VPC. Para ejecutar el comando anterior en Windows, reemplace las comillas simples (' ') por comillas dobles (" "). Para ejecutar el comando anterior con el aws-shell, omita aws.

La salida contiene el ID de la nueva tabla de ruteo.

Ver o cambiar la configuración de una tabla de enrutamiento

Para usar la consola de Amazon VPC, elija Route Tables (Tablas de enrutamiento) en el panel de navegación. Seleccione la casilla de verificación que hay junto a la tabla de ruteo. Para ver la configuración, fíjese en cada una de las pestañas. Para cambiar una configuración de una pestaña, elija Edit (Editar) y luego siga las instrucciones en pantalla.

Para usar AWS CLI o aws-shell para ver la configuración, ejecute el describe-route-tablescomando Amazon EC2, por ejemplo, de la siguiente manera.

aws ec2 describe-route-tables --output table --region us-east-2 --route-table-ids rtb-ab12cde3

En el comando anterior, us-east-2 sustitúyalo por el Región de AWS que contiene la tabla de rutas y sustitúyalo por rtb-ab12cde3 el ID de la tabla de rutas. Para ejecutar el comando anterior con el aws-shell, omita aws.

Configuración mínima sugerida de la tabla de rutas para AWS Cloud9

Destino Destino Status Propagado

CIDR-BLOCK

local

Activo

No

0.0.0.0/0

igw-INTERNET-GATEWAY-ID

Activo

No

En esta configuración, CIDR-BLOCK es el bloque de CIDR de la subred y igw-INTERNET-GATEWAY-ID es el ID de una gateway de internet compatible.

Ver una lista de los grupos de seguridad de una VPC

Para usar la consola de Amazon VPC, elija Security Groups (Grupos de seguridad) en el panel de navegación. En el cuadro Search Security Groups (Buscar grupos de seguridad), ingrese el ID o el nombre de la VPC y, a continuación, pulse Enter. Los grupos de seguridad de esa VPC aparecen en la lista de resultados de búsqueda.

Para utilizar el AWS CLI oaws-shell, ejecute el comando Amazon EC2 describe-security-groups.

aws ec2 describe-security-groups --output table --query 'SecurityGroups[*].GroupId' --region us-east-2 --filters Name=vpc-id,Values=vpc-1234ab56

En el comando anterior, us-east-2 sustitúyalo por el Región de AWS que contiene la VPC y sustitúyalo por el ID vpc-1234ab56 de VPC. Para ejecutar el comando anterior en Windows, reemplace las comillas simples (' ') por comillas dobles (" "). Para ejecutar el comando anterior con el aws-shell, omita aws.

La salida contiene la lista de ID de grupo de seguridad para esa VPC.

Consulta una lista de grupos de seguridad de una instancia de procesamiento Nube de AWS

Para usar la consola de Amazon EC2, expanda Instances (Instancias) en el panel de navegación, y, a continuación, elija Instances (Instancias). En la lista de instancias, active la casilla situada junto a la instancia. Los grupos de seguridad de esa instancia aparecen en la pestaña Description (Descripción) junto a Security groups (Grupos de seguridad).

Para utilizar el AWS CLI o elaws-shell, ejecute el describe-security-groupscomando Amazon EC2, por ejemplo, de la siguiente manera.

aws ec2 describe-instances --output table --query 'Reservations[*].Instances[*].NetworkInterfaces[*].Groups[*].GroupId' --region us-east-2 --instance-ids i-12a3c456d789e0123

En el comando anterior, us-east-2 sustitúyalo por el Región de AWS que contiene la instancia y i-12a3c456d789e0123 sustitúyelo por el ID de la instancia. Para ejecutar el comando anterior en Windows, reemplace las comillas simples (' ') por comillas dobles (" "). Para ejecutar el comando anterior con el aws-shell, omita aws.

La salida contiene la lista de ID de grupo de seguridad para esa instancia.

Ver o cambiar la configuración de un grupo de seguridad en una VPC

Para usar la consola de Amazon VPC, elija Security Groups (Grupos de seguridad) en el panel de navegación. Seleccione la casilla de verificación situada junto al grupo de seguridad. Para ver la configuración, fíjese en cada una de las pestañas. Para cambiar una configuración de una pestaña, elija Edit (Editar), si corresponde, y siga las instrucciones en pantalla.

