Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Uso de Elastic Beanstalk con puntos de enlace de la VPC
Un punto de enlace de la VPC le permite conectar de forma privada su VPC a los servicios de AWS compatibles y a servicios de punto de enlace de la VPC basados en AWS PrivateLink sin necesidad de una gateway de internet, un dispositivo NAT, una conexión de VPN o una conexión de AWS Direct Connect.
Las instancias de su VPC no necesitan direcciones IP públicas para comunicarse con los recursos del servicio. El tráfico entre su VPC y el servicio no sale de la red de Amazon. Para obtener información detallada acerca de los puntos de enlace de la VPC, consulte la sección sobre puntos de enlace de la VPC en la Guía de usuario de Amazon VPC.
AWS Elastic Beanstalk es compatible con AWS PrivateLink, que proporciona conectividad privada al servicio de Elastic Beanstalk y elimina la exposición del tráfico a la Internet pública. Para habilitar la aplicación con el fin de que envíe solicitudes a Elastic Beanstalk mediante AWS PrivateLink, configure un tipo de punto de enlace de la VPC conocido como punto de enlace de la VPC de la interfaz (punto de enlace de la interfaz). Para obtener más información, consulte Puntos de enlace de la VPC de la interfaz (AWS PrivateLink) en la Guía del usuario de Amazon VPC.
nota
Elastic Beanstalk es compatible con AWS PrivateLink y los puntos de enlace de la VPC de la interfaz en un número limitado de regiones de AWS. Trabajamos para ampliar la compatibilidad a más regiones de AWS en un futuro próximo.
Configuración de un punto de enlace de la VPC para Elastic Beanstalk
Para crear el punto de enlace de la VPC de la interfaz para el servicio de Elastic Beanstalk en la VPC, siga el procedimiento Crear un punto de enlace de la interfaz. En Service name (Nombre del servicio), seleccione com.amazonaws.región.elasticbeanstalk.
Si la VPC está configurada con acceso público a Internet, la aplicación podrá acceder a Elastic Beanstalk a través de Internet mediante el punto de enlace público elasticbeanstalk.. Puede evitarlo asegurándose de que Enable DNS name (Habilitar nombre de la DNS) esté habilitado durante la creación del punto de enlace (está establecido como “true” de forma predeterminada). Esto añade una entrada DNS en la VPC que asigna el punto de enlace del servicio público al punto de enlace de la VPC de tipo interfaz.region.amazonaws.com
Configuración de un punto de enlace de la VPC para mejorar el estado
Si ha habilitado los informes de estado mejorados de su entorno, puede configurar la información de estado mejorada para que también se envíe a través de AWS PrivateLink. El daemon healthd, un componente de Elastic Beanstalk en las instancias de su entorno, envía información de estado mejorada a un servicio de salud mejorado de Elastic Beanstalk independiente. Para crear un punto de enlace de la VPC de tipo interfaz para este servicio en la VPC, siga el procedimiento Crear un punto de enlace de la interfaz. En Service name (Nombre del servicio), seleccione com.amazonaws.región.elasticbeanstalk-health.
importante
El daemon healthd envía información de estado mejorada al punto de enlace público, elasticbeanstalk-health.. Si la VPC está configurada con acceso público a internet y Enable DNS name (Habilitar nombre de DNS) está deshabilitado en el punto de enlace de la VPC, la información de estado mejorada viaja a través de internet público. Probablemente esta no sea su intención cuando configure un punto de enlace de la VPC de estado mejorado. Asegúrese de que Enable DNS name (Habilitar nombre de DNS) está habilitado (está establecido como “true” de forma predeterminada).region.amazonaws.com
Uso de puntos de enlace de la VPC en una VPC privada
Una VPC privada, o una subred privada de una VPC, no tiene acceso público a internet. Es posible que desee ejecutar su entorno de Elastic Beanstalk en una VPC privada y configurar los puntos de enlace de la VPC de tipo interfaz para mejorar la seguridad. En este caso, tenga en cuenta que su entorno podría intentar conectarse a Internet por otros motivos además de para ponerse en contacto con el servicio de Elastic Beanstalk. Para obtener más información sobre cómo ejecutar un entorno en una VPC privada, consulte Ejecución de un entorno Elastic Beanstalk en una VPC privada.
Uso de políticas de punto de enlace para controlar el acceso con puntos de enlace de la VPC
De forma predeterminada, un punto de enlace de la VPC permite el acceso completo al servicio al que está asociado. Al crear o modificar un punto de enlace, puede adjuntar una política de punto de enlace.
Una política de punto de enlace es una política de recursos de AWS Identity and Access Management (IAM) que controla el acceso desde el punto de enlace al servicio especificado. La política de punto final es específica del punto final. Es independiente de cualquier política de usuario o instancia de IAM que pueda tener su entorno y no las reemplaza ni las sobrescribe. Para obtener información detallada sobre la creación y el uso de políticas de punto de enlace de la VPC, consulte Control de acceso a los servicios con puntos de enlace de la VPC en la Guía de usuario de Amazon VPC.
En el ejemplo siguiente se deniega a todos los usuarios el permiso para terminar un entorno a través del punto final de la VPC y se permite el acceso completo a todas las demás acciones.
{ "Statement": [ { "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": "*" }, { "Action": "elasticbeanstalk:TerminateEnvironment", "Effect": "Deny", "Resource": "*", "Principal": "*" } ] }
nota
En este momento, solo el servicio principal de Elastic Beanstalk permite adjuntar una política de punto de enlace a su punto de enlace de la VPC. El servicio de mantenimiento mejorado no admite políticas de punto final.
