Requisitos de Amazon VPC para AWS Cloud9 Creación de una VPC y otros recursos de la VPC Crear una sola VPC Crear una subred para AWS Cloud9 Configuración de una subred como pública o privada

Configuración de VPC para entornos de desarrollo de AWS Cloud9

Cada entorno de desarrollo de AWS Cloud9 asociado a una instancia de Amazon Virtual Private Cloud (Amazon VPC) debe cumplir con los requisitos específicos de VPC. Estos entornos incluyen entornos de EC2 y entornos de SSH asociados con instancias de computación de Nube de AWS que se ejecutan en una VPC. Los ejemplos incluyen instancias de Amazon Lightsail y Amazon EC2.

Requisitos de Amazon VPC para AWS Cloud9

La instancia de Amazon VPC que AWS Cloud9 utiliza requiere las siguientes opciones de configuración. Si ya conoce estos requisitos y solo desea crear una instancia de VPC compatible, vaya directamente a Creación de una VPC y otros recursos de la VPC.

Utilice la siguiente lista de comprobación para confirmar que la VPC cumple todos los siguientes requisitos.

La VPC puede estar en la misma Cuenta de AWS y Región de AWS que el entorno de desarrollo de AWS Cloud9 o la VPC puede ser una VPC compartida en una Cuenta de AWS diferente a la del entorno. Sin embargo, la VPC debe encontrarse en la misma Región de AWS que el entorno. Para obtener más información sobre las VPC de Amazon para una Región de AWS, consulte Ver una lista de VPC de una Región de AWS. Para obtener instrucciones sobre cómo crear una VPC de Amazon para AWS Cloud9, consulte Creación de una VPC y otros recursos de la VPC. Para obtener más información acerca de las VPC compartidas de Amazon, consulte Usar VPC compartidas en la Guía del usuario de Amazon VPC.
Una VPC debe tener una subred pública. Una subred es pública cuando su tráfico se dirige a una puerta de enlace de Internet. Para obtener una lista de las subredes de una VPC de Amazon, consulte Ver una lista de subredes de una VPC.
Si su entorno está accediendo a su instancia de EC2 directamente a través de SSH, la instancia solo se puede lanzar en una subred pública. Para obtener información sobre cómo confirmar si una subred es pública, consulte Confirmar si una subred es pública.
Si va a acceder a una Instancia de Amazon EC2 sin entrada mediante Systems Manager, la instancia se puede lanzar en una subred pública o privada.
Si utiliza una subred pública, adjunte una puerta de enlace de Internet a la VPC. Esto es para que el Agent AWS Systems Manager (SSM Agent) de la instancia se pueda conectar a Systems Manager.
Si utiliza una subred privada, permita que la instancia de la subred se comunique con internet mediante el alojamiento de una gateway NAT en una subred pública. Para obtener más información acerca de la visualización o el cambio de la configuración de una puerta de enlace de Internet, consulte Ver o cambiar la configuración de una gateway de internet
La subred pública debe tener una tabla de enrutamiento con un conjunto mínimo de rutas. Para saber cómo confirmar si una subred tiene una tabla de enrutamiento, consulte Confirmar si una subred tiene una tabla de enrutamiento. Para obtener información sobre cómo crear una tabla de enrutamiento, consulte Crear una tabla de enrutamiento.
Los grupos de seguridad asociados de la VPC (o de la instancia de computación de Nube de AWS, dependiendo de su arquitectura) deben permitir un conjunto mínimo de tráfico entrante y saliente. Para obtener una lista de los grupos de seguridad de una Amazon VPC, consulte Ver una lista de los grupos de seguridad de una VPC. Para obtener más información sobre la creación de un grupo de seguridad en una Amazon VPC, consulte Crear un grupo de seguridad en una VPC.
Para una capa adicional de seguridad, si la VPC tiene una ACL de red, esta debe permitir un conjunto mínimo de tráfico entrante y saliente. Para confirmar si una Amazon VPC tiene al menos una red de ACL, consulte Confirmar si una VPC tiene al menos una ACL de red. Para obtener más información acerca de la creación de una ACL de red, consulte Create a network ACL (Crear una ACL de red).
Si el entorno de desarrollo usa SSM para acceder a una instancia de EC2, asegúrese de que la subred pública en la que se lanza la instancia asigna una dirección IP pública a la instancia. Para ello, debe habilitar la opción de asignación automática de una dirección IP pública para la subred pública y configurarla en Yes. Puede habilitarla en la subred pública antes de crear un entorno AWS Cloud9 en la página de configuración de la subred. Para consultar los pasos necesarios para modificar la configuración de asignación automática de IP en una subred pública, consulte Modify the public IPv4 addressing attribute for your subnet en la Guía del usuario de Amazon VPC. Para obtener más información acerca de la configuración de subredes públicas y privadas, consulte Configuración de una subred como pública o privada.

nota

Para los siguientes procedimientos, inicie sesión en la AWS Management Console y utilice las credenciales de administrador para abrir una consola de Amazon VPC (https://console.aws.amazon.com/vpc) o una consola de Amazon EC2 (https://console.aws.amazon.com/ec2).

Si utiliza la AWS CLI o el AWS CloudShell, le recomendamos que configure la AWS CLI o el AWS CloudShell con las credenciales de un usuario administrador en su Cuenta de AWS. Si no puede hacerlo, consulte con el administrador de la Cuenta de AWS.