Para usar AWS CLI o aws-shell para ver la configuración, ejecute el describe-security-groupscomando Amazon EC2, por ejemplo, de la siguiente manera.

aws ec2 describe-security-groups --output table --region us-east-2 --group-ids sg-12a3b456

En el comando anterior, us-east-2 sustitúyalo por el Región de AWS que contiene la instancia y sg-12a3b456 sustitúyelo por el ID del grupo de seguridad. Para ejecutar el comando anterior con el aws-shell, omita aws.

Vea o cambie la configuración de un grupo de seguridad de instancias de Nube de AWS cómputo

Para usar la consola de Amazon EC2, expanda Instances (Instancias) en el panel de navegación, y, a continuación, elija Instances (Instancias). En la lista de instancias, marque la casilla situada junto a la instancia. En la pestaña Description (Descripción), en Security groups (Grupos de seguridad), elija el grupo de seguridad. Consulte cada una de las pestañas. Para cambiar una configuración de una pestaña, elija Edit (Editar), si corresponde, y siga las instrucciones en pantalla.

Para usar AWS CLI o aws-shell para ver la configuración, ejecute el describe-security-groupscomando Amazon EC2, por ejemplo, de la siguiente manera.

aws ec2 describe-security-groups --output table --region us-east-2 --group-ids sg-12a3b456

En el comando anterior, us-east-2 sustitúyalo por el Región de AWS que contiene la instancia y sg-12a3b456 sustitúyelo por el ID del grupo de seguridad. Para ejecutar el comando anterior con el aws-shell, omita aws.

Configuración mínima de tráfico entrante y saliente para AWS Cloud9

importante

Es posible que el grupo de seguridad de una instancia no tenga una regla de entrada. Si es así, esto significa que no se permitirá que el tráfico que procede de otro host entre en la instancia. Para obtener información sobre el uso de instancias de EC2 sin entrada, consulte Acceso a instancias de EC2 sin entrada con AWS Systems Manager.

  • Entrada: Todas las direcciones IP que usan SSH a través del puerto 22. Sin embargo, puede restringir estas direcciones IP solo a las que AWS Cloud9 las utilice. Para obtener más información, consulte Intervalos de direcciones IP de entrada con SSH para AWS Cloud9.

    nota

    Para los entornos EC2 que se crean a partir del 31 de julio de 2018, AWS Cloud9 utiliza grupos de seguridad para restringir las direcciones IP entrantes mediante SSH a través del puerto 22. Estas direcciones IP entrantes son específicamente las direcciones que utiliza. AWS Cloud9 Para obtener más información, consulte Intervalos de direcciones IP de entrada con SSH para AWS Cloud9.

  • Entrada (solo ACL de red): para los entornos de EC2 y para los entornos de SSH asociados con instancias de Amazon EC2 que ejecutan Amazon Linux o Ubuntu Server, todas las direcciones IP que usan TCP en los puertos 32768-61000. Para obtener más información, así como los rangos de puertos de otros tipos de instancias de Amazon EC2, consulte Puertos efímeros en la Guía del usuario de Amazon VPC.

  • Salida: todos los orígenes de tráfico con cualquier protocolo y puerto.

Puede configurar este comportamiento en el nivel del grupo de seguridad. Para un nivel adicional de seguridad, también puede utilizar una ACL de red. Para obtener más información, consulteComparación de grupos de seguridad y ACL de red en la Guía del usuario de Amazon VPC.

Por ejemplo, para añadir reglas de entrada y salida a un grupo de seguridad, configure dichas reglas tal y como se indica a continuación.

Reglas de entrada
Tipo Protocolo Rango de puerto Origen

SSH (22)

TCP (6)

22

0.0.0.0 (pero consulte la siguiente nota y los Intervalos de direcciones IP de entrada con SSH para AWS Cloud9.)
nota

Para los entornos EC2 que se crean a partir del 31 de julio de 2018, AWS Cloud9 agrega una regla de entrada para restringir las direcciones IP entrantes mediante SSH a través del puerto 22. Esto se limita específicamente a las direcciones que utiliza. AWS Cloud9 Para obtener más información, consulte Intervalos de direcciones IP de entrada con SSH para AWS Cloud9.

