.amazonaws.com/`
En la siguiente tabla se muestran los puertos necesarios.
|
|
| Origen | Destino | Puerto | Para obtener más información, consulte |
| --- |--- |--- |--- |
| Su centro de datos de origen | Servicio Amazon S3 URLs | 443 (TCP) | [Comunicación a través del puerto TCP 443](https://docs.aws.amazon.com/mgn/latest/ug/Network-Requirements.html#TCP-443) |
| Su centro de datos de origen | Región de AWS: dirección de consola específica para Application Migration Service | 443 (TCP) | [Comunicación entre los servidores de origen y el Servicio de migración de aplicaciones a través del puerto TCP 443](https://docs.aws.amazon.com/mgn/latest/ug/Network-Requirements.html#Source-Manager-TCP-443) |
| Su centro de datos de origen | Subred de área de almacenamiento | 1500 (TCP) | [Comunicación entre los servidores de origen y la subred del área de almacenamiento a través del puerto TCP 1500](https://docs.aws.amazon.com/mgn/latest/ug/Network-Requirements.html#Communication-TCP-1500) |
| Subred de área de almacenamiento | Región de AWS: dirección de consola específica para Application Migration Service | 443 (TCP) | [Comunicación entre la subred del área de ensayo y el Servicio de migración de aplicaciones a través del puerto TCP 443](https://docs.aws.amazon.com/mgn/latest/ug/Network-Requirements.html#Communication-TCP-443-Staging) |
| Subred de área de almacenamiento | Servicio Amazon S3 URLs | 443 (TCP) | [Comunicación a través del puerto TCP 443](https://docs.aws.amazon.com/mgn/latest/ug/Network-Requirements.html#TCP-443) |
| Subred de área de almacenamiento | Punto final de Amazon Elastic Compute Cloud (Amazon EC2) de la subred Región de AWS | 443 (TCP) | [Comunicación a través del puerto TCP 443](https://docs.aws.amazon.com/mgn/latest/ug/Network-Requirements.html#TCP-443) |
**Limitaciones**
El servicio de migración de aplicaciones no está disponible actualmente en todos Regiones de AWS los sistemas operativos.
+ [Compatible Regiones de AWS](https://docs.aws.amazon.com/mgn/latest/ug/supported-regions.html)
+ [Sistemas operativos compatibles](https://docs.aws.amazon.com/mgn/latest/ug/Supported-Operating-Systems.html)
## Arquitectura
El siguiente diagrama ilustra la arquitectura de red para una migración típica. Para obtener más información sobre esta arquitectura, consulte la [documentación del Servicio de migración de aplicaciones](https://docs.aws.amazon.com/mgn/latest/ug/Network-Settings-Video.html) y el [video sobre la arquitectura del servicio de migración de aplicaciones y la arquitectura de red](https://youtu.be/ao8geVzmmRo).
![\[Arquitectura de red para el Servicio de migración de aplicaciones para una migración típica\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/images/pattern-img/21346c0f-0643-4f4f-b21f-fdfe24fc6a8f/images/546598b2-8026-4849-a441-eaa2bc2bf6bb.png)
La siguiente vista detallada muestra la configuración de los puntos de conexión de VPC de la interfaz en el área de ensayo para conectar Amazon S3 y Servicio de migración de aplicaciones.
![\[Arquitectura de red para el servicio de migración de aplicaciones para una migración típica: vista detallada\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/images/pattern-img/21346c0f-0643-4f4f-b21f-fdfe24fc6a8f/images/bd0dfd42-4ab0-466f-b696-804dedcf4513.png)
## Tools (Herramientas)
+ [AWS Application Migration Service](https://docs.aws.amazon.com/mgn/latest/ug/what-is-application-migration-service.html)simplifica, agiliza y reduce el costo de realojar las aplicaciones. AWS
+ [Los puntos finales de VPC de interfaz](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html) le permiten conectarse a servicios alimentados por AWS PrivateLink sin necesidad de una puerta de enlace a Internet, un dispositivo NAT, una conexión VPN o una conexión. AWS Direct Connect Las instancias de su VPC no necesitan direcciones IP públicas para comunicarse con los recursos del servicio. El tráfico entre su VPC y el otro servicio no sale de la red de Amazon.
## Epics
### Cree puntos de enlace para Application Migration Service EC2, Amazon y Amazon S3
| Tarea | Descripción | Habilidades requeridas |
| --- | --- | --- |
| Configure el punto de conexión de la interfaz para el Servicio de migración de aplicaciones. | El centro de datos de origen y la VPC del área de ensayo se conectan de forma privada al plano de control del Servicio de migración de aplicaciones a través del punto de conexión de la interfaz que se crea en la VPC del área de almacenamiento de destino. Para crear el punto de conexión:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/connect-to-application-migration-service-data-and-control-planes-over-a-private-network.html)Para obtener más información, consulte [Acceso y Servicio de AWS uso de un punto final de VPC de interfaz en la documentación de Amazon VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html). | Líder de migración |
| Configure el punto final de la interfaz para Amazon EC2. | La VPC del área de ensayo se conecta de forma privada a la API de EC2 Amazon a través del punto de enlace de interfaz que usted crea en la VPC del área de ensayo de destino. Para crear el punto de conexión, siga las instrucciones de la historia anterior.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/connect-to-application-migration-service-data-and-control-planes-over-a-private-network.html) | Líder de migración |
| Configure el punto de conexión de interfaz para Amazon S3. | El centro de datos de origen y la VPC del área de ensayo se conectan de forma privada a la API de Amazon S3 a través del punto de conexión de interfaz que usted crea en la VPC del área de ensayo de destino. Para crear el punto de conexión, siga las instrucciones que se proporcionan en la primera historia.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/connect-to-application-migration-service-data-and-control-planes-over-a-private-network.html)Se utiliza un punto de conexión de interfaz porque las conexiones de punto de conexión de puerta de enlace no se pueden ampliar más allá de la VPC. (Para obtener más información, consulte la [documentación de AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-gateway.html)). | Líder de migración |
| Creación del punto de conexión de la puerta de enlace de Amazon S3. | Durante la fase de configuración, el servidor de replicación debe conectarse a un bucket de S3 para descargar las actualizaciones de software del servidor de AWS replicación. Sin embargo, los puntos de conexión de la interfaz Amazon S3 no admiten nombres de DNS privados* *y no hay forma de proporcionar un nombre de DNS de punto de conexión de Amazon S3 a un servidor de replicación. Para mitigar este problema, debe crear un punto de conexión de puerta de enlace de Amazon S3 en la VPC a la que pertenece la subred del área de ensayo y actualizar las tablas de rutas de la subred de almacenamiento provisional con las rutas pertinentes. Para obtener más información, consulte [Crear un punto final de puerta](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html#create-gateway-endpoint-s3) de enlace en la AWS PrivateLink documentación. | Administrador de la nube |
| Configure el DNS en las instalaciones para resolver los nombres DNS privados de los puntos de conexión. | Los puntos finales de la interfaz de Application Migration Service y Amazon EC2 tienen nombres DNS privados que se pueden resolver en la VPC. Sin embargo, también debe configurar los servidores en las instalaciones para resolver los nombres DNS privados de estos puntos de conexión de la interfaz.Estos servidores se pueden configurar de varias formas. En este patrón, probamos esta funcionalidad reenviando las consultas de DNS locales al punto final de Amazon Route 53 Resolver entrada de la VPC del área de ensayo. Para obtener más información, consulte [Resolución de consultas de DNS entre VPCs y su red](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-overview-DSN-queries-to-vpc.html) en la documentación de Route 53. | Ingeniero de migraciones |
### Conéctese al plano de control del Servicio de migración de aplicaciones a través de un enlace privado
| Tarea | Descripción | Habilidades requeridas |
| --- | --- | --- |
| Instale el agente de AWS replicación mediante AWS PrivateLink. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/connect-to-application-migration-service-data-and-control-planes-over-a-private-network.html)A continuación se muestra un ejemplo para Linux:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/connect-to-application-migration-service-data-and-control-planes-over-a-private-network.html)Una vez establecida la conexión con el Servicio de migración de aplicaciones e instalado el Agente de AWS replicación, siga las instrucciones de la [documentación del Servicio de migración de aplicaciones](https://docs.aws.amazon.com/mgn/latest/ug/migration-workflow-gs.html) para migrar los servidores de origen a la VPC y la subred de destino. | Ingeniero de migraciones |
## Recursos relacionados
**Documentación del Servicio de migración de aplicaciones**
+ [Conceptos](https://docs.aws.amazon.com/mgn/latest/ug/CloudEndure-Concepts.html)
+ [Flujo de trabajo de migración ](https://docs.aws.amazon.com/mgn/latest/ug/migration-workflow-gs.html)
+ [Guía de inicio rápido](https://docs.aws.amazon.com/mgn/latest/ug/quick-start-guide-gs.html)
+ [Preguntas frecuentes](https://docs.aws.amazon.com/mgn/latest/ug/FAQ.html)
+ [Solución de problemas](https://docs.aws.amazon.com/mgn/latest/ug/troubleshooting.html)
**Recursos adicionales**
+ [Realojar sus aplicaciones en una arquitectura de varias cuentas AWS mediante puntos finales de interfaz de VPC (guía](https://docs.aws.amazon.com/prescriptive-guidance/latest/rehost-multi-account-architecture-interface-endpoints/) de orientación prescriptiva)AWS
+ [AWS Application Migration Service — Una introducción técnica](https://www.aws.training/Details/eLearning?id=71732) (tutorial sobre formación y certificación)AWS
+ [AWS Application Migration Service arquitectura y arquitectura de red](https://youtu.be/ao8geVzmmRo) (vídeo)
## Información adicional
**Solución de problemas de** **instalaciones del agente de *AWS *replicación en servidores Linux**
Si recibe un error **gcc** en un servidor Amazon Linux, configure el repositorio de paquetes y utilice el siguiente comando:
```
## sudo yum groupinstall "Development Tools"
```
# Cree objetos de Infoblox con los recursos CloudFormation personalizados de AWS y Amazon SNS
*Tim Sutton, Amazon Web Services*
## Resumen
**Aviso**: ya no AWS Cloud9 está disponible para nuevos clientes. Los clientes actuales de AWS Cloud9 pueden seguir utilizando el servicio con normalidad. [Más información](https://aws.amazon.com/blogs/devops/how-to-migrate-from-aws-cloud9-to-aws-ide-toolkits-or-aws-cloudshell/)
El sistema de nombres de dominio (DNS), el protocolo de configuración dinámica de host (DHCP) y la administración de direcciones IP ([Infoblox DDI](https://www.infoblox.com/products/ddi/)) permiten centralizar y controlar de manera eficiente un entorno híbrido complejo. Con Infoblox DDI se pueden descubrir y registrar todos los activos de la red en una base de datos de Administrador de direcciones IP (IPAM) autorizada, además de administrar el DNS en las instalaciones y en la nube de Amazon Web Services (AWS) mediante los mismos dispositivos.