Ver una lista de VPC de una Región de AWS

Para usar la consola de Amazon VPC, en la barra de navegación de AWS, elija la Región de AWS en la que AWS Cloud9 creará el entorno. Después, elija Your VPCs (Sus VPC) en el panel de navegación.

Para usar la AWS CLI o el AWS CloudShell, ejecute el comando describe-vpcs de Amazon EC2, por ejemplo, de la siguiente manera.


aws ec2 describe-vpcs --output table --query 'Vpcs[*].VpcId' --region us-east-2

En el comando anterior, reemplace us-east-2 por la Región de AWS en la que AWS Cloud9 creará el entorno. Para ejecutar el comando anterior en Windows, reemplace las comillas simples (' ') por comillas dobles (" "). Para ejecutar el comando anterior con el aws-shell, omita aws.

El resultado contiene la lista de los ID de VPC.

Ver una lista de subredes de una VPC

Para utilizar la consola de Amazon VPC, elija Your VPCs (Sus VPC) en el panel de navegación. Anote el ID de la VPC de la columna VPC ID (ID de VPC). A continuación, elija Subnets (Subredes) en el panel de navegación y busque subredes que contengan ese ID en la columna VPC.

Para usar la AWS CLI o el aws-shell, ejecute el comando describe-subnets de Amazon EC2, por ejemplo, de la siguiente manera.


aws ec2 describe-subnets --output table --query 'Subnets[*].[SubnetId,VpcId]' --region us-east-2

En el comando anterior, reemplace us-east-2 por el ID de la Región de AWS que contiene las subredes. Para ejecutar el comando anterior en Windows, reemplace las comillas simples (' ') por comillas dobles (" "). Para ejecutar el comando anterior con el aws-shell, omita aws.

En la salida, busque las subredes que coincidan con el ID de la VPC.

Confirmar si una subred es pública

importante

Supongamos que está lanzando la instancia de EC2 de su entorno en una subred privada. Asegúrese de que se permite el tráfico saliente para esa instancia para que pueda conectarse al servicio SSM. Para las subredes privadas, el tráfico saliente se configura normalmente a través de una gateway de traducción de direcciones de red (NAT) o de puntos de enlace de la VPC. (Una puerta de enlace NAT requiere una subred pública).

Supongamos que elige puntos de conexión de VPC en lugar de una puerta de enlace NAT para acceder a SSM. Es posible que las actualizaciones automáticas y los parches de seguridad de la instancia no funcionen si dependen del acceso a Internet. Puede usar otras aplicaciones, como el administrador de parches de AWS Systems Manager, para administrar las actualizaciones de software que es posible que el entorno necesite. El software de AWS Cloud9 se actualizará con normalidad.

Para usar la consola de Amazon VPC, elija Subnets (Subredes) en el panel de navegación. Seleccione la casilla junto a la subred que desea que AWS Cloud9 utilice. En la pestaña Route Table (Tabla de enrutamiento), si hay una entrada en la columna Target (Destino) que comience por igw-, la subred es pública.

Para usar AWS CLI o aws-shell, ejecute el comando describe-route-tables de Amazon EC2.


aws ec2 describe-route-tables --output table --query 'RouteTables[*].Routes[*].{GatewayIds:GatewayId}' --region us-east-2 --filters Name=association.subnet-id,Values=subnet-12a3456b

En el comando anterior, reemplace us-east-2 por la Región de AWS que contiene la subred y reemplace subnet-12a3456b por el ID de subred. Para ejecutar el comando anterior en Windows, reemplace las comillas simples (' ') por comillas dobles (" "). Para ejecutar el comando anterior con el aws-shell, omita aws.

En la salida, si hay al menos un resultado que comience por igw-, la subred es pública.

En la salida, si no hay resultados, la tabla de enrutamiento podría estar asociada con la VPC en lugar de estarlo con la subred. Para confirmarlo, ejecute el comando describe-route-tables de Amazon EC2 para la VPC relacionada con la subred en lugar de la propia subred, por ejemplo, como se indica a continuación.


aws ec2 describe-route-tables --output table --query 'RouteTables[*].Routes[*].{GatewayIds:GatewayId}' --region us-east-1 --filters Name=vpc-id,Values=vpc-1234ab56

En el comando anterior, reemplace us-east-2 por la Región de AWS que contiene la VPC y reemplace vpc-1234ab56 por el ID de VPC. Para ejecutar el comando anterior en Windows, reemplace las comillas simples (' ') por comillas dobles (" "). Para ejecutar el comando anterior con el aws-shell, omita aws.

En la salida, si hay al menos un resultado que comience por igw-, la VPC contiene una gateway de internet.

Ver o cambiar la configuración de una gateway de internet

Para usar la consola de Amazon VPC, elija Internet Gateways (Gateways de Internet) en el panel de navegación. Seleccione la casilla situada junto a la gateway de Internet. Para ver la configuración, fíjese en cada una de las pestañas. Para cambiar una configuración de una pestaña, elija Edit (Editar), si corresponde, y siga las instrucciones en pantalla.

Para usar AWS CLI o aws-shell para ver la configuración, ejecute el comando describe-internet-gateways de Amazon EC2.


aws ec2 describe-internet-gateways --output table --region us-east-2 --internet-gateway-id igw-1234ab5c

En el comando anterior, reemplace us-east-2 por la Región de AWS que contiene la puerta de enlace de Internet y reemplace igw-1234ab5c por el ID de la puerta de enlace de Internet. Para ejecutar el comando anterior con el aws-shell, omita aws.