Reglas de salida
Tipo Protocolo Rango de puerto Origen

Todo el tráfico

ALL

ALL

0.0.0.0/0

Si también decide añadir reglas de entrada y salida a una ACL de red, configure dichas reglas tal y como se indica a continuación.

Reglas de entrada
Regla n.º Tipo Protocolo Rango de puerto Origen Permitir/Denegar

100

SSH (22)

TCP (6)

22

0.0.0.0 (pero consulte los Intervalos de direcciones IP de entrada con SSH para AWS Cloud9.)

PERMITIR

200

Regla TCP personalizada

TCP (6)

32768-61000 (para las instancias de Amazon Linux y Ubuntu Server. Para otros tipos de instancias, consulte Puertos efímeros).

0.0.0.0/0

PERMITIR

*

Todo el tráfico

ALL

ALL

0.0.0.0/0

DENY

Reglas de salida
Regla n.º Tipo Protocolo Rango de puerto Origen Permitir/Denegar

100

Todo el tráfico

ALL

ALL

0.0.0.0/0

PERMITIR

*

Todo el tráfico

ALL

ALL

0.0.0.0/0

DENY

Para obtener más información acerca de los grupos de seguridad y las ACL de red, consulte lo siguiente en la Guía del usuario de Amazon VPC.

Crear un grupo de seguridad en una VPC

Para utilizar las consolas de Amazon VPC o Amazon EC2, realice una de las siguientes acciones:

  • En la consola de Amazon VPC, elija Security Groups (Grupos de seguridad) en el panel de navegación. Elija Create Security Group (Crear grupo de seguridad) y luego siga las instrucciones en pantalla.

  • En la consola de Amazon EC2, expanda Network & Security (Red y seguridad) en el panel de navegación y, a continuación, elija Security Groups (Grupos de seguridad). Elija Create Security Group (Crear grupo de seguridad) y luego siga las instrucciones en pantalla.

Para utilizar el AWS CLI o elaws-shell, ejecute el create-security-groupcomando Amazon EC2, por ejemplo, de la siguiente manera.

aws ec2 create-security-group --region us-east-2 --vpc-id vpc-1234ab56

En el comando anterior, us-east-2 sustitúyalo por el Región de AWS que contiene la VPC y sustitúyalo por el ID vpc-1234ab56 de VPC. Para ejecutar el comando anterior con el aws-shell, omita aws.

Confirmar si una VPC tiene al menos una ACL de red

Para utilizar la consola de Amazon VPC, elija Your VPCs (Sus VPC) en el panel de navegación. Selecciona la casilla situada junto a la VPC que quieres AWS Cloud9 usar. En la pestaña Summary (Resumen), si hay un valor para Network ACL (ACL de red), la VPC tiene al menos una ACL de red.

Para utilizar el AWS CLI oaws-shell, ejecute el comando Amazon EC2 describe-network-acls.

aws ec2 describe-network-acls --output table --query 'NetworkAcls[*].Associations[*].NetworkAclId' --region us-east-2 --filters Name=vpc-id,Values=vpc-1234ab56

En el comando anterior, us-east-2 sustitúyalo por el Región de AWS que contiene la VPC y sustitúyalo por el ID vpc-1234ab56 de VPC. Para ejecutar el comando anterior en Windows, reemplace las comillas simples (' ') por comillas dobles (" "). Para ejecutar el comando anterior con el aws-shell, omita aws.

Si la salida contiene al menos una entrada en la lista, la VPC tiene al menos una ACL de red.

Ver una lista de las ACL de red para una VPC

Para usar la consola de Amazon VPC, elija Network ACLs (ACL de red) en el panel de navegación. En el cuadro Search Network ACLs (ACL de red de búsqueda), ingrese el ID o el nombre de la VPC y, a continuación, pulse Enter. Las ACL de red para esa VPC aparecen en la lista de resultados de búsqueda.

