Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# AWS IoT Greengrass y puntos finales de VPC de interfaz ()AWS PrivateLink
Puede establecer una conexión privada entre la VPC y el plano de AWS IoT Greengrass control mediante la creación de un punto final de la *VPC* de interfaz. Puede usar este punto final para administrar los componentes, las implementaciones y los dispositivos principales del servicio. AWS IoT Greengrass Los puntos finales de la interfaz funcionan con una tecnología que le permite acceder de AWS IoT Greengrass APIs forma privada sin una puerta de enlace a Internet, un dispositivo NAT, una conexión VPN o una conexión AWS Direct Connect. [AWS PrivateLink](https://aws.amazon.com/privatelink) Las instancias de su VPC no necesitan direcciones IP públicas para comunicarse con ellas. AWS IoT Greengrass APIs El tráfico entre tu VPC y AWS IoT Greengrass no sale de la red de Amazon.
Cada punto de conexión de la interfaz está representado por una o más [interfaces de red elásticas](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) en las subredes.
Para obtener más información, consulte [Puntos de conexión de VPC de interfaz (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html) en la *Guía del usuario de Amazon VPC*.
**Topics**
+ [Consideraciones sobre los puntos AWS IoT Greengrass finales de VPC](#vpc-endpoint-considerations)
+ [Cree un punto final de VPC de interfaz para las operaciones del plano AWS IoT Greengrass de control](#create-vpc-endpoint-control-plane)
+ [Crear una política de puntos de conexión de VPC para AWS IoT Greengrass](#vpc-endpoint-policy)
+ [Opere un dispositivo AWS IoT Greengrass central en VPC](#vpc-operate-device-vpce)
## Consideraciones sobre los puntos AWS IoT Greengrass finales de VPC
Antes de configurar un punto de enlace de VPC de interfaz AWS IoT Greengrass, consulte las [propiedades y limitaciones del punto de enlace de interfaz](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-interface-limitations) en la Guía del usuario de Amazon *VPC*. Además, tenga en cuenta las siguientes consideraciones:
+ AWS IoT Greengrass admite realizar llamadas a todas las acciones de la API de su plano de control desde su VPC. El plano de control incluye operaciones como [CreateDeployment](https://docs.aws.amazon.com/greengrass/v2/APIReference/API_CreateDeployment.html)y [ListEffectiveDeployments](https://docs.aws.amazon.com/greengrass/v2/APIReference/API_ListEffectiveDeployments.html). El plano de control *no* incluye operaciones como [ResolveComponentCandidates](device-auth.md#iot-policies)[Discover](greengrass-discover-api.md), que son operaciones del plano de datos.
+ Los puntos de enlace de VPC para actualmente no AWS IoT Greengrass se admiten en las regiones de China AWS .
## Cree un punto final de VPC de interfaz para las operaciones del plano AWS IoT Greengrass de control
Puede crear un punto final de VPC para el plano de AWS IoT Greengrass control mediante la consola Amazon VPC o el (). AWS Command Line Interface AWS CLI Para obtener más información, consulte [Creación de un punto de conexión de interfaz](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint) en la *Guía del usuario de Amazon VPC*.
Cree un punto final de VPC para AWS IoT Greengrass usar el siguiente nombre de servicio:
+ com.amazonaws. *region*.greengrass
Si habilita el DNS privado para el punto final, puede realizar solicitudes a la API para AWS IoT Greengrass utilizar su nombre de DNS predeterminado para la región, por ejemplo. `greengrass.us-east-1.amazonaws.com` El DNS privado está habilitado de forma predeterminada.
Para más información, consulte [Acceso a un servicio a través de un punto de conexión de interfaz](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#access-service-though-endpoint) en la *Guía del usuario de Amazon VPC*.
## Crear una política de puntos de conexión de VPC para AWS IoT Greengrass
Puede adjuntar una política de punto de conexión a su punto de conexión de VPC que controle el acceso a las operaciones del plano de control de AWS IoT Greengrass . La política especifica la siguiente información:
+ La entidad principal que puede realizar acciones.
+ Acciones que la entidad principal puede realizar.
+ Los recursos sobre los que la entidad principal puede realizar acciones.
Para más información, consulte [Control del acceso a los servicios con puntos de conexión de VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) en la *Guía del usuario de Amazon VPC*.