Cree un puerta de enlace de Internet

Para usar la consola de Amazon VPC, elija Internet Gateways (Gateways de Internet) en el panel de navegación. Elija Create Internet Gateway (Crear gateway de Internet) y siga las instrucciones en pantalla.

Para usar AWS CLI o aws-shell, ejecute el comando create-internet-gateway de Amazon EC2.


aws ec2 create-internet-gateway --output text --query 'InternetGateway.InternetGatewayId' --region us-east-2

En el comando anterior, reemplace us-east-2 por la Región de AWS que contiene la nueva puerta de enlace de Internet. Para ejecutar el comando anterior en Windows, reemplace las comillas simples (' ') por comillas dobles (" "). Para ejecutar el comando anterior con el aws-shell, omita aws.

La salida contiene el ID de la nueva gateway de Internet.

Adjuntar un puerta de enlace de Internet a una VPC

Para usar la consola de Amazon VPC, elija Internet Gateways (Gateways de Internet) en el panel de navegación. Seleccione la casilla situada junto a la gateway de Internet. Elija Actions, Attach to VPC (Acciones, Asociar a VPC), si está disponible, y siga las instrucciones en pantalla.

Para usar la AWS CLI o el aws-shell, ejecute el comando attach-internet-gateway de Amazon EC2, por ejemplo, de la siguiente manera.


aws ec2 attach-internet-gateway --region us-east-2 --internet-gateway-id igw-a1b2cdef --vpc-id vpc-1234ab56

En el comando anterior, reemplace us-east-2 por la Región de AWS que contiene la nueva puerta de enlace de Internet. Reemplace igw-a1b2cdef por el ID de puerta de enlace de Internet. Y reemplace vpc-1234ab56 por el ID de VPC. Para ejecutar el comando anterior con el aws-shell, omita aws.

Confirmar si una subred tiene una tabla de enrutamiento

Para usar la consola de Amazon VPC, elija Subnets (Subredes) en el panel de navegación. Seleccione la casilla junto a la subred pública de la VPC que desea que AWS Cloud9 utilice. En la pestaña Route table (Tabla de enrutamiento), si hay un valor para Route Table (Tabla de enrutamiento), la subred pública tiene una tabla de enrutamiento.

Para usar AWS CLI o aws-shell, ejecute el comando describe-route-tables de Amazon EC2.


aws ec2 describe-route-tables --output table --query 'RouteTables[*].Associations[*].{RouteTableIds:RouteTableId}' --region us-east-2 --filters Name=association.subnet-id,Values=subnet-12a3456b

En el comando anterior, reemplace us-east-2 por la Región de AWS que contiene la subred pública y reemplace subnet-12a3456b por el ID de subred pública. Para ejecutar el comando anterior en Windows, reemplace las comillas simples (' ') por comillas dobles (" "). Para ejecutar el comando anterior con el aws-shell, omita aws.

Si hay valores en la salida, la subred pública tiene al menos una tabla de ruteo.


aws ec2 describe-route-tables --output table --query 'RouteTables[*].Associations[*].{RouteTableIds:RouteTableId}' --region us-east-2 --filters Name=vpc-id,Values=vpc-1234ab56

En la salida, si hay al menos un resultado, la VPC tiene al menos una tabla de enrutamiento.

Adjuntar una tabla de enrutamiento a una subred

Para usar la consola de Amazon VPC, elija Route Tables (Tablas de enrutamiento) en el panel de navegación. Seleccione la casilla situada junto a la tabla de ruteo que desea asociar. En la pestaña Subnet Associations (Asociaciones de subred), elija Edit (Editar), active la casilla situada junto a la subred a la que desea asociarla y, a continuación, elija Save (Guardar).

Para usar la AWS CLI o el aws-shell, ejecute el comando associate-route-table de Amazon EC2, por ejemplo, de la siguiente manera.


aws ec2 associate-route-table --region us-east-2 --subnet-id subnet-12a3456b --route-table-id rtb-ab12cde3

En el comando anterior, reemplace us-east-2 por el ID de la Región de AWS que contiene la tabla de enrutamiento. Reemplace subnet-12a3456b por el ID de subred. Y reemplace rtb-ab12cde3 por el ID de la tabla de enrutamiento. Para ejecutar el comando anterior con el aws-shell, omita aws.

Crear una tabla de enrutamiento

Para usar la consola de Amazon VPC, elija Route Tables (Tablas de enrutamiento) en el panel de navegación. Elija Create Route Table (Crear tabla de ruteo de Internet) y luego siga las instrucciones en pantalla.

Para usar la AWS CLI o el aws-shell, ejecute el comando create-route-table de Amazon EC2, por ejemplo, de la siguiente manera.


aws ec2 create-route-table --output text --query 'RouteTable.RouteTableId' --region us-east-2 --vpc-id vpc-1234ab56

En el comando anterior, reemplace us-east-2 por la Región de AWS que contiene la nueva tabla de enrutamiento y reemplace vpc-1234ab56 por el ID de la VPC. Para ejecutar el comando anterior en Windows, reemplace las comillas simples (' ') por comillas dobles (" "). Para ejecutar el comando anterior con el aws-shell, omita aws.

La salida contiene el ID de la nueva tabla de ruteo.

Ver o cambiar la configuración de una tabla de enrutamiento

Para usar la consola de Amazon VPC, elija Route Tables (Tablas de enrutamiento) en el panel de navegación. Seleccione la casilla de verificación que hay junto a la tabla de ruteo. Para ver la configuración, fíjese en cada una de las pestañas. Para cambiar una configuración de una pestaña, elija Edit (Editar) y luego siga las instrucciones en pantalla.

