Proteger las conexiones de VPC en AWS Global Accelerator - AWS Global Accelerator

Proteger las conexiones de VPC en AWS Global Accelerator

Al agregar un equilibrador de carga de red, un equilibrador de carga de aplicación interno o un punto de conexión de una instancia Amazon EC2 en AWS Global Accelerator, se permite que el tráfico de Internet fluya directamente hacia y desde el punto de conexión en las nubes privadas virtuales (VPC) dirigiéndolo a una subred privada. La VPC que contiene el equilibrador de carga o la instancia EC2 debe tener una puerta de enlace de Internet conectada para indicar que la VPC acepta el tráfico de Internet. Sin embargo, no necesita direcciones IP públicas en el equilibrador de carga o en la instancia EC2. Tampoco se necesita una ruta de puerta de enlace de Internet asociada para la subred.

Esto difiere del caso de uso típico de una puerta de enlace de Internet, en el que se requieren direcciones IP públicas y rutas de puerta de enlace de Internet para que el tráfico de Internet fluya hacia las instancias o los equilibradores de carga en una VPC. Incluso si las interfaces de red elásticas de sus objetivos están presentes en una subred pública (es decir, una subred con una ruta de puerta de enlace de Internet), cuando se utiliza Global Accelerator para el tráfico de Internet, este anula la ruta de Internet típica y todas las conexiones lógicas que llegan a través de Global Accelerator también regresan a través de él en lugar de a través de la puerta de enlace de Internet.

nota

El uso de direcciones IP y de una subred públicas para las instancias de Amazon EC2 no es algo habitual, aunque es posible establecer la configuración con ellas. Los grupos de seguridad se aplican a cualquier tráfico que llegue a sus instancias, incluido el tráfico de Global Accelerator y cualquier dirección IP pública o elástica que esté asignada al ENI de su instancia. Use subredes privadas para asegurarse de que el tráfico solo lo entregue Global Accelerator.

Para obtener más información sobre cómo trabajar con los ENI, los grupos de seguridad y Global Accelerator, consulte Requisitos para los puntos de conexión con conservación de la dirección IP del cliente.

Tenga en cuenta esta información al analizar los problemas del perímetro de la red y configurar los privilegios de IAM relacionados con la administración del acceso a Internet. Para obtener más información sobre cómo controlar el acceso de Internet a su VPC, consulte este ejemplo de política de control de servicios.