Este patrón describe cómo usar un recurso CloudFormation personalizado de AWS para crear objetos de Infoblox (por ejemplo, registros DNS u objetos de IPAM) mediante una llamada a la API WAPI de Infoblox. Para obtener más información sobre la WAPI de Infoblox, consulte la [documentación de la WAPI](https://www.infoblox.com/wp-content/uploads/infoblox-deployment-infoblox-rest-api.pdf) en la documentación de Infoblox.
Al utilizar el enfoque de este patrón, puede obtener una vista unificada de los registros de DNS y las configuraciones de IPAM para sus entornos de AWS y en las instalaciones, además de eliminar los procesos manuales que crean registros y aprovisionan sus redes. Se puede utilizar el enfoque de este patrón para los casos de uso siguientes:
+ Añadir un registro A después de crear una instancia de Amazon Elastic Compute Cloud (Amazon EC2)
+ Cómo agregar un registro CNAME después de crear un Equilibrador de carga de aplicación
+ Cómo agregar un objeto de red después de crear una nube privada virtual (VPC)
+ Proporcionar el rango de redes siguiente y usar ese rango para crear subredes
También puede ampliar este patrón y utilizar otras funciones del dispositivo Infoblox, como agregar diferentes tipos de registros DNS o configurar Infoblox vDiscovery.
El patrón usa un hub-and-spoke diseño en el que el hub requiere conectividad con el dispositivo Infoblox en la nube de AWS o en las instalaciones y usa AWS Lambda para llamar a la API de Infoblox. El radio se encuentra en la misma cuenta o en una cuenta diferente de la misma organización en AWS Organizations y llama a la función Lambda mediante un recurso CloudFormation personalizado de AWS.
## Requisitos previos y limitaciones
**Requisitos previos **
+ Un dispositivo o una red de Infoblox existente, instalado en la nube de AWS, en las instalaciones o en ambos, y configurado con un usuario administrador que puede administrar las acciones de IPAM y DNS. Para obtener más información acerca de este tema, consulte [About admin accounts](https://docs.infoblox.com/display/nios86/About+Admin+Accounts) (Acerca de las cuentas de administrador) en la documentación de Infoblox.
+ Una zona de DNS autorizada existente a la que desee agregar registros del dispositivo Infoblox. Para obtener más información al respecto, consulte [Configuring authoritative zones](https://docs.infoblox.com/display/nios86/Configuring+Authoritative+Zones) (Configurar zonas autorizadas) en la documentación de Infoblox.
+ Dos cuentas de AWS activas en AWS Organizations. Una cuenta es la cuenta de hub y la otra es la cuenta de spoke.
+ Las cuentas de hub y spoke deben estar en la misma región de AWS.
+ La VPC de la cuenta de hub debe conectarse al dispositivo Infoblox; por ejemplo, mediante AWS Transit Gateway o interconexión de VPC.
+ [AWS Serverless Application Model (AWS SAM)](https://docs.aws.amazon.com/serverless-application-model/latest/developerguide/what-is-sam.html), instalado y configurado localmente con AWS Cloud9 o AWS. CloudShell
+ Los archivos `ClientTest.yaml` y `Infoblox-Hub.zip` (adjuntos), descargados en el entorno local que contiene AWS SAM.
**Limitaciones**
+ El token de servicio del recurso CloudFormation personalizado de AWS debe provenir de la misma región en la que se creó la pila. Se recomienda utilizar una cuenta de hub en cada región, en lugar de crear un tema de Amazon Simple Notification Service (Amazon SNS) en una región y llamar a la función de Lambda en otra región.
**Versiones de producto**
+ Infoblox, versión 2.7
## Arquitectura
En los siguientes diagramas se muestra el flujo de este patrón.
![\[Creación de objetos de Infoblox mediante recursos CloudFormation personalizados de AWS y Amazon SNS.\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/images/pattern-img/8d609d3f-6f5e-4084-849f-ca191db8055e/images/3594a064-e103-4211-84b7-da67c41ebb15.png)
El diagrama muestra los siguientes componentes para la solución de este patrón:
1. CloudFormation Los recursos personalizados de AWS le permiten escribir una lógica de aprovisionamiento personalizada en las plantillas que AWS CloudFormation ejecuta al crear, actualizar o eliminar pilas. Al crear una pila, AWS CloudFormation envía una `create` solicitud a un tema de SNS que supervisa una aplicación que se ejecuta en una EC2 instancia.
1. La notificación de Amazon SNS del recurso CloudFormation personalizado de AWS se cifra mediante una clave específica de AWS Key Management Service (AWS KMS) y el acceso está restringido a las cuentas de su organización en Organizations. El tema SNS inicia el recurso de Lambda que llama a la API WAPI de Infoblox.
1. Amazon SNS invoca las siguientes funciones de Lambda que toman la URL de la WAPI de Infoblox, el nombre de usuario y la contraseña () de AWS Secrets Manager Amazon Resource Names () como variables de entorno: ARNs
+ `dnsapi.lambda_handler`— Recibe los `DNSValue` valores `DNSName``DNSType`, y del recurso CloudFormation personalizado de AWS y los utiliza para crear registros A de DNS y CNAME.
+ `ipaddr.lambda_handler`— Recibe los `Network Name` valores`VPCCIDR`, `Type``SubnetPrefix`, y del recurso CloudFormation personalizado de AWS y los utiliza para añadir los datos de la red a la base de datos de IPAM de Infoblox o para proporcionar al recurso personalizado la siguiente red disponible que se pueda utilizar para crear nuevas subredes.
+ `describeprefixes.lambda_handler`: Llama a la API de AWS `describe_managed_prefix_lists` mediante el filtro `"com.amazonaws."+Region+".s3"` para recuperar el `prefix ID` necesario.
**importante**
Estas funciones Lambda están escritas en Python y son similares entre sí, pero se llaman de forma diferente. APIs
1. Puede implementar la red de Infoblox como dispositivos de red físicos, virtuales o basados en la nube. Se puede implementar en las instalaciones o como un dispositivo virtual mediante una variedad de hipervisores, incluidos VMware ESXi Microsoft Hyper-V, Linux KVM y Xen. También puede implementar la cuadrícula de Infoblox en la nube de AWS con una Imagen de máquina de Amazon (AMI).
1. El diagrama muestra una solución híbrida para la red de Infoblox que proporciona DNS e IPAM a los recursos en la nube de AWS y en las instalaciones.
**Pila de tecnología**
+ AWS CloudFormation
+ IAM
+ AWS KMS
+ AWS Lambda
+ SAM de AWS
+ AWS Secrets Manager
+ Amazon SNS
+ Amazon VPC
## Tools (Herramientas)
+ [AWS](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html) le CloudFormation ayuda a configurar los recursos de AWS, aprovisionarlos de forma rápida y coherente y gestionarlos durante todo su ciclo de vida en todas las cuentas y regiones de AWS.
+ [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) le permite administrar de forma segura el acceso a los recursos de AWS mediante el control de quién está autenticado y autorizado a utilizarlos.
+ [AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) facilita poder crear y controlar claves criptográficas para proteger los datos.
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) es un servicio de computación que ayuda a ejecutar código sin necesidad de aprovisionar ni administrar servidores. Ejecuta el código solo cuando es necesario y amplía la capacidad de manera automática, por lo que solo pagará por el tiempo de procesamiento que utilice.
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) es un servicio de administración de cuentas que le permite agrupar varias cuentas de AWS en una organización que usted crea y administra de manera centralizada.
+ [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) le permite reemplazar las credenciales codificadas en el código, incluidas las contraseñas, con una llamada a la API de Secrets Manager para recuperar el secreto mediante programación.
+ [AWS Serverless Application Model (AWS SAM)](https://docs.aws.amazon.com/serverless-application-model/latest/developerguide/what-is-sam.html) es un marco de código abierto que permite crear aplicaciones sin servidor en la nube de AWS.
+ [Amazon Simple Notification Service (Amazon SNS)](https://docs.aws.amazon.com/sns/latest/dg/welcome.html) le permite coordinar y administrar el intercambio de mensajes entre publicadores y clientes, incluidos los servidores web y las direcciones de correo electrónico.
+ [Amazon Virtual Private Cloud (Amazon VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) le permite lanzar recursos de AWS en una red virtual que haya definido. Esta red virtual es similar a la red tradicional que utiliza en su propio centro de datos, con los beneficios de usar la infraestructura escalable de AWS.
**Código**
Puede usar la CloudFormation plantilla de AWS de `ClientTest.yaml` muestra (adjunta) para probar el centro de Infoblox. Puede personalizar la CloudFormation plantilla de AWS para incluir los recursos personalizados de la siguiente tabla.