Para usar la AWS CLI o el aws-shell para ver la configuración, ejecute el comando describe-route-tables de Amazon EC2, por ejemplo, de la siguiente manera.


aws ec2 describe-route-tables --output table --region us-east-2 --route-table-ids rtb-ab12cde3

En el comando anterior, reemplace us-east-2 por la Región de AWS que contiene la tabla de enrutamiento y reemplace rtb-ab12cde3 por el ID de tabla de enrutamiento. Para ejecutar el comando anterior con el aws-shell, omita aws.

Configuración mínima sugerida de la tabla de enrutamiento para AWS Cloud9

Destino	Destino	Status	Propagado
CIDR-BLOCK	local	Activo	No
0.0.0.0/0	`igw-INTERNET-GATEWAY-ID`	Activo	No

En esta configuración, CIDR-BLOCK es el bloque de CIDR de la subred y igw-INTERNET-GATEWAY-ID es el ID de una gateway de internet compatible.

Ver una lista de los grupos de seguridad de una VPC

Para usar la consola de Amazon VPC, elija Security Groups (Grupos de seguridad) en el panel de navegación. En el cuadro Search Security Groups (Buscar grupos de seguridad), ingrese el ID o el nombre de la VPC y, a continuación, pulse Enter. Los grupos de seguridad de esa VPC aparecen en la lista de resultados de búsqueda.

Para usar AWS CLI o aws-shell, ejecute el comando describe-security-groups de Amazon EC2.


aws ec2 describe-security-groups --output table --query 'SecurityGroups[*].GroupId' --region us-east-2 --filters Name=vpc-id,Values=vpc-1234ab56

La salida contiene la lista de ID de grupo de seguridad para esa VPC.

Ver una lista de los grupos de seguridad de una instancia de computación de Nube de AWS

Para usar la consola de Amazon EC2, expanda Instances (Instancias) en el panel de navegación, y, a continuación, elija Instances (Instancias). En la lista de instancias, active la casilla situada junto a la instancia. Los grupos de seguridad de esa instancia aparecen en la pestaña Description (Descripción) junto a Security groups (Grupos de seguridad).

Para usar la AWS CLI o el aws-shell, ejecute el comando describe-security-groups de Amazon EC2, por ejemplo, de la siguiente manera.


aws ec2 describe-instances --output table --query 'Reservations[*].Instances[*].NetworkInterfaces[*].Groups[*].GroupId' --region us-east-2 --instance-ids i-12a3c456d789e0123

En el comando anterior, reemplace us-east-2 por la Región de AWS que contiene la instancia y reemplace i-12a3c456d789e0123 por el ID de instancia. Para ejecutar el comando anterior en Windows, reemplace las comillas simples (' ') por comillas dobles (" "). Para ejecutar el comando anterior con el aws-shell, omita aws.

La salida contiene la lista de ID de grupo de seguridad para esa instancia.

Ver o cambiar la configuración de un grupo de seguridad en una VPC

Para usar la consola de Amazon VPC, elija Security Groups (Grupos de seguridad) en el panel de navegación. Seleccione la casilla de verificación situada junto al grupo de seguridad. Para ver la configuración, fíjese en cada una de las pestañas. Para cambiar una configuración de una pestaña, elija Edit (Editar), si corresponde, y siga las instrucciones en pantalla.

Para usar la AWS CLI o el aws-shell para ver la configuración, ejecute el comando describe-security-groups de Amazon EC2, por ejemplo, de la siguiente manera.


aws ec2 describe-security-groups --output table --region us-east-2 --group-ids sg-12a3b456

En el comando anterior, reemplace us-east-2 por la Región de AWS que contiene la instancia y reemplace sg-12a3b456 por el ID de grupo de seguridad. Para ejecutar el comando anterior con el aws-shell, omita aws.

Ver o cambiar la configuración de un grupo de seguridad para una instancia de computación de Nube de AWS

Para usar la consola de Amazon EC2, expanda Instances (Instancias) en el panel de navegación, y, a continuación, elija Instances (Instancias). En la lista de instancias, marque la casilla situada junto a la instancia. En la pestaña Description (Descripción), en Security groups (Grupos de seguridad), elija el grupo de seguridad. Consulte cada una de las pestañas. Para cambiar una configuración de una pestaña, elija Edit (Editar), si corresponde, y siga las instrucciones en pantalla.

Para usar la AWS CLI o el aws-shell para ver la configuración, ejecute el comando describe-security-groups de Amazon EC2, por ejemplo, de la siguiente manera.


aws ec2 describe-security-groups --output table --region us-east-2 --group-ids sg-12a3b456

Configuración mínima del tráfico entrante y saliente para AWS Cloud9

importante

Es posible que el grupo de seguridad de una instancia no tenga una regla de entrada. Si es así, esto significa que no se permitirá que el tráfico que procede de otro host entre en la instancia. Para obtener información sobre el uso de instancias de EC2 sin entrada, consulte Acceso a instancias de EC2 sin entrada con AWS Systems Manager.