Para utilizar el AWS CLI oaws-shell, ejecute el comando Amazon EC2 describe-network-acls.

aws ec2 describe-network-acls --output table --query 'NetworkAcls[*].Associations[*].NetworkAclId' --region us-east-2 --filters Name=vpc-id,Values=vpc-1234ab56

En el comando anterior, us-east-2 sustitúyalo por el Región de AWS que contiene la VPC y sustitúyalo por el ID vpc-1234ab56 de VPC. Para ejecutar el comando anterior en Windows, reemplace las comillas simples (' ') por comillas dobles (" "). Para ejecutar el comando anterior con el aws-shell, omita aws.

La salida contiene una lista de ACL de red para esa VPC.

Ver o cambiar la configuración de una ACL de red

Para usar la consola de Amazon VPC, elija Network ACLs (ACL de red) en el panel de navegación. Active la casilla que hay junto a la ACL de red. Para ver la configuración, fíjese en cada una de las pestañas. Para cambiar una opción de configuración de una pestaña, elija Edit (Editar), si corresponde, y siga las instrucciones en pantalla.

Para usar AWS CLI o aws-shell para ver la configuración, ejecute el comando Amazon EC2 describe-network-acls.

aws ec2 describe-network-acls --output table --region us-east-2 --network-acl-ids acl-1234ab56

En el comando anterior, us-east-2 sustitúyalo por el Región de AWS que contiene la ACL de red y sustitúyalo por acl-1234ab56 el ID de ACL de red. Para ejecutar el comando anterior con el aws-shell, omita aws.

Create a network ACL (Crear una ACL de red)

Para usar la consola de Amazon VPC, elija Network ACLs (ACL de red) en el panel de navegación. Elija Create Network ACL (Crear ACL de red) y luego siga las instrucciones en pantalla.

Para utilizar el AWS CLI oaws-shell, ejecute el comando Amazon EC2 create-network-acl.

aws ec2 create-network-acl --region us-east-2 --vpc-id vpc-1234ab56

En el comando anterior, us-east-2 sustitúyalo por el Región de AWS que contiene la VPC a la que quieres conectar la nueva ACL de red. Además, reemplace vpc-1234ab56 por el ID de la VPC. Para ejecutar el comando anterior con el aws-shell, omita aws.

Creación de una VPC y otros recursos de la VPC

Utilice el siguiente procedimiento para crear una VPC y los recursos adicionales de la VPC que necesita para ejecutar su aplicación. Los recursos de VPC incluyen subredes, tablas de enrutamiento, puertas de enlace de Internet y puertas de enlace NAT.

Para crear una VPC, subredes y otros recursos de la VPC mediante la consola

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de VPC, elija Create VPC (Crear VPC).

  3. En Recursos para crear, elija VPC y más.

  4. Para crear etiquetas de nombre para los recursos de la VPC, mantenga seleccionada la generación automática de etiquetas de nombre. Para proporcionar sus propias etiquetas de nombre para los recursos de la VPC, desactívela.

  5. En Bloque CIDR de IPv4, debe introducir un rango de direcciones IPv4 para la VPC. El rango de IPv4 recomendado es. AWS Cloud9 10.0.0.0/16

  6. (Opcional) Para admitir tráfico IPv6, elija Bloque CIDR de IPv6 y Bloque CIDR de IPv6 proporcionado por Amazon.

  7. Elija una opción de tenencia. Esta opción define si las instancias de EC2 que lance en la VPC se ejecutarán en hardware compartido con otras Cuentas de AWS o en hardware dedicado para su uso exclusivo. Si elige que la tenencia de la VPC sea Default, las instancias de EC2 lanzadas en esta VPC utilizarán el atributo de tenencia especificado al lanzar la instancia. Para obtener más información, consulte Lanzar una instancia con parámetros definidos en la Guía del usuario de Amazon EC2.

    Si elige que la tenencia de la VPC sea Dedicated, las instancias siempre se ejecutarán como Instancias dedicadas en hardware dedicado para su uso. Si está utilizando AWS Outposts, su Outpost requiere conectividad privada, y debe usar la tenencia Default.

  8. Para el Número de zonas de disponibilidad (AZ), le recomendamos que proporcione subredes en, al menos, dos Availability Zones para un entorno de producto. Para elegir las AZ para las subredes, expanda Personalizar AZ. De lo contrario, puede dejar que AWS elija las AZ por usted.