| |
| --- |
| Crear un registro A con el recurso personalizado de spoke de Infoblox | Valores devueltos: `infobloxref `: referencias de InfobloxRecurso de ejemplo:
```
ARECORDCustomResource:
Type: "Custom::InfobloxAPI"
Properties:
ServiceToken: !Sub arn:aws:sns:${AWS::Region}:${HubAccountID}:RunInfobloxDNSFunction
DNSName: 'arecordtest.company.com'
DNSType: 'ARecord'
DNSValue: '10.0.0.1'
``` |
| --- |--- |
| crear un registro de CNAME con el recurso personalizado de spoke de Infoblox | **Valores devueltos**: `infobloxref `: referencias de Infoblox**Recurso de ejemplo**:CNAMECustomResource:
Type: "Custom::InfobloxAPI"
Properties:
ServiceToken: !Sub arn:aws:sns:${AWS::Region}:${HubAccountID}:RunInfoblox
DNSFunction
DNSName: 'cnametest.company.com'
DNSType: 'cname'
DNSValue: 'aws.amazon.com'
|
| crear un objeto de red utilizando el recurso personalizado de spoke de Infoblox | **Valores devueltos**:`infobloxref `: referencias de Infoblox`network`: Rango de red (igual a `VPCCIDR`)**Recurso de ejemplo**:VPCCustomResource:
Type: 'Custom::InfobloxAPI'
Properties:
ServiceToken: !Sub arn:aws:sns:${AWS::Region}:${HubAccountID}:RunInfobloxNextSubnetFunction
VPCCIDR: !Ref VpcCIDR
Type: VPC
NetworkName: My-VPC
|
| Recuperar la subred disponible siguiente mediante el recurso personalizado de spoke de Infoblox | **Valores devueltos**:`infobloxref`: referencias de Infoblox`network `: El rango de redes de la subred**Recurso de ejemplo**:Subnet1CustomResource:
Type: 'Custom::InfobloxAPI'
DependsOn: VPCCustomResource
Properties:
ServiceToken: !Sub arn:aws:sns:${AWS::Region}:${HubAccountID}:RunInfobloxNextSubnetFunction
VPCCIDR: !Ref VpcCIDR
Type: Subnet
SubnetPrefix: !Ref SubnetPrefix
NetworkName: My-Subnet
|
## Epics
### Crear y configurar la VPC de la cuenta de hub
| Tarea | Descripción | Habilidades requeridas |
| --- | --- | --- |
| Crear una VPC con una conexión al dispositivo Infoblox. | Inicie sesión en la consola de administración de AWS de su cuenta de hub y cree una VPC siguiendo los pasos de [Amazon VPC en la implementación de referencia de inicio rápido de la nube de AWS](https://aws-quickstart.github.io/quickstart-aws-vpc/) en los inicios rápidos de AWS.La VPC debe tener conectividad HTTPS con el dispositivo Infoblox y se recomienda utilizar una subred privada para esta conexión. | Administrador de red, administrador del sistema |
| (Opcional) Cree los puntos de conexión de VPC para las subredes privadas. | Los puntos de conexión de VPC proporcionan conectividad a los servicios públicos para las subredes privadas. Se necesitan los puntos de conexión siguientes:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/create-infoblox-objects-using-aws-cloudformation-custom-resources-and-amazon-sns.html)Para obtener más información acerca de la creación de puntos de conexión para las subredes privadas, consulte [VPC endpoints](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints.html) (Puntos de conexión de VPC) de la documentación de Amazon VPC. | Administrador de red, administrador del sistema |
### Implementar el hub de Infoblox
| Tarea | Descripción | Habilidades requeridas |
| --- | --- | --- |
| Cree la plantilla SAM de AWS. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/create-infoblox-objects-using-aws-cloudformation-custom-resources-and-amazon-sns.html) | Desarrollador, administrador del sistema |
| Implemente la plantilla SAM de AWS. | El `sam deploy` comando toma los parámetros necesarios y los guarda en el `samconfig.toml` archivo, almacena la CloudFormation plantilla de AWS y las funciones de Lambda en un bucket de S3 y, a continuación, implementa la CloudFormation plantilla de AWS en su cuenta de hub. El código de ejemplo siguiente muestra cómo implementar la plantilla AWS SAM:$ sam deploy --guided
Configuring SAM deploy
======================
Looking for config file [samconfig.toml] : Found
Reading default arguments : Success
Setting default arguments for 'sam deploy'
=========================================
Stack Name [Infoblox-Hub]:
AWS Region [eu-west-1]:
Parameter InfobloxUsername:
Parameter InfobloxPassword:
Parameter InfobloxIPAddress [xxx.xxx.xx.xxx]:
Parameter AWSOrganisationID [o-xxxxxxxxx]:
Parameter VPCID [vpc-xxxxxxxxx]:
Parameter VPCCIDR [xxx.xxx.xxx.xxx/16]:
Parameter VPCSubnetID1 [subnet-xxx]:
Parameter VPCSubnetID2 [subnet-xxx]:
Parameter VPCSubnetID3 [subnet-xxx]:
Parameter VPCSubnetID4 []:
#Shows you resources changes to be deployed and require a 'Y' to initiate deploy
Confirm changes before deploy [Y/n]: y
#SAM needs permission to be able to create roles to connect to the resources in your template
Allow SAM CLI IAM role creation [Y/n]: n
Capabilities [['CAPABILITY_NAMED_IAM']]:
Save arguments to configuration file [Y/n]: y
SAM configuration file [samconfig.toml]:
SAM configuration environment [default]:
Debe utilizar la opción `--guided` cada vez, ya que las credenciales de inicio de sesión de Infoblox no se almacenan en el archivo `samconfig.toml`. | Desarrollador, administrador del sistema |
## Recursos relacionados
+ [Cómo empezar a WAPIs usar Postman (blog de Infoblox](https://blogs.infoblox.com/community/getting-started-with-wapis-using-postman/))
+ [Provisioning vNIOS for AWS Using the BYOL Model ](https://docs.infoblox.com/display/NAIG/Provisioning+vNIOS+for+AWS+Using+the+BYOL+Model)(Aprovisionar vNIOS para AWS mediante el modelo BYOL) (documentación de Infoblox)
+ [quickstart-aws-vpc](https://github.com/aws-quickstart/quickstart-aws-vpc)(repositorio) GitHub
+ [describe\$1managed\$1prefix\$1lists](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/ec2.html#EC2.Client.describe_managed_prefix_lists) (documentación de AWS SDK para Python)
## Conexiones
Para acceder al contenido adicional asociado a este documento, descomprima el archivo: [attachment.zip](samples/p-attach/8d609d3f-6f5e-4084-849f-ca191db8055e/attachments/attachment.zip)
# Cree una arquitectura IPAM jerárquica y multirregional mediante Terraform AWS
*Donny Schreiber, Amazon Web Services*
## Resumen
La *administración de direcciones IP (IPAM)* es un componente esencial de la administración de redes y se vuelve cada vez más compleja a medida que las organizaciones escalan su infraestructura en la nube. Sin la IPAM adecuada, las organizaciones corren el riesgo de que se produzcan conflictos con las direcciones IP, se desperdicie espacio en las direcciones y se resuelvan problemas complejos que pueden provocar interrupciones y tiempo de inactividad en las aplicaciones. Este patrón demuestra cómo implementar una solución de IPAM integral para AWS entornos empresariales mediante Terraform. HashiCorp [Ayuda a las organizaciones a crear una arquitectura de IPAM jerárquica y multirregional que facilita la administración centralizada de las direcciones IP en todos los componentes de la organización. Cuentas de AWSAWS](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html#organization-structure)
Este patrón lo ayuda a implementar el [Administrador de direcciones IP de Amazon VPC](https://docs.aws.amazon.com/vpc/latest/ipam/what-it-is-ipam.html) con una sofisticada jerarquía de grupos de cuatro niveles: grupo de nivel superior, grupos regionales, grupos de unidades de negocio y grupos específicos del entorno. Esta estructura permite realizar una gobernanza adecuada de las direcciones IP y, al mismo tiempo, permite delegar la administración de direcciones IP en los equipos correspondientes de la organización. La solución utiliza AWS Resource Access Manager (AWS RAM) para compartir sin problemas los grupos de administradores de direcciones IP en toda la organización. AWS RAM centraliza y estandariza las especificaciones de IPAM, que los equipos pueden utilizar en todas las cuentas gestionadas.
Este patrón lo ayuda a lograr lo siguiente:
+ Automatice la asignación de direcciones IP en todas las Regiones de AWS unidades de negocio y los entornos.
+ Aplicar las políticas de red de la organización mediante la validación con programación.
+ Escalar la infraestructura de red de manera eficiente a medida que evolucionan los requisitos de la empresa.
+ Reducir la sobrecarga operativa mediante la administración centralizada de los espacios de direcciones IP.
+ Acelerar las implementaciones de cargas de trabajo nativas en la nube con la asignación de rangos de CIDR de autoservicio.
+ Evitar gestionar los conflictos mediante la validación y los controles basados en políticas.
## Requisitos previos y limitaciones
**Requisitos previos **
+ Uno o más Cuentas de AWS, administrados como una organización en AWS Organizations.
+ Una cuenta de administración de redes o de centro de redes que servirá como administrador delegado del Administrador de direcciones IP.
+ AWS Command Line Interface (AWS CLI), [instalado](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) y [configurado](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-configure.html).
+ La versión 1.5 o posterior de Terraform [instalada](https://developer.hashicorp.com/terraform/tutorials/aws-get-started/install-cli).
+ AWS Proveedor de Terraform, [configurado](https://registry.terraform.io/providers/hashicorp/aws/latest/docs).
+ Permisos para administrar el [administrador de direcciones IP](https://docs.aws.amazon.com/vpc/latest/ipam/iam-ipam.html) y [las nubes privadas virtuales (VPCs)](https://docs.aws.amazon.com/vpc/latest/userguide/security-iam.html) configuradas en AWS Identity and Access Management (IAM). [AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/security-iam.html)
**Limitaciones**
+ El Administrador de direcciones IP está sujeto a las [cuotas de servicio](https://docs.aws.amazon.com/vpc/latest/ipam/quotas-ipam.html). La cuota de servicio predeterminada para los grupos es de 50 por ámbito. Al ejecutar esta implementación en 6 regiones, 2 unidades de negocio y 4 entornos, se crearían 67 grupos. Por lo tanto, podría ser necesario incrementar la cuota.
+ Al modificar o eliminar los grupos del Administrador de direcciones IP una vez asignados los recursos, podrían surgir problemas de dependencias. Primero debe [liberar la asignación](https://docs.aws.amazon.com/vpc/latest/ipam/release-alloc-ipam.html) antes de poder eliminar el grupo.
+ En el Administrador de direcciones IP, la [supervisión de los recursos](https://docs.aws.amazon.com/vpc/latest/ipam/monitor-cidr-compliance-ipam.html) puede experimentar un ligero retraso a la hora de reflejar los cambios en los recursos. Este retraso puede ser de 20 minutos aproximadamente.
+ El Administrador de direcciones IP no puede aplicar la unicidad de las direcciones IP en distintos ámbitos de forma automática.
+ Las etiquetas personalizadas deben cumplir con las [prácticas recomendadas en materia de etiquetado de AWS](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/tagging-best-practices.html). Por ejemplo, cada clave debe ser única y no puede empezar por `aws:`.
+ Hay ciertas [consideraciones y limitaciones](https://docs.aws.amazon.com/vpc/latest/ipam/enable-integ-ipam-outside-org-considerations.html) a la hora de integrar el Administrador de direcciones IP con cuentas externas a su organización.
## Arquitectura
**Arquitectura de destino**
*Configuración y jerarquía de grupos del Administrador de direcciones IP*
En el siguiente diagrama se ilustran los constructos lógicos de la arquitectura de destino. Un *ámbito* es el contenedor de nivel más alto del Administrador de direcciones IP. Cada ámbito representa el espacio de direcciones IP de una única red. Los *grupos* son conjuntos de rangos continuos de direcciones IP (o rangos de CIDR) dentro del ámbito. Los grupos lo ayudan a organizar las direcciones IP según sus necesidades de enrutamiento y seguridad. En este diagrama se ilustran cuatro niveles jerárquicos de grupos: un grupo de nivel superior, grupos regionales, grupos de unidades de negocio y grupos de entornos.