Entrada: Todas las direcciones IP que usan SSH a través del puerto 22. Sin embargo, puede restringir estas direcciones IP a la que AWS Cloud9 utiliza únicamente. Para obtener más información, consulte Intervalos de direcciones IP de entrada con SSH para AWS Cloud9.

nota
Para los entornos de EC2 que se hayan creado a partir del 31 de julio de 2018, AWS Cloud9 utiliza grupos de seguridad para restringir las direcciones IP entrantes mediante SSH en el puerto 22. Estas direcciones IP entrantes son específicamente solo las direcciones que utiliza AWS Cloud9. Para obtener más información, consulte Intervalos de direcciones IP de entrada con SSH para AWS Cloud9.
Entrada (solo ACL de red): para los entornos de EC2 y para los entornos de SSH asociados con instancias de Amazon EC2 que ejecutan Amazon Linux o Ubuntu Server, todas las direcciones IP que usan TCP en los puertos 32768-61000. Para obtener más información, así como los rangos de puertos de otros tipos de instancias de Amazon EC2, consulte Puertos efímeros en la Guía del usuario de Amazon VPC.
Salida: todos los orígenes de tráfico con cualquier protocolo y puerto.

Puede configurar este comportamiento en el nivel del grupo de seguridad. Para un nivel adicional de seguridad, también puede utilizar una ACL de red. Para obtener más información, consulteComparación de grupos de seguridad y ACL de red en la Guía del usuario de Amazon VPC.

Por ejemplo, para añadir reglas de entrada y salida a un grupo de seguridad, configure dichas reglas tal y como se indica a continuación.

Reglas de entrada
Tipo	Protocolo	Rango de puerto	Origen
SSH (22)	TCP (6)	22	0.0.0.0 (pero consulte la siguiente nota y los Intervalos de direcciones IP de entrada con SSH para AWS Cloud9.)

nota

Para los entornos de EC2 que se hayan creado a partir del 31 de julio de 2018, AWS Cloud9 añade una regla de entrada para restringir las direcciones IP entrantes mediante SSH en el puerto 22. Esto se limita específicamente a las direcciones que utiliza AWS Cloud9. Para obtener más información, consulte Intervalos de direcciones IP de entrada con SSH para AWS Cloud9.

Reglas de salida
Tipo	Protocolo	Rango de puerto	Origen
Todo el tráfico	ALL	ALL	0.0.0.0/0

Si también decide añadir reglas de entrada y salida a una ACL de red, configure dichas reglas tal y como se indica a continuación.

Reglas de entrada
Regla n.º	Tipo	Protocolo	Rango de puerto	Origen	Permitir/Denegar
100	SSH (22)	TCP (6)	22	0.0.0.0 (pero consulte los Intervalos de direcciones IP de entrada con SSH para AWS Cloud9.)	PERMITIR
200	Regla TCP personalizada	TCP (6)	32768-61000 (para las instancias de Amazon Linux y Ubuntu Server. Para otros tipos de instancias, consulte Puertos efímeros).	0.0.0.0/0	PERMITIR
`*`	Todo el tráfico	ALL	ALL	0.0.0.0/0	DENY

Reglas de salida
Regla n.º	Tipo	Protocolo	Rango de puerto	Origen	Permitir/Denegar
100	Todo el tráfico	ALL	ALL	0.0.0.0/0	PERMITIR
`*`	Todo el tráfico	ALL	ALL	0.0.0.0/0	DENY

Para obtener más información acerca de los grupos de seguridad y las ACL de red, consulte lo siguiente en la Guía del usuario de Amazon VPC.

Crear un grupo de seguridad en una VPC

Para utilizar las consolas de Amazon VPC o Amazon EC2, realice una de las siguientes acciones:

En la consola de Amazon VPC, elija Security Groups (Grupos de seguridad) en el panel de navegación. Elija Create Security Group (Crear grupo de seguridad) y luego siga las instrucciones en pantalla.
En la consola de Amazon EC2, expanda Network & Security (Red y seguridad) en el panel de navegación y, a continuación, elija Security Groups (Grupos de seguridad). Elija Create Security Group (Crear grupo de seguridad) y luego siga las instrucciones en pantalla.

Para usar la AWS CLI o el aws-shell, ejecute el comando create-security-group de Amazon EC2, por ejemplo, de la siguiente manera.


aws ec2 create-security-group --region us-east-2 --vpc-id vpc-1234ab56

En el comando anterior, reemplace us-east-2 por la Región de AWS que contiene la VPC y reemplace vpc-1234ab56 por el ID de VPC. Para ejecutar el comando anterior con el aws-shell, omita aws.

Confirmar si una VPC tiene al menos una ACL de red

Para utilizar la consola de Amazon VPC, elija Your VPCs (Sus VPC) en el panel de navegación. Elija la casilla junto a la VPC que desea que AWS Cloud9 utilice. En la pestaña Summary (Resumen), si hay un valor para Network ACL (ACL de red), la VPC tiene al menos una ACL de red.

Para usar la AWS CLI o el aws-shell, ejecute el comando describe-network-acls de Amazon EC2.


aws ec2 describe-network-acls --output table --query 'NetworkAcls[*].Associations[*].NetworkAclId' --region us-east-2 --filters Name=vpc-id,Values=vpc-1234ab56

Si la salida contiene al menos una entrada en la lista, la VPC tiene al menos una ACL de red.

Ver una lista de las ACL de red para una VPC

Para usar la consola de Amazon VPC, elija Network ACLs (ACL de red) en el panel de navegación. En el cuadro Search Network ACLs (ACL de red de búsqueda), ingrese el ID o el nombre de la VPC y, a continuación, pulse Enter. Las ACL de red para esa VPC aparecen en la lista de resultados de búsqueda.