**Example Ejemplo: política de puntos finales de VPC para acciones AWS IoT Greengrass**
El siguiente es un ejemplo de una política de puntos finales para AWS IoT Greengrass. Cuando se adjunta a un punto final, esta política otorga acceso a las AWS IoT Greengrass acciones enumeradas a todos los principales de todos los recursos.
```
{
"Statement": [
{
"Principal": "*",
"Effect": "Allow",
"Action": [
"greengrass:CreateDeployment",
"greengrass:ListEffectiveDeployments"
],
"Resource": "*"
}
]
}
```
## Opere un dispositivo AWS IoT Greengrass central en VPC
Puede operar un dispositivo principal de Greengrass y realizar implementaciones en VPC sin acceso público a Internet. Como mínimo, debe configurar los siguientes puntos de conexión de VPC con los alias de DNS correspondientes. Para obtener más información sobre cómo crear y utilizar puntos de conexión de VPC, consulte [Crear un punto de conexión de VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) en la *Guía del usuario de Amazon VPC*.
**nota**
La función de VPC para crear automáticamente un registro DNS está deshabilitada para las credenciales AWS IoT data y AWS IoT . Para conectarse a estos puntos de conexión, debe crear manualmente un registro DNS privado. Para obtener más información, consulte [DNS privado para puntos de conexión de interfaz](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#vpce-private-dns). Para obtener más información sobre las limitaciones de la AWS IoT Core VPC, consulte Limitaciones de los puntos finales de la [VPC](https://docs.aws.amazon.com/iot/latest/developerguide/IoTCore-VPC.html#VPC-limitations).
### Requisitos previos
+ Debe instalar el software AWS IoT Greengrass principal siguiendo los pasos de aprovisionamiento manual. Para obtener más información, consulte [Instale el software AWS IoT Greengrass principal con aprovisionamiento manual de recursos](manual-installation.md).
### Limitaciones
+ El funcionamiento de un dispositivo principal de Greengrass en VPC no es compatible en las regiones de China y AWS GovCloud (US) Regions.
+ [Para obtener más información sobre las limitaciones de los puntos de AWS IoT data enlace de VPC del proveedor de AWS IoT credenciales, consulte Limitaciones.](https://docs.aws.amazon.com/iot/latest/developerguide/IoTCore-VPC.html#VPC-limitations)
### Configuración de su dispositivo principal de Greengrass para que funcione en VPC
****
1. Obtenga los AWS IoT puntos de conexión que desee y Cuenta de AWS guárdelos para usarlos más adelante. El dispositivo usa estos puntos de conexión para conectarse a AWS IoT. Haga lo siguiente:
1. Obtenga el punto final AWS IoT de datos para su. Cuenta de AWS
```
aws iot describe-endpoint --endpoint-type iot:Data-ATS
```
Si la solicitud se realiza exitosamente, la respuesta se parece al siguiente ejemplo.
```
{
"endpointAddress": "device-data-prefix-ats.iot.us-west-2.amazonaws.com"
}
```
1. Obtenga el punto final de AWS IoT credenciales para su Cuenta de AWS.
```
aws iot describe-endpoint --endpoint-type iot:CredentialProvider
```
Si la solicitud se realiza exitosamente, la respuesta se parece al siguiente ejemplo.
```
{
"endpointAddress": "device-credentials-prefix.credentials.iot.us-west-2.amazonaws.com"
}
```
1. Cree una interfaz de Amazon VPC para los puntos de enlace AWS IoT data y AWS IoT las credenciales:
1. Vaya a la consola de [puntos de conexión](https://console.aws.amazon.com/vpc/home#/endpoints) de **VPC**, en **Nube virtual privada** en el menú de la izquierda, elija **Puntos de enlace** y después **Crear punto de conexión**.
1. En la página **Crear punto de conexión**, especifique la siguiente información.
+ Elija **Servicio de AWS** en **Categoría de servicio**.
+ En **Nombre del servicio**, busque introduciendo la palabra clave `iot`. En la lista de servicios de `iot` que se muestra, elija el punto de conexión.
Si crea un punto de enlace de VPC para el plano de AWS IoT Core datos, elija el punto de enlace de la API del plano de AWS IoT Core datos para su región. El punto de conexión tendrá el formato `com.amazonaws.region.iot.data`.
Si crea un punto de enlace de VPC para el proveedor de AWS IoT Core credenciales, elija el punto de enlace del proveedor de AWS IoT Core credenciales para su región. El punto de conexión tendrá el formato `com.amazonaws.region.iot.credentials`.