![\[Un alcance privado y cuatro niveles de grupos en una sola región de AWS en una cuenta de red.\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/images/pattern-img/780e344e-37f7-4b70-8d7c-94ec67a29305/images/1e23b2a7-a274-4a19-9097-61d8a31dfbf8.png)
Esta solución establece una jerarquía clara de grupos del Administrador de direcciones IP:
1. El grupo de nivel superior comprende todo el espacio de direcciones IP de la organización, como `10.176.0.0/12`.
1. Los grupos regionales son para las asignaciones específicas de una región, como `10.176.0.0/15` para `us-east-1`.
1. Los grupos de unidades de negocio son asignaciones específicas de dominio dentro de cada uno de ellos. Región de AWS Por ejemplo, la unidad de negocios de finanzas de la región `us-east-1` podría tener `10.176.0.0/16`.
1. Los grupos de entornos son asignaciones con una finalidad específica para diferentes entornos. Por ejemplo, la unidad de negocios de finanzas de la región `us-east-1` podría tener `10.176.0.0/18` para un entorno de producción.
Esta topología de implementación distribuye geográficamente los recursos del Administrador de direcciones IP y, al mismo tiempo, mantiene el control centralizado. Sus características son las siguientes:
+ El administrador de direcciones IP se implementa en un único servidor principal. Región de AWS
+ Las regiones adicionales se registran como [regiones operativas](https://docs.aws.amazon.com/vpc/latest/ipam/mod-ipam-region.html), donde el Administrador de direcciones IP puede administrar los recursos.
+ Cada región operativa recibe un grupo de direcciones dedicado del grupo de nivel superior.
+ Los recursos de todas las regiones operativas se administran de forma centralizada a través del Administrador de direcciones IP en la región principal.
+ Cada grupo regional tiene una propiedad de configuración regional vinculada a su región que lo ayuda a asignar los recursos de forma adecuada.
*Validación avanzada del rango de CIDR*
Esta solución está diseñada para evitar que se implementen configuraciones que no sean válidas. Al implementar los grupos a través de Terraform, se valida lo siguiente durante la fase de planificación de Terraform:
+ Valida que todos los rangos de CIDR del entorno estén contenidos dentro de los rangos de CIDR de las unidades de negocio principales
+ Confirma que todos los rangos de CIDR de la unidad de negocio estén contenidos dentro de los rangos de CIDR regionales principales
+ Verifica que todos los rangos de CIDR regionales estén contenidos en los rangos de CIDR de nivel superior
+ Comprueba si hay rangos de CIDR solapados dentro del mismo nivel jerárquico
+ Valida la asignación adecuada de los entornos a sus respectivas unidades de negocio
*Asignación de rangos de CIDR*
El siguiente diagrama muestra un ejemplo de cómo los desarrolladores o administradores pueden crear direcciones IP nuevas VPCs y asignarlas desde los niveles del grupo.
![\[Un alcance privado y cuatro niveles de grupos en una sola región de AWS en una cuenta de red.\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/images/pattern-img/780e344e-37f7-4b70-8d7c-94ec67a29305/images/7c3de2e3-e71b-4fc0-abcd-7e88cfab5c87.png)
En el diagrama, se muestra el siguiente flujo de trabajo:
1. A través de la Consola de administración de AWS infraestructura como código (IaC) o mediante la infraestructura como código (IaC), un desarrollador o administrador solicita el siguiente rango de CIDR disponible en el grupo de `AY3` entornos. AWS CLI
1. El Administrador de direcciones IP asigna el siguiente rango de CIDR disponible en ese grupo a la VPC `AY3-4`. Este rango de CIDR ya no se puede utilizar.
**Automatización y escala**
Esta solución está diseñada para ofrecer escalabilidad de la siguiente manera:
+ **Expansión regional**: para agregar nuevas regiones, amplíe la configuración de Terraform con entradas adicionales del grupo regional.
+ **Crecimiento de las unidades de negocio**: para admitir las nuevas unidades de negocio, agréguelas al mapa de configuración de las unidades de negocio.
+ **Flexibilidad del entorno**: configure distintos tipos de entornos, como entornos de desarrollo o producción, en función de las necesidades de la organización.
+ **Soporte multicuenta**: comparta grupos entre todas las cuentas de su organización a través de. AWS RAM
+ **Aprovisionamiento automatizado de VPC**: intégrelo con los flujos de trabajo de aprovisionamiento de VPC para automatizar la asignación de rangos de CIDR.
La estructura jerárquica también permite diferentes escalas de delegación y control, como las siguientes:
+ Los administradores de red pueden administrar los grupos regionales y de nivel superior.
+ Es posible que los equipos de TI de las unidades de negocio hayan delegado el control de sus grupos respectivos.
+ Los equipos de aplicaciones pueden consumir direcciones IP de los grupos de entornos designados.
**nota**
También puede integrar esta solución con el [Generador de cuentas de AWS Control Tower para Terraform (AFT)](https://docs.aws.amazon.com/controltower/latest/userguide/aft-overview.html). Para obtener más información, consulte *Integración con AFT* en la sección [Información adicional](#multi-region-ipam-architecture-additional) de este patrón.
## Tools (Herramientas)
**Servicios de AWS**
+ [Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html) le CloudWatch ayuda a supervisar las métricas de sus AWS recursos y las aplicaciones en las que se ejecuta AWS en tiempo real.
+ [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) es una herramienta de código abierto que le ayuda a interactuar Servicios de AWS mediante comandos en su shell de línea de comandos.
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)es un servicio de administración de cuentas que le ayuda a consolidar múltiples cuentas Cuentas de AWS en una organización que puede crear y administrar de forma centralizada.
+ [AWS Resource Access Manager (AWS RAM)](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) le ayuda a compartir sus recursos de forma segura Cuentas de AWS para reducir la sobrecarga operativa y ofrecer visibilidad y capacidad de auditoría.
+ [Amazon Virtual Private Cloud (Amazon VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) le ayuda a lanzar AWS recursos en una red virtual que haya definido. Esa red virtual es similar a la red tradicional que utiliza en su propio centro de datos, con los beneficios de usar la infraestructura escalable de AWS. El [Administrador de direcciones IP](https://docs.aws.amazon.com/vpc/latest/ipam/what-it-is-ipam.html) es una característica de Amazon VPC. Le ayuda a planificar, rastrear y monitorear las direcciones IP de sus cargas de AWS trabajo.
**Otras herramientas**
+ [HashiCorp Terraform](https://www.terraform.io/docs) es una herramienta de infraestructura como código (IaC) que facilita usar el código para aprovisionar y administrar los recursos y la infraestructura en la nube.
**Repositorio de código**
El código de este patrón está disponible en el repositorio de [ejemplo de implementación de Terraform para el IPAM jerárquico](https://github.com/aws-samples/sample-amazon-vpc-ipam-terraform). AWS** GitHub** La estructura del repositorio incluye lo siguiente:
+ **Módulo raíz**: variables de entrada y orquestación de la implementación.
+ **Módulo de IPAM**: implementación básica de la arquitectura que se describe en este patrón.
+ **Módulo de etiquetas**: etiquetado estandarizado para todos los recursos.
## Prácticas recomendadas
Tenga en cuenta las siguientes prácticas recomendadas para la planificación de redes:
+ **Planifique primero**: planifique minuciosamente el espacio de direcciones IP antes de la implementación. Para obtener más información, consulte [Planificar el aprovisionamiento de direcciones IP](https://docs.aws.amazon.com/vpc/latest/ipam/planning-ipam.html).
+ **Evite el solapamiento de rangos de CIDR**: asegúrese de que los rangos de CIDR de cada nivel no se solapen.
+ **Reserve espacio en el búfer**: asigne siempre rangos de CIDR más grandes de lo que necesite inmediatamente para adaptarse al crecimiento.
+ **Documente la asignación de direcciones IP**: mantenga la documentación de la estrategia de asignación de direcciones IP.
Tenga en cuenta las siguientes prácticas recomendadas para la implementación:
+ **Comience con entornos que no sean de producción**: haga implementaciones primero en entornos que no sean de producción.
+ **Utilice la administración de estados de Terraform**: implemente el almacenamiento y el bloqueo de estados remotos. Para obtener más información, consulte [State storage and locking](https://developer.hashicorp.com/terraform/language/state/backends) en la documentación de Terraform.
+ **Implemente el control de versiones**: controle las versiones de todo el código de Terraform.
+ **Implemente CI/CD la integración**: utilice los canales de integración continua y entrega continua (CI/CD) para realizar despliegues repetibles.
Tenga en cuenta las siguientes prácticas operativas recomendadas:
+ **Habilite la importación automática**: configure un grupo del Administrador de direcciones IP para detectar e importar automáticamente los recursos existentes. Siga las instrucciones que se indican en [Edición de un grupo de IPAM](https://docs.aws.amazon.com/vpc/latest/ipam/mod-pool-ipam.html) para activar la importación automática.
+ **Supervise la utilización de direcciones IP**: configure alarmas para los umbrales de utilización de direcciones IP. Para obtener más información, consulta [Supervisar el IPAM con Amazon CloudWatch](https://docs.aws.amazon.com/vpc/latest/ipam/cloudwatch-ipam.html).
+ **Realice auditorías periódicas**: audite periódicamente el uso y el cumplimiento de las direcciones IP. Para obtener más información, consulte [Seguimiento del uso de direcciones IP en IPAM](https://docs.aws.amazon.com/vpc/latest/ipam/tracking-ip-addresses-ipam.html).
+ **Elimine las asignaciones sin utilizar**: libere las asignaciones de direcciones IP cuando se retiren los recursos. Para obtener más información, consulte Eliminar el [aprovisionamiento CIDRs de un grupo](https://docs.aws.amazon.com/vpc/latest/ipam/depro-pool-cidr-ipam.html).
Tenga en cuenta las siguientes prácticas recomendadas en materia de seguridad:
+ **Implemente privilegios mínimos**: utilice los roles de IAM con los permisos mínimos necesarios. Para obtener más información, consulte [Prácticas recomendadas de seguridad en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) y [Identity and Access Management en IPAM](https://docs.aws.amazon.com/vpc/latest/ipam/iam-ipam.html).