Para usar AWS CLI o aws-shell, ejecute el comando describe-network-acls de Amazon EC2.


aws ec2 describe-network-acls --output table --query 'NetworkAcls[*].Associations[*].NetworkAclId' --region us-east-2 --filters Name=vpc-id,Values=vpc-1234ab56

La salida contiene una lista de ACL de red para esa VPC.

Ver o cambiar la configuración de una ACL de red

Para usar la consola de Amazon VPC, elija Network ACLs (ACL de red) en el panel de navegación. Active la casilla que hay junto a la ACL de red. Para ver la configuración, fíjese en cada una de las pestañas. Para cambiar una opción de configuración de una pestaña, elija Edit (Editar), si corresponde, y siga las instrucciones en pantalla.

Para usar AWS CLI o aws-shell para ver la configuración, ejecute el comando describe-network-acls de Amazon EC2.


aws ec2 describe-network-acls --output table --region us-east-2 --network-acl-ids acl-1234ab56

En el comando anterior, reemplace us-east-2 por la Región de AWS que contiene la ACL de red y reemplace acl-1234ab56 por el ID de ACL de red. Para ejecutar el comando anterior con el aws-shell, omita aws.

Create a network ACL (Crear una ACL de red)

Para usar la consola de Amazon VPC, elija Network ACLs (ACL de red) en el panel de navegación. Elija Create Network ACL (Crear ACL de red) y luego siga las instrucciones en pantalla.

Para usar la AWS CLI o el aws-shell, ejecute el comando create-network-acl de Amazon EC2.


aws ec2 create-network-acl --region us-east-2 --vpc-id vpc-1234ab56

En el comando anterior, reemplace us-east-2 por la Región de AWS que contiene la VPC a la que desea asociar a la nueva ACL de red. Además, reemplace vpc-1234ab56 por el ID de la VPC. Para ejecutar el comando anterior con el aws-shell, omita aws.

Creación de una VPC y otros recursos de la VPC

Utilice el siguiente procedimiento para crear una VPC y los recursos adicionales de la VPC que necesita para ejecutar su aplicación. Los recursos de VPC incluyen subredes, tablas de enrutamiento, puertas de enlace de Internet y puertas de enlace NAT.

Para crear una VPC, subredes y otros recursos de la VPC mediante la consola

Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.
En el panel de VPC, elija Create VPC (Crear VPC).
En Recursos para crear, elija VPC y más.
Para crear etiquetas de nombre para los recursos de la VPC, mantenga seleccionada la generación automática de etiquetas de nombre. Para proporcionar sus propias etiquetas de nombre para los recursos de la VPC, desactívela.
En Bloque CIDR de IPv4, debe introducir un rango de direcciones IPv4 para la VPC. El rango de IPv4 recomendado para AWS Cloud9 es 10.0.0.0/16.
(Opcional) Para admitir tráfico IPv6, elija Bloque CIDR de IPv6 y Bloque CIDR de IPv6 proporcionado por Amazon.
Elija una opción de tenencia. Esta opción define si las instancias de EC2 que lance en la VPC se ejecutarán en hardware compartido con otras Cuentas de AWS o en hardware dedicado para su uso exclusivo. Si elige que la tenencia de la VPC sea Default, las instancias de EC2 lanzadas en esta VPC utilizarán el atributo de tenencia especificado al lanzar la instancia. Para obtener más información, consulte Lanzar una instancia mediante parámetros definidos en la Guía del usuario de Linux de Amazon EC2.

Si elige que la tenencia de la VPC sea Dedicated, las instancias siempre se ejecutarán como Instancias dedicadas en hardware dedicado para su uso. Si está utilizando AWS Outposts, su Outpost requiere conectividad privada, y debe usar la tenencia Default.
Para el Número de zonas de disponibilidad (AZ), le recomendamos que proporcione subredes en, al menos, dos Availability Zones para un entorno de producto. Para elegir las AZ para las subredes, expanda Personalizar AZ. De lo contrario, puede dejar que AWS elija las AZ por usted.
Para configurar las subredes, elija valores para Cantidad de subredes públicas y Cantidad de subredes privadas. Para elegir los rangos de direcciones IP para las subredes, expanda Personalizar bloques CIDR de subredes. De lo contrario, deje que AWS las elija por usted.
(Opcional) Si los recursos de una subred privada necesitan acceso a la Internet pública a través de IPv4: para las puertas de enlace NAT, elija la cantidad de AZ en las que se crearán puertas de enlace NAT. En producción, se recomienda implementar una puerta de enlace de NAT en cada AZ con recursos que necesiten acceso a la Internet pública.
(Opcional) Si los recursos de una subred privada necesitan acceso a la Internet pública a través de IPv6: para Puerta de enlace de Internet solo de salida, elija Sí.
(Opcional) Para acceder a Amazon S3 directamente desde su VPC, elija Puntos de conexión de VPC, Puerta de enlace de S3. Se crea un punto de conexión de VPC de puerta de enlace para Amazon S3. Para obtener más información, consulte Puntos de conexión de VPC de puerta de enlace en la Guía de AWS PrivateLink.
(Opcional) En Opciones de DNS, ambas opciones de resolución de nombres de dominio están activadas de forma predeterminada. Si el valor predeterminado no satisface sus necesidades, puede deshabilitar estas opciones.
(Opcional) Para agregar una etiqueta a su VPC, expanda Etiquetas adicionales, elija Agregar etiqueta nueva e ingrese una clave y un valor de etiqueta.
En el panel Vista previa, puede visualizar las relaciones entre los recursos de la VPC que configuró. Las líneas continuas representan las relaciones entre los recursos. Las líneas punteadas representan el tráfico de red a las puertas de enlace de NAT, las puertas de enlace de Internet y los puntos de conexión de las puertas de enlace. Una vez que creó la VPC, puede visualizar los recursos de la VPC en este formato en cualquier momento en la pestaña Mapa de recursos.
Cuando termine de configurar la VPC, elija Crear VPC.