  9. Para configurar las subredes, elija valores para Cantidad de subredes públicas y Cantidad de subredes privadas. Para elegir los rangos de direcciones IP para las subredes, expanda Personalizar bloques CIDR de subredes. De lo contrario, deja que los AWS elijan por ti.

  10. (Opcional) Si los recursos de una subred privada necesitan acceso a la Internet pública a través de IPv4: para las puertas de enlace NAT, elija la cantidad de AZ en las que se crearán puertas de enlace NAT. En producción, se recomienda implementar una puerta de enlace de NAT en cada AZ con recursos que necesiten acceso a la Internet pública.

  11. (Opcional) Si los recursos de una subred privada necesitan acceso a la Internet pública a través de IPv6: para Puerta de enlace de Internet solo de salida, elija .

  12. (Opcional) Para acceder a Amazon S3 directamente desde su VPC, elija Puntos de conexión de VPC, Puerta de enlace de S3. Se crea un punto de conexión de VPC de puerta de enlace para Amazon S3. Para obtener más información, consulte Puntos de conexión de VPC de puerta de enlace en la Guía de AWS PrivateLink .

  13. (Opcional) En Opciones de DNS, ambas opciones de resolución de nombres de dominio están activadas de forma predeterminada. Si el valor predeterminado no satisface sus necesidades, puede deshabilitar estas opciones.

  14. (Opcional) Para agregar una etiqueta a su VPC, expanda Etiquetas adicionales, elija Agregar etiqueta nueva e ingrese una clave y un valor de etiqueta.

  15. En el panel Vista previa, puede visualizar las relaciones entre los recursos de la VPC que configuró. Las líneas continuas representan las relaciones entre los recursos. Las líneas punteadas representan el tráfico de red a las puertas de enlace de NAT, las puertas de enlace de Internet y los puntos de conexión de las puertas de enlace. Una vez que creó la VPC, puede visualizar los recursos de la VPC en este formato en cualquier momento en la pestaña Mapa de recursos.

  16. Cuando termine de configurar la VPC, elija Crear VPC.

Crear una sola VPC

Utilice el siguiente procedimiento para crear una VPC sin recursos adicionales mediante la consola de Amazon VPC.

Para crear una VPC sin recursos adicionales de VPC mediante la consola

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de VPC, elija Create VPC (Crear VPC).

  3. En Recursos para crear, elija Solo VPC.

  4. (Opcional) En Etiqueta de nombre, ingrese un nombre para su VPC. Esta acción creará una etiqueta con una clave de Name y el valor que especifique.

  5. Para IPv4 CIDR block (Bloque de CIDR de IPv4), realice una de las siguientes operaciones:

    • Elija Entrada manual de CIDR de IPv4 e ingrese un rango de direcciones IPv4 para su VPC. El rango de IPv4 recomendado para AWS Cloud9 es10.0.0.0/16.

    • Elija el bloque de CIDR IPv4 asignado por IPAM, seleccione su grupo de direcciones IPv4 del Administrador de direcciones IP (IPAM) de Amazon VPC y una máscara de red. El tamaño del bloque CIDR está limitado por las reglas de asignación del grupo de IPAM. IPAM es una función de VPC que le ayuda a planificar, rastrear y monitorear las direcciones IP de sus cargas de AWS trabajo. Para obtener más información, consulte ¿Qué es IPAM? en la Guía del administrador de Amazon Virtual Private Cloud.

      Si utiliza IPAM para administrar las direcciones IP, le recomendamos que elija esta opción. De lo contrario, el bloque CIDR que especifique para la VPC podría superponerse con una asignación de CIDR de IPAM.

  6. (Opcional) Para crear una VPC de doble pila, especifique un rango de direcciones IPv6 para la VPC. Para IPv6 CIDR block (Bloque de CIDR de IPv6), realice una de las siguientes operaciones:

    • Elija Bloque CIDR de IPv6 asignado por IPAM y seleccione el grupo de direcciones IPv6 de IPAM. El tamaño del bloque CIDR está limitado por las reglas de asignación del grupo de IPAM.