+ **Utilice políticas de control de servicios: implemente políticas** de control de servicios (SCPs) para imponer el uso del administrador de direcciones IP en su organización. Para obtener más información, consulte Exigir el [uso de IPAM para la creación de VPC](https://docs.aws.amazon.com/vpc/latest/ipam/scp-ipam.html) con. SCPs
+ **Controle el uso compartido de recursos**: administre cuidadosamente el alcance del uso compartido de recursos del Administrador de direcciones IP en. AWS RAM Para obtener más información, consulte [Compartir un grupo de IPAM mediante AWS RAM](https://docs.aws.amazon.com/vpc/latest/ipam/share-pool-ipam.html).
+ **Implemente el etiquetado**: implemente el etiquetado obligatorio para todos los recursos relacionados con el Administrador de direcciones IP. Para obtener más información, consulte *Estrategia de etiquetado* en la sección [Información adicional](#multi-region-ipam-architecture-additional).
## Epics
### Configuración de una cuenta de administrador delegado para el Administrador de direcciones IP
| Tarea | Descripción | Habilidades requeridas |
| --- | --- | --- |
| Habilite las AWS Organizations funciones. | Asegúrese de que AWS Organizations tiene todas las funciones habilitadas. Para obtener instrucciones, consulte [Habilitar todas las funciones para una organización AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html) en la AWS Organizations documentación. | Administrador de AWS |
| Habilite el uso compartido de recursos en AWS RAM. | Con el AWS CLI, introduzca el siguiente comando para habilitar el uso compartido de AWS RAM recursos en su organización:aws ram enable-sharing-with-aws-organization
Para obtener más información, consulte [Habilitar el uso compartido de recursos AWS Organizations](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs) en la AWS RAM documentación. | Administrador de AWS |
| Designe un administrador para el Administrador de direcciones IP. | Desde la cuenta de administración de la organización AWS CLI, introduzca el siguiente comando, donde `123456789012` aparece el ID de la cuenta que administrará el Administrador de direcciones IP:aws ec2 enable-ipam-organization-admin-account \
--delegated-admin-account-id 123456789012
Generalmente, las cuentas de redes o centro de redes se usan como administrador delegado del Administrador de direcciones IP.Para obtener más información, consulte [Integrar el IPAM con las cuentas de una AWS organización](https://docs.aws.amazon.com/vpc/latest/ipam/enable-integ-ipam.html) en la documentación del Administrador de direcciones IP. | Administrador de AWS |
### Implementación de la infraestructura
| Tarea | Descripción | Habilidades requeridas |
| --- | --- | --- |
| Defina la arquitectura de red. | Defina y documente la arquitectura de red, incluidos los rangos de CIDR de las regiones, unidades de negocio y entornos. Para obtener más información, consulte [Planificar el aprovisionamiento de direcciones IP](https://docs.aws.amazon.com/vpc/latest/ipam/planning-ipam.html) en la documentación del Administrador de direcciones IP. | Ingeniero de redes |
| Clonar el repositorio. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/multi-region-ipam-architecture.html) | DevOps ingeniero |
| Configure las variables. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/multi-region-ipam-architecture.html) | Ingeniero de redes, Terraform |
| Implemente los recursos del Administrador de direcciones IP. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/multi-region-ipam-architecture.html) | Terraform |
| Valide la implementación. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/multi-region-ipam-architecture.html) | AWS general, ingeniero de redes |
### Cree VPCs y configure la supervisión
| Tarea | Descripción | Habilidades requeridas |
| --- | --- | --- |
| Cree una VPC. | Siga los pasos que se indican en [Creación de una VPC](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html) en la documentación de Amazon VPC. Cuando llegue al paso donde debe elegir un rango de CIDR para la VPC, asigne el siguiente rango disponible de uno de los grupos regionales, de unidades de negocio y de entornos. | AWS general, administrador de redes, ingeniero de redes |
| Valide la asignación de rangos de CIDR. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/multi-region-ipam-architecture.html) | AWS general, administrador de redes, ingeniero de redes |
| Supervise el Administrador de direcciones IP. | Configure la supervisión y las alarmas relacionadas con la asignación de los recursos del Administrador de direcciones IP. Para obtener más información e instrucciones, consulta [Supervisar el IPAM con Amazon CloudWatch](https://docs.aws.amazon.com/vpc/latest/ipam/cloudwatch-ipam.html) y [Supervisar el uso del CIDR por recurso](https://docs.aws.amazon.com/vpc/latest/ipam/monitor-cidr-compliance-ipam.html) en la documentación del administrador de direcciones IP. | AWS general |
| Imponga el uso del Administrador de direcciones IP. | Cree una política de control de servicios (SCP) AWS Organizations que exija a los miembros de su organización utilizar el administrador de direcciones IP al crear una VPC. Para obtener instrucciones, consulte [Exigir el uso de IPAM para la creación de VPC](https://docs.aws.amazon.com/vpc/latest/ipam/scp-ipam.html) en la SCPs documentación del Administrador de direcciones IP. | AWS general, administrador de AWS |
## Resolución de problemas
| Problema | Solución |
| --- | --- |
| Se produce un error en Terraform y no se encuentra el recurso del Administrador de direcciones IP | Asegúrese de que la cuenta de administrador del administrador de direcciones IP esté debidamente delegada y de que su AWS proveedor esté autenticado en esa cuenta. |
| Se produce un error en la asignación de rangos de CIDR | Compruebe que el rango de CIDR solicitado se ajuste al rango disponible del grupo del Administrador de direcciones IP y no se solape con las asignaciones existentes. |
| AWS RAM problemas de uso compartido | Compruebe que el uso compartido de recursos esté habilitado en su AWS organización. Compruebe que el principal correcto, el Amazon Resource Name (ARN) de la organización, se utilice en el AWS RAM recurso compartido. |
| Errores de validación de la jerarquía de grupos | Asegúrese de que los rangos de CIDR del grupo secundario estén correctamente contenidos dentro de los rangos de CIDR del grupo principal y no se solapen con los grupos del mismo nivel. |
| Se ha superado el límite de cuota del Administrador de direcciones IP | Solicite un aumento de cuota para los grupos del Administrador de direcciones IP. Para obtener más información, consulte [Solicitud de aumento de cuota](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html) en la *Guía del usuario de Service Quotas*. |
## Recursos relacionados
**Servicio de AWS documentación**
+ [Documentación del Administrador de direcciones IP de Amazon VPC](https://docs.aws.amazon.com/vpc/latest/ipam/what-it-is-ipam.html)
+ [AWS Resource Access Manager documentación](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html)
+ [AWS Organizations documentación](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)
**AWS publicaciones de blog**
+ [Administración de grupos de IP en todas VPCs las regiones mediante Amazon VPC IP Address Manager](https://aws.amazon.com/blogs/networking-and-content-delivery/managing-ip-pools-across-vpcs-and-regions-using-amazon-vpc-ip-address-manager/)
+ [Network address management and auditing at scale with Amazon VPC IP Address Manager](https://aws.amazon.com/blogs/aws/network-address-management-and-auditing-at-scale-with-amazon-vpc-ip-address-manager/)
**Videos y tutoriales**
+ [AWS re:Invent 2022: prácticas recomendadas para el diseño de Amazon VPC y la IPAM (0) NET31](https://www.youtube.com/watch?v=XrEHsy_8RYs)
+ [AWS re:Invent 2022: diseño de VPC avanzado y nuevas capacidades (01) NET4](https://www.youtube.com/watch?v=tbXTVpwx87o)
## Información adicional
**Integración con AFT**
Puede integrar esta solución con AWS Control Tower Account Factory for Terraform (AFT) para asegurarse de que las cuentas recién aprovisionadas reciban automáticamente las configuraciones de red adecuadas. Al implementar esta solución de IPAM en su cuenta central de red, las nuevas cuentas creadas a través de AFT pueden hacer referencia a los grupos de administradores de direcciones IP compartidos al crearlos. VPCs
El siguiente ejemplo de código muestra la integración de AFT en la personalización de una cuenta mediante AWS Systems Manager Parameter Store:
```
# Get the IP Address Manager pool ID from Parameter Store
data "aws_ssm_parameter" "dev_ipam_pool_id" {
name = "/org/network/ipam/finance/dev/pool-id"
}
# Create a VPC using the IP Address Manager pool
resource "aws_vpc" "this" {
ipv4_ipam_pool_id = data.aws_ssm_parameter.dev_ipam_pool_id.value
ipv4_netmask_length = 24
tags = {
Name = "aft-account-vpc"
}
}
```
**Estrategia de etiquetado**
La solución implementa una estrategia de etiquetado integral para simplificar la administración de los recursos. En el siguiente ejemplo de código se muestra cómo se usa:
```
# Example tag configuration
module "tags" {
source = "./modules/tags"
# Required tags
product_name = "enterprise-network"
feature_name = "ipam"
org_id = "finance"
business_unit = "network-operations"
owner = "network-team"
environment = "prod"
repo = "https://github.com/myorg/ipam-terraform"
branch = "main"
cost_center = "123456"
dr_tier = "tier1"
# Optional tags
optional_tags = {
"project" = "network-modernization"
"stack_role" = "infrastructure"
}
}
```
Estas etiquetas se aplican automáticamente a todos los recursos del Administrador de direcciones IP. Esto simplifica la coherencia de la gobernanza, la asignación de costos y la administración de recursos.
# Personaliza las CloudWatch alertas de Amazon para AWS Network Firewall
*Jason Owens, Amazon Web Services*
## Resumen
El patrón te ayuda a personalizar las CloudWatch alertas de Amazon generadas por AWS Network Firewall. Puede utilizar reglas predefinidas o crear reglas personalizadas que determinen el mensaje, los metadatos y la gravedad de las alertas. A continuación, puedes actuar en función de estas alertas o automatizar las respuestas de otros servicios de Amazon, como Amazon EventBridge.
En este patrón, se generan reglas de firewall compatibles con Suricata. [Suricata](https://suricata.io/) es un motor de detección de amenazas de código abierto. Primero debe crear reglas sencillas y, a continuación, probarlas para confirmar que las CloudWatch alertas se han generado y registrado. Una vez que haya probado correctamente las reglas, las modificará para definir los mensajes personalizados, los metadatos y la gravedad y, a continuación, volverá a probarlas para confirmar las actualizaciones.
## Requisitos previos y limitaciones
**Requisitos previos **
+ Un activo Cuenta de AWS.
+ AWS Command Line Interface (AWS CLI) instalado y configurado en su estación de trabajo Linux, macOS o Windows. Para obtener más información, consulte [Instalación o actualización de la versión de AWS CLI más reciente](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).
+ AWS Network Firewall instalado y configurado para usar CloudWatch Logs. Para obtener más información, consulte [Registrar el tráfico de red desde AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-logging.html).