Crear una sola VPC

Utilice el siguiente procedimiento para crear una VPC sin recursos adicionales mediante la consola de Amazon VPC.

Para crear una VPC sin recursos adicionales de VPC mediante la consola

Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.
En el panel de VPC, elija Create VPC (Crear VPC).
En Recursos para crear, elija Solo VPC.
(Opcional) En Etiqueta de nombre, ingrese un nombre para su VPC. Esta acción creará una etiqueta con una clave de Name y el valor que especifique.
Para IPv4 CIDR block (Bloque de CIDR de IPv4), realice una de las siguientes operaciones:
- Elija Entrada manual de CIDR de IPv4 e ingrese un rango de direcciones IPv4 para su VPC. El rango de IPv4 recomendado para AWS Cloud9 es 10.0.0.0/16.
- Elija el bloque de CIDR IPv4 asignado por IPAM, seleccione su grupo de direcciones IPv4 del Administrador de direcciones IP (IPAM) de Amazon VPC y una máscara de red. El tamaño del bloque CIDR está limitado por las reglas de asignación del grupo de IPAM. IPAM es una característica de VPC que le ayuda con la planificación, el seguimiento y la supervisión de las direcciones IP para sus cargas de trabajo de AWS. Para obtener más información, consulte ¿Qué es IPAM? en la Guía del administrador de Amazon Virtual Private Cloud.
  
  Si utiliza IPAM para administrar las direcciones IP, le recomendamos que elija esta opción. De lo contrario, el bloque CIDR que especifique para la VPC podría superponerse con una asignación de CIDR de IPAM.
(Opcional) Para crear una VPC de doble pila, especifique un rango de direcciones IPv6 para la VPC. Para IPv6 CIDR block (Bloque de CIDR de IPv6), realice una de las siguientes operaciones:
- Elija Bloque CIDR de IPv6 asignado por IPAM y seleccione el grupo de direcciones IPv6 de IPAM. El tamaño del bloque CIDR está limitado por las reglas de asignación del grupo de IPAM.
- Elija un bloque CIDR de IPv6 proporcionado por Amazon para solicitar un bloque CIDR de IPv6 de un grupo de direcciones IPv6 de Amazon. En Network Border Group (Grupo de borde de red), seleccione el grupo desde el que AWS anuncia las direcciones IP. Amazon proporciona un tamaño de bloque de CIDR de IPv6 fijo de /56.
- Elija CIDR de IPv6 de mi propiedad para utilizar un bloque CIDR de IPv6 que haya incorporado a AWS mediante la incorporación de direcciones IP propias (BYOIP). En Grupo, elija el grupo de direcciones IPv6 desde el que desea asignar el bloque de CIDR IPv6.
(Opcional) Elija una opción de tenencia. Esta opción define si las instancias de EC2 que lance en la VPC se ejecutarán en hardware compartido con otras Cuentas de AWS o en hardware dedicado para su uso exclusivo. Si elige que la tenencia de la VPC sea Default, las instancias de EC2 lanzadas en esta VPC utilizarán el atributo de tenencia especificado al lanzar la instancia. Para obtener más información, consulte Lanzar una instancia mediante parámetros definidos en la Guía del usuario de Linux de Amazon EC2.

Si elige que la tenencia de la VPC sea Dedicated, las instancias siempre se ejecutarán como Instancias dedicadas en hardware dedicado para su uso. Si está utilizando AWS Outposts, su Outpost requiere conectividad privada, y debe usar la tenencia Default.
(Opcional) Para agregar una etiqueta a su VPC, elija Agregar etiqueta nueva e ingrese una clave y un valor de etiqueta.
Seleccione Crear VPC.
Una vez creada una VPC, podrá agregar las subredes.

Crear una subred para AWS Cloud9

Puede utilizar la consola de Amazon VPC para crear una subred para una VPC que sea compatible con AWS Cloud9. El hecho de que pueda crear una subred privada o pública para su instancia de EC2 depende de cómo se conecte su entorno a ella:

Acceso directo a través de SSH: solo subred pública
Acceso a través de Systems Manager: subred pública o privada

La opción de lanzar el EC2 de su entorno en una subred privada solo está disponible si crea un entorno de EC2 “sin entrada” mediante la consola, la línea de comandos o AWS CloudFormation.

Siga los mismos pasos para crear una subred que pueda convertirse en pública o privada. Si la subred está asociada a una tabla de enrutamiento que tiene una ruta a una gateway de internet, esta se convierte en una subred pública. No obstante, si la subred está asociada a una tabla de enrutamiento que no tiene ninguna ruta a una gateway de internet, se convierte en una subred privada. Para obtener más información, consulte Configuración de una subred como pública o privada

Si ha seguido el procedimiento anterior para crear una VPC para AWS Cloud9, no es necesario que siga también este procedimiento. Esto se debe a que el asistente para Create new VPC (Crear nueva VPC) crea una subred automáticamente.

importante

La Cuenta de AWS ya debe tener una VPC compatible en la misma Región de AWS para el entorno. Para obtener más información, consulte los requisitos de VPC en Requisitos de Amazon VPC para AWS Cloud9.
En este procedimiento, recomendamos que inicie sesión en la AWS Management Console y que abra la consola de Amazon VPC con las credenciales de un administrador de IAM en su Cuenta de AWS. Si no puede hacerlo, consulte con el administrador de la Cuenta de AWS.
Es posible que algunas organizaciones no le permitan crear subredes. Si no puede crear una subred, consulte al administrador de su Cuenta de AWS o al administrador de red.