**nota**
El nombre del servicio para el plano de AWS IoT Core datos en la región de China tendrá este formato`cn.com.amazonaws.region.iot.data`. La región de China no admite la creación de puntos finales de VPC para el proveedor de AWS IoT Core credenciales.
+ Para la **VPC** y **las subredes**, elija la VPC en la que desee crear el punto final y las zonas de disponibilidad (AZs) en las que desee crear la red del punto final.
+ En **Habilitar nombre de DNS**, asegúrese de que **Habilitar para este punto de conexión** no está seleccionado. Ni el plano AWS IoT Core de datos ni el proveedor de AWS IoT Core credenciales admiten todavía nombres DNS privados.
+ En **Grupo de seguridad**, elija los grupos de seguridad que deban asociarse a las interfaces de red de punto de conexión.
+ Puede agregar o eliminar etiquetas si lo desea. Las etiquetas son pares de nombre-valor que se utilizan para asociar al punto de conexión.
1. Para crear su punto de conexión de VPC, elija **Crear punto de conexión**.
1. Después de crear el AWS PrivateLink punto final, en la pestaña **Detalles** del dispositivo, verá una lista de nombres de DNS. Puede utilizar uno de estos nombres DNS que ha creado en esta sección para [configurar su zona alojada privada](https://docs.aws.amazon.com/iot/latest/developerguide/IoTCore-VPC.html#connect-iot-core-create-phz-lns).
1. Cree un punto de conexión de Amazon S3. Para obtener más información consulte [Crear un punto de conexión de VPC de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/privatelink-interface-endpoints.html#s3-creating-vpc).
1. Si utiliza los [componentes de Greengrass proporcionados por AWS](https://docs.aws.amazon.com/greengrass/v2/developerguide/public-components.html), es posible que se necesiten configuraciones y puntos de conexión adicionales. Para ver los requisitos de los puntos de conexión, seleccione el componente de la lista de componentes proporcionados por AWS y consulte la sección de requisitos. Por ejemplo, los [requisitos del componente del administrador de registros](log-manager-component.md#log-manager-component-requirements) indican que este componente debe poder realizar las solicitudes salientes al punto de conexión `logs.region.amazonaws.com`.
Si utiliza su propio componente, es posible que deba revisar las dependencias y realizar pruebas adicionales para determinar si se requieren puntos de conexión adicionales.
1. En la configuración del núcleo de Greengrass, `greengrassDataPlaneEndpoint` debe estar configurado en **iotdata**. Para obtener más información, consulte la [Configuración del núcleo de Greengrass](greengrass-nucleus-component.md#greengrass-nucleus-component-configuration).
1. Si se encuentra en la región `us-east-1`, defina el parámetro de configuración `s3EndpointType` en **REGIONAL** en la configuración del núcleo de Greengrass. Esta característica está disponible para las versiones 2.11.3 y posteriores del núcleo de Greengrass.
**Example Ejemplo: configuración de componentes**
```
{
"aws.greengrass.Nucleus": {
"configuration": {
"awsRegion": "us-east-1",
"iotCredEndpoint": "xxxxxx.credentials.iot.region.amazonaws.com",
"iotDataEndpoint": "xxxxxx-ats.iot.region.amazonaws.com",
"greengrassDataPlaneEndpoint": "iotdata",
"s3EndpointType": "REGIONAL"
...
}
}
}
```
En la siguiente tabla, se proporciona información sobre los alias de DNS privados personalizados correspondientes.
| Servicio | Nombre del servicio de punto de conexión de VPC | Tipo de punto de conexión de VPC | Alias de DNS privado personalizado | Notas |
| --- | --- | --- | --- | --- |
| AWS IoT data | `com.amazonaws.region.iot.data` | Interfaz | `prefix-ats.iot.region.amazonaws.com` | El registro DNS privado debe coincidir con el AWS IoT data punto final de su cuenta:`aws iot describe–endpoint ––endpoint–type iot:Data-ATS`. |
| AWS IoT Credenciales | `com.amazonaws.region.iot.credentials` | Interfaz | `prefix.credentials.iot.region.amazonaws.com` | El registro DNS privado debe coincidir con el punto final de AWS IoT las credenciales de su cuenta:`aws iot describe–endpoint ––endpoint–type iot:CredentialProvider`. |
| Amazon S3 | `com.amazonaws.region.s3` | Interfaz | | El registro DNS se crea automáticamente. |