+ Una instancia de Amazon Elastic Compute Cloud (Amazon EC2) en una subred privada de una nube privada virtual (VPC) que está protegida por Network Firewall.
**Versiones de producto**
+ Para la versión 1 de AWS CLI, utilice la versión 1.18.180 o posterior. Para la versión 2 de AWS CLI, utilice la 2.1.2 o una versión posterior.
+ El archivo classification.config de la versión 5.0.2 de Suricata. Para obtener una copia de este archivo de configuración, consulte la sección [Información adicional.](#customize-amazon-cloudwatch-alerts-for-aws-network-firewall-additional)
## Arquitectura
![\[Una solicitud de EC2 instancia genera una alerta en Network Firewall, que reenvía la alerta a CloudWatch\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/images/pattern-img/da6087a9-e942-4cfe-85e3-3b08de6f3ba5/images/778d85cd-bc87-4ed0-a161-d35eb5daa694.png)
El diagrama de la arquitectura muestra el flujo de trabajo siguiente:
1. [Una EC2 instancia de Amazon en una subred privada realiza una solicitud mediante [curl](https://curl.se/) o Wget.](https://www.gnu.org/software/wget/)
1. Network Firewall procesa el tráfico y genera una alerta.
1. Network Firewall envía las alertas registradas a CloudWatch Logs.
## Tools (Herramientas)
**Servicios de AWS**
+ [Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html) le CloudWatch ayuda a supervisar las métricas de sus AWS recursos y las aplicaciones en las que se ejecuta AWS en tiempo real.
+ [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) le ayuda a centralizar los registros de todos sus sistemas y aplicaciones Servicios de AWS para que pueda supervisarlos y archivarlos de forma segura.
+ [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) es una herramienta de código abierto que le ayuda a interactuar Servicios de AWS mediante los comandos de su consola de línea de comandos.
+ [AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html)es un firewall de red gestionado y activo y un servicio de detección y prevención de intrusiones para nubes privadas virtuales () en el. VPCs Nube de AWS
**Otras herramientas**
+ [curl](https://curl.se/) es una herramienta y biblioteca de línea de comandos de código abierto.
+ [GNU Wget](https://www.gnu.org/software/wget/) es una herramienta de línea de comandos gratuita.
## Epics
### Crear las reglas y el grupo de reglas del firewall
| Tarea | Descripción | Habilidades requeridas |
| --- | --- | --- |
| Cree reglas. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/customize-amazon-cloudwatch-alerts-for-aws-network-firewall.html) | Administrador de sistemas de AWS, administrador de red |
| Cree un grupo de reglas. | En AWS CLI, introduzca el siguiente comando. De este modo se crea el grupo de reglas.❯ aws network-firewall create-rule-group \
--rule-group-name custom --type STATEFUL \
--capacity 10 --rules file://custom.rules \
--tags Key=environment,Value=development
El siguiente es un ejemplo de salida. Anote el `RuleGroupArn`, que necesitará en un paso posterior.{
"UpdateToken": "4f998d72-973c-490a-bed2-fc3460547e23",
"RuleGroupResponse": {
"RuleGroupArn": "arn:aws:network-firewall:us-east-2:1234567890:stateful-rulegroup/custom",
"RuleGroupName": "custom",
"RuleGroupId": "238a8259-9eaf-48bb-90af-5e690cf8c48b",
"Type": "STATEFUL",
"Capacity": 10,
"RuleGroupStatus": "ACTIVE",
"Tags": [
{
"Key": "environment",
"Value": "development"
}
]
} | Administrador de sistemas de AWS |
### Actualizar la política de firewall
| Tarea | Descripción | Habilidades requeridas |
| --- | --- | --- |
| Obtenga el ARN de la política de firewall. | En AWS CLI, introduzca el siguiente comando. Esto devuelve el nombre de recurso de Amazon (ARN) de la política de firewall. Registre el ARN para su uso posterior en este patrón.❯ aws network-firewall describe-firewall \
--firewall-name aws-network-firewall-anfw \
--query 'Firewall.FirewallPolicyArn'
A continuación se muestra un ejemplo de ARN que devuelve este comando."arn:aws:network-firewall:us-east-2:1234567890:firewall-policy/firewall-policy-anfw"
| Administrador de sistemas de AWS |
| Actualice la política de firewall. | En un editor de texto, copie y pegue el siguiente código. Reemplace `` por el valor que registró en la sección Epics anterior. Guarde el archivo como `firewall-policy-anfw.json`.{
"StatelessDefaultActions": [
"aws:forward_to_sfe"
],
"StatelessFragmentDefaultActions": [
"aws:forward_to_sfe"
],
"StatefulRuleGroupReferences": [
{
"ResourceArn": ""
}
]
}Introduzca el comando siguiente en la AWS CLI. Este comando requiere un [update token](https://docs.aws.amazon.com/cli/latest/reference/network-firewall/update-firewall-policy.html) (actualizar token) para agregar las nuevas reglas. El token se usa para confirmar que la política no ha cambiado desde la última vez que se recuperó.UPDATETOKEN=(`aws network-firewall describe-firewall-policy \
--firewall-policy-name firewall-policy-anfw \
--output text --query UpdateToken`)
aws network-firewall update-firewall-policy \
--update-token $UPDATETOKEN \
--firewall-policy-name firewall-policy-anfw \
--firewall-policy file://firewall-policy-anfw.json
| Administrador de sistemas de AWS |
| Confirme las actualizaciones de la política. | (Opcional) Si desea confirmar que se añadieron las reglas y ver el formato de la política, introduzca el comando siguiente en la AWS CLI.❯ aws network-firewall describe-firewall-policy \
--firewall-policy-name firewall-policy-anfw \
--query FirewallPolicy
El siguiente es un ejemplo de salida.{
"StatelessDefaultActions": [
"aws:forward_to_sfe"
],
"StatelessFragmentDefaultActions": [
"aws:forward_to_sfe"
],
"StatefulRuleGroupReferences": [
{
"ResourceArn": "arn:aws:network-firewall:us-east-2:1234567890:stateful-rulegroup/custom"
}
]
} | Administrador de sistemas de AWS |
### Probar la funcionalidad de las alertas
| Tarea | Descripción | Habilidades requeridas |
| --- | --- | --- |
| Genere alertas para las pruebas. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/customize-amazon-cloudwatch-alerts-for-aws-network-firewall.html) | Administrador de sistemas de AWS |
| Valide que las alertas estén registradas. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/customize-amazon-cloudwatch-alerts-for-aws-network-firewall.html) | Administrador de sistemas de AWS |
### Actualizar las reglas y el grupo de reglas del firewall
| Tarea | Descripción | Habilidades requeridas |
| --- | --- | --- |
| Actualice las reglas del firewall. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/customize-amazon-cloudwatch-alerts-for-aws-network-firewall.html) | Administrador de sistemas de AWS |
| Actualice el grupo de reglas. | En AWS CLI, ejecute los siguientes comandos. Utilice el ARN de su política de firewall. Estos comandos obtienen un token de actualización y actualizan el grupo de reglas con los cambios de las reglas.❯ UPDATETOKEN=(`aws network-firewall \
describe-rule-group \
--rule-group-arn arn:aws:network-firewall:us-east-2:123457890:stateful-rulegroup/custom \
--output text --query UpdateToken`)
❯ aws network-firewall update-rule-group \
--rule-group-arn arn:aws:network-firewall:us-east-2:1234567890:stateful-rulegroup/custom \
--rules file://custom.rules \
--update-token $UPDATETOKEN
El siguiente es un ejemplo de salida.{
"UpdateToken": "7536939f-6a1d-414c-96d1-bb28110996ed",
"RuleGroupResponse": {
"RuleGroupArn": "arn:aws:network-firewall:us-east-2:1234567890:stateful-rulegroup/custom",
"RuleGroupName": "custom",
"RuleGroupId": "238a8259-9eaf-48bb-90af-5e690cf8c48b",
"Type": "STATEFUL",
"Capacity": 10,
"RuleGroupStatus": "ACTIVE",
"Tags": [
{
"Key": "environment",
"Value": "development"
}
]
}
} | Administrador de sistemas de AWS |
### Probar la funcionalidad de la alerta actualizada
| Tarea | Descripción | Habilidades requeridas |
| --- | --- | --- |
| Genere una alerta para probarla. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/customize-amazon-cloudwatch-alerts-for-aws-network-firewall.html) | Administrador de sistemas de AWS |
| Valide la alerta modificada. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/customize-amazon-cloudwatch-alerts-for-aws-network-firewall.html) | Administrador de sistemas de AWS |
## Recursos relacionados
**Referencias**
+ [Envía alertas desde AWS Network Firewall un canal de Slack (guía](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/send-alerts-from-aws-network-firewall-to-a-slack-channel.html)AWS prescriptiva)
+ [Ampliando la prevención de amenazas AWS con Suricata](https://aws.amazon.com/blogs/opensource/scaling-threat-prevention-on-aws-with-suricata/) (entrada del blog)AWS
+ [Modelos de despliegue para AWS Network Firewall](https://aws.amazon.com/blogs/networking-and-content-delivery/deployment-models-for-aws-network-firewall/) (AWS entrada de blog)
+ [Suricata meta keyworks](https://suricata.readthedocs.io/en/suricata-6.0.1/rules/meta.html) (Claves meta de Suricata) (documentación de Suricata)
**Tutoriales y videos**
+ [AWS Network Firewall taller](https://networkfirewall.workshop.aws/)
## Información adicional
A continuación se muestra el archivo de configuración de clasificación de Suricata 5.0.2. Estas clasificaciones se utilizan al crear las reglas de firewall.