    • Elija un bloque CIDR de IPv6 proporcionado por Amazon para solicitar un bloque CIDR de IPv6 de un grupo de direcciones IPv6 de Amazon. En Network Border Group, selecciona el grupo desde el que se AWS anuncian las direcciones IP. Amazon proporciona un tamaño de bloque de CIDR de IPv6 fijo de /56.

    • Elija el CIDR de IPv6 de mi propiedad para usar un bloque de CIDR de IPv6 que utilizó BYOIP (BYOIP). AWS En Grupo, elija el grupo de direcciones IPv6 desde el que desea asignar el bloque de CIDR IPv6.

  7. (Opcional) Elija una opción de tenencia. Esta opción define si las instancias EC2 que lance en la VPC se ejecutarán en hardware compartido con Cuentas de AWS otros o en hardware dedicado únicamente a su uso. Si elige que la tenencia de la VPC sea Default, las instancias de EC2 lanzadas en esta VPC utilizarán el atributo de tenencia especificado al lanzar la instancia. Para obtener más información, consulte Lanzar una instancia con parámetros definidos en la Guía del usuario de Amazon EC2.

    Si elige que la tenencia de la VPC sea Dedicated, las instancias siempre se ejecutarán como Instancias dedicadas en hardware dedicado para su uso. Si está utilizando AWS Outposts, su Outpost requiere conectividad privada, y debe usar la tenencia Default.

  8. (Opcional) Para agregar una etiqueta a su VPC, elija Agregar etiqueta nueva e ingrese una clave y un valor de etiqueta.

  9. Seleccione Crear VPC.

  10. Una vez creada una VPC, podrá agregar las subredes.

Cree una subred para AWS Cloud9

Puede usar la consola de Amazon VPC para crear una subred para una VPC que sea compatible con. AWS Cloud9 El hecho de que pueda crear una subred privada o pública para su instancia de EC2 depende de cómo se conecte su entorno a ella:

  • Acceso directo a través de SSH: solo subred pública

  • Acceso a través de Systems Manager: subred pública o privada

La opción de lanzar el EC2 de su entorno en una subred privada solo está disponible si crea un entorno de EC2 “sin entrada” mediante la consola, la línea de comandos o AWS CloudFormation.

Siga los mismos pasos para crear una subred que pueda convertirse en pública o privada. Si la subred está asociada a una tabla de enrutamiento que tiene una ruta a una gateway de internet, esta se convierte en una subred pública. No obstante, si la subred está asociada a una tabla de enrutamiento que no tiene ninguna ruta a una gateway de internet, se convierte en una subred privada. Para obtener más información, consulte Configuración de una subred como pública o privada

Si ha seguido el procedimiento anterior para crear una VPC AWS Cloud9, no es necesario que también siga este procedimiento. Esto se debe a que el asistente para Create new VPC (Crear nueva VPC) crea una subred automáticamente.

importante

  • Cuenta de AWS Deben tener ya una VPC compatible en la misma Región de AWS para el entorno. Para obtener más información, consulte los requisitos de VPC en Requisitos de Amazon VPC para AWS Cloud9.

  • Para este procedimiento, le recomendamos que inicie sesión en la consola de Amazon VPC AWS Management Console y la abra con las credenciales de un administrador de IAM en su cuenta. Cuenta de AWS Si no puede hacerlo, consulte con su Cuenta de AWS administrador.

  • Es posible que algunas organizaciones no le permitan crear subredes. Si no puede crear una subred, póngase en contacto con el Cuenta de AWS administrador o el administrador de la red.

Para crear una subred

  1. Si la consola de Amazon VPC aún no está abierta, inicie sesión AWS Management Console y abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc.

  2. En la barra de navegación, si Región de AWS no es la misma que la región del entorno, elija la región correcta.

  3. Elija Subnets (Subredes) en el panel de navegación, si todavía no se muestra la página Subnets (Subredes).

  4. Elija Create Subnet (Crear subred).

  5. En el cuadro de diálogo Create Subnet (Crear subred), en Name tag (Etiqueta de nombre), ingrese el nombre de la subred.

  6. En VPC, elija la VPC con la que desea asociar la subred.

  7. En Zona de disponibilidad, elija la zona de disponibilidad que Región de AWS desee utilizar en la subred o seleccione Sin preferencias para que pueda AWS elegir una zona de disponibilidad por usted.