Para crear una subred

Si la consola de Amazon VPC aún no está abierta, inicie sesión en la AWS Management Console y abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc.
En la barra de navegación, si la Región de AWS no es la misma región que la del entorno, elija la región correcta.
Elija Subnets (Subredes) en el panel de navegación, si todavía no se muestra la página Subnets (Subredes).
Elija Create Subnet (Crear subred).
En el cuadro de diálogo Create Subnet (Crear subred), en Name tag (Etiqueta de nombre), ingrese el nombre de la subred.
En VPC, elija la VPC con la que desea asociar la subred.
En Availability Zone (Zona de disponibilidad), elija la zona de disponibilidad dentro de la Región de AWS de la subred que se va a utilizar o elija No Preference (Sin preferencia) para que AWS elija una zona de disponibilidad.
Para IPv4 CIDR block (Bloque de CIDR IPv4), ingrese el rango de direcciones IP de la subred que se va a utilizar, en formato CIDR. Este rango de direcciones IP debe ser un subconjunto de direcciones en la VPC.

Para obtener información acerca de los bloques de CIDR, consulte Tamaño de VPC y subred en la Guía del usuario de Amazon VPC. Véase también 3.1. Basic Concept and Prefix Notation (Notación de prefijos y conceptos básicos) en RFC 4632 o el artículo sobre bloques CIDR IPv4 en Wikipedia.

Después de crear la subred, configúrelo como una subred pública o privada.

Configuración de una subred como pública o privada

Después de crear una subred, puede convertirla en pública o privada. Para ello, especifique cómo se comunica con internet.

Una subred pública tiene una dirección IP pública y una puerta de enlace de Internet (IGW) asociada a esta que permite la comunicación entre la instancia de la subred e internet y otros Servicios de AWS.

Una instancia de una subred privada tiene una dirección IP privada y se utiliza una puerta de enlace de traducción de direcciones de red (NAT) para enviar tráfico de ida y vuelta entre la instancia de la subred e internet y otros Servicios de AWS. La gateway NAT debe estar alojada en una subred pública.

Public subnets

nota

Incluso si la instancia de su entorno se lanza en una subred privada, la VPC debe incluir al menos una subred pública. Esto se debe a que la gateway NAT que reenvía el tráfico hacia y desde la instancia debe estar alojada en una subred pública.

Configurar una subred como pública implica adjuntarle una gateway de internet (IGW), configurar una tabla de enrutamiento para especificar una ruta a esa IGW y definir la configuración de un grupo de seguridad para controlar el tráfico entrante y saliente.

La orientación para llevar a cabo estas tareas se proporciona en Creación de una VPC y otros recursos de la VPC.

importante

Si el entorno de desarrollo usa SSM para acceder a una instancia de EC2, asegúrese de que la subred pública en la que se lanza la instancia asigna una dirección IP pública a la instancia. Para ello, debe habilitar la opción de asignación automática de una dirección IP pública para la subred pública y configurarla en Yes. Puede habilitarla en la subred pública antes de crear un entorno AWS Cloud9 en la página de configuración de la subred. Para consultar los pasos necesarios para modificar la configuración de asignación automática de IP en una subred pública, consulte Modify the public IPv4 addressing attribute for your subnet en la Guía del usuario de Amazon VPC. Para obtener más información acerca de la configuración de subredes públicas y privadas, consulte Configuración de una subred como pública o privada.

Private subnets

Si va a crear una instancia sin entrada a la que se accede a través de Systems Manager, puede lanzarla en una subred privada. Una subred privada no tiene una dirección IP pública. Por lo tanto, necesita una puerta de enlace NAT para asignar la dirección IP privada a una dirección pública para las solicitudes, y también necesita asignar la dirección IP pública a la dirección privada para la respuesta.

aviso

Se le cobrará por la creación y el uso de una gateway NAT en su cuenta. Se aplican las tarifas de procesamiento de datos y uso por horas de la gateway NAT. También se aplican cargos de Amazon EC2 por la transferencia de datos. Para obtener más información, consulte Precios de Amazon VPC.

Antes de crear y configurar la gateway NAT, debe hacer lo siguiente:

Cree una subred VPC pública para alojar la gateway NAT.
Aprovisione una dirección IP elástica que se pueda asignar a la gateway NAT.
Para la subred privada, desactive la casilla Enable auto-assign public IPv4 address (Habilitar la asignación automática de direcciones IPv4 públicas) para que se asigne una dirección IP privada a la instancia que se lanza en esta. Para obtener más información, consulte Direcciones IP en su VPC en la Guía del usuario de Amazon VPC.

Para conocer los pasos de esta tarea, consulte Usar gateways NAT en la Guía del usuario de Amazon VPC.

importante

Actualmente, si la instancia de EC2 de su entorno se lanza en una subred privada, no puede usar credenciales temporales administradas por AWS para permitir que el entorno de EC2 acceda a un Servicio de AWS en nombre de una entidad de AWS, como un usuario de IAM.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Entornos de EC2 comparados con entornos de SSH

Requisitos de anfitrión del entorno SSH