```
# config classification:shortname,short description,priority
config classification: not-suspicious,Not Suspicious Traffic,3
config classification: unknown,Unknown Traffic,3
config classification: bad-unknown,Potentially Bad Traffic, 2
config classification: attempted-recon,Attempted Information Leak,2
config classification: successful-recon-limited,Information Leak,2
config classification: successful-recon-largescale,Large Scale Information Leak,2
config classification: attempted-dos,Attempted Denial of Service,2
config classification: successful-dos,Denial of Service,2
config classification: attempted-user,Attempted User Privilege Gain,1
config classification: unsuccessful-user,Unsuccessful User Privilege Gain,1
config classification: successful-user,Successful User Privilege Gain,1
config classification: attempted-admin,Attempted Administrator Privilege Gain,1
config classification: successful-admin,Successful Administrator Privilege Gain,1
# NEW CLASSIFICATIONS
config classification: rpc-portmap-decode,Decode of an RPC Query,2
config classification: shellcode-detect,Executable code was detected,1
config classification: string-detect,A suspicious string was detected,3
config classification: suspicious-filename-detect,A suspicious filename was detected,2
config classification: suspicious-login,An attempted login using a suspicious username was detected,2
config classification: system-call-detect,A system call was detected,2
config classification: tcp-connection,A TCP connection was detected,4
config classification: trojan-activity,A Network Trojan was detected, 1
config classification: unusual-client-port-connection,A client was using an unusual port,2
config classification: network-scan,Detection of a Network Scan,3
config classification: denial-of-service,Detection of a Denial of Service Attack,2
config classification: non-standard-protocol,Detection of a non-standard protocol or event,2
config classification: protocol-command-decode,Generic Protocol Command Decode,3
config classification: web-application-activity,access to a potentially vulnerable web application,2
config classification: web-application-attack,Web Application Attack,1
config classification: misc-activity,Misc activity,3
config classification: misc-attack,Misc Attack,2
config classification: icmp-event,Generic ICMP event,3
config classification: inappropriate-content,Inappropriate Content was Detected,1
config classification: policy-violation,Potential Corporate Privacy Violation,1
config classification: default-login-attempt,Attempt to login by a default username and password,2
# Update
config classification: targeted-activity,Targeted Malicious Activity was Detected,1
config classification: exploit-kit,Exploit Kit Activity Detected,1
config classification: external-ip-check,Device Retrieving External IP Address Detected,2
config classification: domain-c2,Domain Observed Used for C2 Detected,1
config classification: pup-activity,Possibly Unwanted Program Detected,2
config classification: credential-theft,Successful Credential Theft Detected,1
config classification: social-engineering,Possible Social Engineering Attempted,2
config classification: coin-mining,Crypto Currency Mining Activity Detected,2
config classification: command-and-control,Malware Command and Control Activity Detected,1
```
# Despliega recursos en una AWS Wavelength zona mediante Terraform
*Zahoor Chaudhrey y Luca Iannario, Amazon Web Services*
## Resumen
[AWS Wavelength](https://docs.aws.amazon.com/wavelength/latest/developerguide/what-is-wavelength.html) lo ayuda a crear una infraestructura optimizada para aplicaciones de computación de periferia de acceso múltiple (MEC). *Las Wavelength Zones* son despliegues de AWS infraestructura que incorporan servicios de AWS cómputo y almacenamiento en las redes 5G de los proveedores de servicios de comunicaciones (CSP). El tráfico de aplicaciones de los dispositivos 5G llega a los servidores de aplicaciones que se ejecutan en zonas de Wavelength sin salir de la red de telecomunicaciones. Lo siguiente facilita la conectividad de red a través de Wavelength:
+ **Nubes privadas virtuales (VPCs)**: VPCs Cuenta de AWS pueden extenderse para abarcar varias zonas de disponibilidad, incluidas las Wavelength Zones. Las instancias de Amazon Elastic Compute Cloud (Amazon EC2) y los servicios relacionados aparecen como parte de tu VPC regional. VPCs se crean y administran en [Amazon Virtual Private Cloud (Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)).
+ **Puerta** de enlace del operador: una puerta de enlace del operador permite la conectividad desde la subred de la zona de longitud de onda a la red del CSP, Internet o Región de AWS a través de la red del CSP. Una puerta de enlace de operador tiene dos propósitos. Permite el tráfico entrante desde una red de CSP en una ubicación específica y permite el tráfico saliente a la red de telecomunicaciones e Internet.
Este patrón y el código Terraform asociado le ayudan a lanzar recursos, como EC2 instancias de Amazon, volúmenes de Amazon Elastic Block Store (Amazon EBS), subredes y una puerta de enlace VPCs portadora, en una Wavelength Zone.
## Requisitos previos y limitaciones
**Requisitos previos **
+ ¿Un activo Cuenta de AWS
+ Un entorno de desarrollo integrado (IDE)
+ [Optar](https://docs.aws.amazon.com/wavelength/latest/developerguide/get-started-wavelength.html#enable-zone-group) por la zona de Wavelength de destino
+ AWS Command Line Interface (AWS CLI), [instalado](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) y [configurado](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-configure.html)
+ La versión 1.8.4 o posterior de Terraform [instalada](https://developer.hashicorp.com/terraform/tutorials/aws-get-started/install-cli) (documentación de Terraform)
+ Terraform AWS Provider, versión 5.32.1 o posterior, [configurada](https://hashicorp.github.io/terraform-provider-aws/) (documentación de Terraform)
+ Git, [instalado](https://github.com/git-guides/install-git) (GitHub)
+ [Permisos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) para crear recursos de Amazon VPC, Wavelength y Amazon EC2
**Limitaciones**
No todas son Regiones de AWS compatibles con Wavelength Zones. Para obtener más información, consulte [Zonas de Wavelength disponibles](https://docs.aws.amazon.com/wavelength/latest/developerguide/available-wavelength-zones.html) en la documentación de Wavelength.
## Arquitectura
El siguiente diagrama muestra cómo puede crear una subred y AWS recursos en una Wavelength Zone. VPCs que contienen una subred en una Wavelength Zone pueden conectarse a una puerta de enlace portadora. Una puerta de enlace de operador le permite conectarse a los siguientes recursos:
+ Dispositivos 4G/LTE y 5G en la red del operador de telecomunicaciones.
+ Acceso inalámbrico fijo para socios selectos de la zona de Wavelength. Para obtener más información, consulte Acceso [múltiple AWS Wavelength](https://docs.aws.amazon.com/wavelength/latest/developerguide/multi-access.html).
+ Tráfico saliente a recursos públicos de Internet.
![\[Una puerta de enlace portadora conecta los recursos de AWS de la zona de Wavelength con la red CSP.\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/images/pattern-img/8c507de1-208c-4563-bb58-52388ab2fa6d/images/a4cc0699-0cbc-4f15-ab14-3ae569ced7f4.png)
## Tools (Herramientas)
**Servicios de AWS**
+ [Amazon Virtual Private Cloud (Amazon VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) le ayuda a lanzar AWS recursos en una red virtual que haya definido. Esa red virtual es similar a la red tradicional que utiliza en su propio centro de datos, con los beneficios de usar la infraestructura escalable de AWS.
+ [AWS Wavelength](https://docs.aws.amazon.com/wavelength/latest/developerguide/what-is-wavelength.html)extiende la Nube de AWS infraestructura a las redes 5G de los proveedores de telecomunicaciones. Le ayuda a crear aplicaciones que ofrecen latencias extremadamente bajas para dispositivos móviles y usuarios finales.
**Otras herramientas**
+ [Terraform](https://www.terraform.io/) es una herramienta de infraestructura como código (IaC) HashiCorp que le ayuda a crear y administrar recursos locales y en la nube.
**Repositorio de código**
El código de este patrón está disponible en el repositorio GitHub [Creating AWS Wavelength Infrastructure using](https://github.com/aws-samples/terraform-wavelength-infrastructure) Terraform. El código de Terraform implementa la siguiente infraestructura y recursos:
+ Una VPC
+ Una zona de Wavelength
+ Una subred pública en la zona de Wavelength
+ Una puerta de enlace de operador de la zona de Wavelength
+ Una EC2 instancia de Amazon en la Wavelength Zone
## Prácticas recomendadas
+ Antes de la implementación, confirme que utiliza las últimas versiones de Terraform y la AWS CLI.
+ Utilice una canalización de integración y entrega continuas (CI/CD) para implementar la IaC. Para obtener más información, consulte [las prácticas recomendadas para administrar los archivos de estado de Terraform en AWS CI/CD Pipeline](https://aws.amazon.com/blogs/devops/best-practices-for-managing-terraform-state-files-in-aws-ci-cd-pipeline/) en los blogs. AWS
## Epics
### Aprovisione la infraestructura
| Tarea | Descripción | Habilidades requeridas |
| --- | --- | --- |
| Clonar el repositorio. | Introduzca el siguiente comando para clonar en su entorno el repositorio [AWS Wavelength Creating Infrastructure using Terraform](https://github.com/aws-samples/terraform-wavelength-infrastructure).`git clone git@github.com:aws-samples/terraform-wavelength-infrastructure.git` | DevOps ingeniero |
| Actualice las variables. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/deploy-resources-wavelength-zone-using-terraform.html) | DevOps ingeniero, Terraform |
| Inicialice la configuración. | Introduzca el comando siguiente para inicializar el directorio de trabajo.terraform init
| DevOps ingeniero, Terraform |
| Obtenga una vista previa del plan Terraform. | Introduzca el siguiente comando para comparar el estado objetivo con el estado actual de su AWS entorno. Este comando genera una vista previa de los recursos que se configurarán.terraform plan
| DevOps ingeniero, Terraform |
| Compruébelo e impleméntelo. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/deploy-resources-wavelength-zone-using-terraform.html) | DevOps ingeniero, Terraform |
### Validar y limpiar
| Tarea | Descripción | Habilidades requeridas |
| --- | --- | --- |
| Verifique la implementación de la infraestructura. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/deploy-resources-wavelength-zone-using-terraform.html) | AWS DevOps, DevOps ingeniero |
| (Opcional) Limpieza de la infraestructura. | Si necesita eliminar todos los recursos que aprovisionó Terraform, haga lo siguiente:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/deploy-resources-wavelength-zone-using-terraform.html) | DevOps ingeniero, Terraform |
## Resolución de problemas
| Problema | Solución |
| --- | --- |
| Conectividad con EC2 las instancias de Amazon en Región de AWS. | Consulte [Solución de problemas de conexión a la instancia de Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/TroubleshootingInstancesConnecting.html) o [Solución de problemas de conexión a la instancia de Windows](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/troubleshooting-windows-instances.html). |
| Conectividad con las EC2 instancias de Amazon en la Wavelength Zone. | Consulte [Solucionar problemas de conectividad SSH o RDP con mis EC2 instancias lanzadas en una Wavelength Zone](https://repost.aws/knowledge-center/ec2-wavelength-zone-connection-errors). |
| Capacidad en la zona de Wavelength. | Consulte [Cuotas y consideraciones para las zonas de Wavelength](https://docs.aws.amazon.com/wavelength/latest/developerguide/wavelength-quotas.html). |
| Conectividad móvil o de operador desde la red del operador a la Región de AWS. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/deploy-resources-wavelength-zone-using-terraform.html) |
## Recursos relacionados
+ [¿Qué es AWS Wavelength?](https://docs.aws.amazon.com/wavelength/latest/developerguide/what-is-wavelength.html)
+ [¿Cómo AWS Wavelength funciona?](https://docs.aws.amazon.com/wavelength/latest/developerguide/how-wavelengths-work.html)
+ [Resiliencia en AWS Wavelength](https://docs.aws.amazon.com/wavelength/latest/developerguide/disaster-recovery-resiliency.html)
# Migración de registros DNS de forma masiva a una zona alojada privada de Amazon Route 53
*Ram Kandaswamy, Amazon Web Services*
## Resumen
Los ingenieros de redes y los administradores de la nube necesitan una forma eficaz y sencilla de añadir registros del Sistema de nombres de dominio (DNS) a las zonas alojadas privadas en Amazon Route 53. El uso de un enfoque manual para copiar las entradas de una hoja de cálculo de Microsoft Excel a las ubicaciones adecuadas de la consola de Route 53 es tedioso y propenso a errores. Este patrón describe un enfoque automatizado que reduce el tiempo y el esfuerzo necesarios para añadir varios registros. También proporciona un conjunto de pasos repetibles para la creación de varias zonas alojadas.