  8. Para IPv4 CIDR block (Bloque de CIDR IPv4), ingrese el rango de direcciones IP de la subred que se va a utilizar, en formato CIDR. Este rango de direcciones IP debe ser un subconjunto de direcciones en la VPC.

    Para obtener información acerca de los bloques de CIDR, consulte Tamaño de VPC y subred en la Guía del usuario de Amazon VPC. Véase también 3.1. Basic Concept and Prefix Notation (Notación de prefijos y conceptos básicos) en RFC 4632 o el artículo sobre bloques CIDR IPv4 en Wikipedia.

Después de crear la subred, configúrelo como una subred pública o privada.

Configuración de una subred como pública o privada

Después de crear una subred, puede convertirla en pública o privada. Para ello, especifique cómo se comunica con internet.

Una subred pública tiene una dirección IP pública y una puerta de enlace de Internet (IGW) asociada a esta que permite la comunicación entre la instancia de la subred e internet y otros Servicios de AWS.

Una instancia de una subred privada tiene una dirección IP privada y se utiliza una puerta de enlace de traducción de direcciones de red (NAT) para enviar tráfico de ida y vuelta entre la instancia de la subred e internet y otros Servicios de AWS. La gateway NAT debe estar alojada en una subred pública.

Public subnets
nota

Incluso si la instancia de su entorno se lanza en una subred privada, la VPC debe incluir al menos una subred pública. Esto se debe a que la gateway NAT que reenvía el tráfico hacia y desde la instancia debe estar alojada en una subred pública.

Configurar una subred como pública implica adjuntarle una gateway de internet (IGW), configurar una tabla de enrutamiento para especificar una ruta a esa IGW y definir la configuración de un grupo de seguridad para controlar el tráfico entrante y saliente.

La orientación para llevar a cabo estas tareas se proporciona en Creación de una VPC y otros recursos de la VPC.

importante

Si el entorno de desarrollo usa SSM para acceder a una instancia de EC2, asegúrese de que la subred pública en la que se lanza la instancia asigna una dirección IP pública a la instancia. Para ello, debe habilitar la opción de asignación automática de una dirección IP pública para la subred pública y configurarla en Yes. Puede habilitarlo en la subred pública antes de crear un AWS Cloud9 entorno en la página de configuración de la subred. Para consultar los pasos necesarios para modificar la configuración de asignación automática de IP en una subred pública, consulte Modify the public IPv4 addressing attribute for your subnet en la Guía del usuario de Amazon VPC. Para obtener más información acerca de la configuración de subredes públicas y privadas, consulte Configuración de una subred como pública o privada.

Private subnets

Si va a crear una instancia sin entrada a la que se accede a través de Systems Manager, puede lanzarla en una subred privada. Una subred privada no tiene una dirección IP pública. Por lo tanto, necesita una puerta de enlace NAT para asignar la dirección IP privada a una dirección pública para las solicitudes, y también necesita asignar la dirección IP pública a la dirección privada para la respuesta.

aviso

Se le cobrará por la creación y el uso de una gateway NAT en su cuenta. Se aplican las tarifas de procesamiento de datos y uso por horas de la gateway NAT. También se aplican cargos de Amazon EC2 por la transferencia de datos. Para obtener más información, consulte Precios de Amazon VPC.

Antes de crear y configurar la gateway NAT, debe hacer lo siguiente:

  • Cree una subred VPC pública para alojar la gateway NAT.

  • Aprovisione una dirección IP elástica que se pueda asignar a la gateway NAT.

  • Para la subred privada, desactive la casilla Enable auto-assign public IPv4 address (Habilitar la asignación automática de direcciones IPv4 públicas) para que se asigne una dirección IP privada a la instancia que se lanza en esta. Para obtener más información, consulte Direcciones IP en su VPC en la Guía del usuario de Amazon VPC.

Para conocer los pasos de esta tarea, consulte Usar gateways NAT en la Guía del usuario de Amazon VPC.

importante

Actualmente, si la instancia EC2 de su entorno se lanza a una subred privada, no puede usar credenciales temporales AWS administradas para permitir que el entorno EC2 acceda y Servicio de AWS en nombre de una AWS entidad, como un usuario de IAM.