Este patrón utiliza Amazon Simple Storage Service (Amazon S3) para almacenar registros. Para trabajar con los datos de manera eficiente, el patrón usa el formato JSON debido a su simplicidad y su capacidad para admitir un diccionario de Python (tipo de datos `dict`).
**nota**
Si puede generar un archivo de zona desde su sistema, considere utilizar la [característica de importación de Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resource-record-sets-creating-import.html) como alternativa.
## Requisitos previos y limitaciones
**Requisitos previos **
+ Una hoja de cálculo de Excel que contiene registros de zonas alojadas privadas
+ Familiaridad con distintos tipos de registros DNS, como el registro A, el registro Name Authority Pointer (NAPTR) y el registro SRV (consulte [Tipos de registros DNS compatibles](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/ResourceRecordTypes.html))
+ Familiaridad con el lenguaje Python y sus bibliotecas
**Limitaciones**
+ El patrón no proporciona una cobertura amplia para todos los escenarios de casos de uso. Por ejemplo, la llamada [change\$1resource\$1record\$1sets](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/route53.html#Route53.Client.change_resource_record_sets) no usa todas las propiedades disponibles de la API.
+ En la hoja de cálculo de Excel, se supone que el valor de cada fila es único. Se espera que aparezcan varios valores para cada nombre completo del dominio (FQDN) en la misma fila. Si eso no es cierto, debe modificar el código proporcionado en este patrón para realizar la concatenación necesaria.
+ El patrón utiliza AWS SDK para Python (Boto3) para llamar directamente al servicio Route 53. Puede mejorar el código para utilizar un CloudFormation contenedor de AWS para los `update_stack` comandos `create_stack` y, además, utilizar los valores de JSON para rellenar los recursos de la plantilla.
## Arquitectura
**Pila de tecnología**
+ Zonas alojadas privadas de Route 53 para enrutar el tráfico
+ Amazon S3 para almacenar el archivo JSON de salida
![\[Flujo de trabajo para migrar registros de DNS en bloque a una zona alojada privada de Route 53.\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/images/pattern-img/a81c29ea-f0c5-4d4a-ba87-93111a0f1ee9/images/2ada844b-4147-4f9f-8883-d22605aa42d8.png)
El flujo de trabajo consta de los siguientes pasos, tal como se ilustra en el diagrama anterior y se describe en la sección *Epics*:
1. Cargue una hoja de cálculo de Excel que contenga la información del conjunto de registros en un bucket de S3.
1. Cree y ejecute un script de Python que convierta los datos de Excel al formato JSON.
1. Lea los registros del bucket de S3 y limpie los datos.
1. Cree conjuntos de registros en su zona alojada privada.
## Tools (Herramientas)
+ [Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/Welcome.html): Amazon Route 53 es un servicio web de DNS escalable y de alta disponibilidad que se utiliza para gestionar el registro de dominio, enrutamiento de DNS y comprobación de estado.
+ [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html): Amazon Simple Storage Service (Amazon S3) es un servicio de almacenamiento de objetos. Puede utilizar Amazon S3 para almacenar y recuperar cualquier cantidad de datos en cualquier momento y desde cualquier parte de la web.
## Epics
### Prepare los datos para la automatización
| Tarea | Descripción | Habilidades requeridas |
| --- | --- | --- |
| Cree un archivo de Excel para sus registros. | Utilice los registros que ha exportado desde su sistema actual para crear una hoja de cálculo de Excel que contenga las columnas necesarias para un registro, como el nombre de dominio completo (FQDN), el tipo de registro, el tiempo de vida (TTL) y el valor. En el caso de los registros NAPTR y SRV, el valor es una combinación de varias propiedades, por lo que debe utilizar el método de Excel `concat` para combinar estas propiedades.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/migrate-dns-records-in-bulk-to-an-amazon-route-53-private-hosted-zone.html) | Ingeniero de datos, con conocimientos de Excel |
| Verifique el entorno de trabajo. | En el IDE, cree un archivo Python para convertir la hoja de trabajo de entrada de Excel al formato JSON. (En lugar de un IDE, también puedes usar un SageMaker bloc de notas de Amazon para trabajar con código Python).Compruebe que la versión de Python que está utilizando sea la 3.7 o posterior. python3 --version
Instale el paquete **pandas**. pip3 install pandas --user
| AWS general |
| Convierta los datos de la hoja de cálculo de Excel a JSON. | Cree un archivo Python que contenga el siguiente código para convertirlo de Excel a JSON.import pandas as pd
data=pd.read_excel('./Book1.xls')
data.to_json(path_or_buf='my.json',orient='records')
donde `Book1` es el nombre de la hoja de cálculo de Excel y `my.json` el nombre del archivo JSON de salida. | Ingeniero de datos, con conocimientos de Python |
| Cargue el archivo JSON en un bucket de S3. | Cargue el archivo `my.json` en un bucket de S3. Para obtener más información, consulte [Creación de un bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html) en la documentación de Amazon S3. | Desarrollador de aplicaciones |
| FqdnName | RecordType | Valor | TTL |
| something.example.org | A | 1.1.1.1 | 900 |
### Insertar registros
| Tarea | Descripción | Habilidades requeridas |
| --- | --- | --- |
| Cree una zona alojada privada. | Use la API [create\$1hosted\$1zone](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/route53.html#Route53.Client.create_hosted_zone) y el siguiente código de ejemplo de Python para crear una zona alojada privada. Sustituya los parámetros `hostedZoneName`, `vpcRegion` y `vpcId` por sus propios valores.import boto3
import random
hostedZoneName ="xxx"
vpcRegion = "us-east-1"
vpcId="vpc-xxxx"
route53_client = boto3.client('route53')
response = route53_client.create_hosted_zone(
Name= hostedZoneName,
VPC={
'VPCRegion: vpcRegion,
'VPCId': vpcId
},
CallerReference=str(random.random()*100000),
HostedZoneConfig={
'Comment': "private hosted zone created by automation",
'PrivateZone': True
}
)
print(response)
También puede usar una herramienta de infraestructura como código (IaC), como AWS, CloudFormation para reemplazar estos pasos por una plantilla que cree una pila con los recursos y propiedades adecuados. | Ingeniero en la nube, administrador de redes, con habilidades de Python |
| Recupere detalles en formato de diccionario de Amazon S3. | Use el siguiente código para leer el bucket de S3 y obtener los valores de JSON como un diccionario de Python. fileobj = s3_client.get_object(
Bucket=bucket_name,
Key='my.json'
)
filedata = fileobj['Body'].read()
contents = filedata.decode('utf-8')
json_content=json.loads(contents)
print(json_content)
donde `json_content` contiene el diccionario de Python. | Desarrollador de aplicaciones, con conocimientos de Python |
| Limpie los valores de datos para los espacios y caracteres Unicode. | Como medida de seguridad para garantizar la exactitud de los datos, utilice el siguiente código para realizar una operación de extracción de los valores incluidos en `json_content`. Este código elimina los caracteres de espacio al principio y al final de cada cadena. También utiliza el método `replace` para eliminar los espacios duros (que no se rompan) (los caracteres `\xa0`).for item in json_content:
fqn_name = unicodedata.normalize("NFKD",item["FqdnName"].replace("u'", "'").replace('\xa0', '').strip())
rec_type = item["RecordType"].replace('\xa0', '').strip()
res_rec = {
'Value': item["Value"].replace('\xa0', '').strip()
}
| Desarrollador de aplicaciones, con conocimientos de Python |
| Insertar registros. | Use el siguiente código como parte del bucle `for` anterior.change_response = route53_client.change_resource_record_sets(
HostedZoneId="xxxxxxxx",
ChangeBatch={
'Comment': 'Created by automation',
'Changes': [
{
'Action': 'UPSERT',
'ResourceRecordSet': {
'Name': fqn_name,
'Type': rec_type,
'TTL': item["TTL"],
'ResourceRecords': res_rec
}
}
]
}
)
Dónde `xxxxxxx` es el ID de la zona alojada del primer paso de esta épica. | Desarrollador de aplicaciones, con conocimientos de Python |
## Recursos relacionados
**Referencias**
+ [Creación de registros mediante la importación de un archivo de zona](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resource-record-sets-creating-import.html) (documentación de Amazon Route 53)
+ [método create\$1hosted\$1zone](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/route53.html#Route53.Client.create_hosted_zone) (documentación de Boto3)
+ [método change\$1resource\$1record\$1sets ](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/route53.html#Route53.Client.change_resource_record_sets)(documentación de Boto3)
**Tutoriales y videos**
+ [El tutorial de Python](https://docs.python.org/3/tutorial/) (documentación de Python)
+ [Diseño de DNS con Amazon Route 53](https://www.youtube.com/watch?v=2y_RBjDkRgY) (YouTube vídeo, *charlas técnicas en línea de AWS*)
# Cómo modificar los encabezados HTTP al migrar de F5 a un equilibrador de carga de aplicación en AWS
*Sachin Trivedi, Amazon Web Services*
## Resumen
Cuando migra una aplicación que utiliza un equilibrador de carga de F5 a Amazon Web Services (AWS) y quiere usar un equilibrador de carga de aplicación en AWS, la migración de las reglas de F5 para las modificaciones de encabezados es un problema habitual. Un Application Load Balancer no admite modificaciones de encabezados, pero puedes usar Amazon CloudFront como red de entrega de contenido (CDN) y Lambda @Edge para modificar encabezados.
Este patrón describe las integraciones necesarias y proporciona un código de muestra para la modificación del encabezado mediante AWS CloudFront y Lambda @Edge.
## Requisitos previos y limitaciones
**Requisitos previos **
+ Aplicación en las instalaciones que usa un equilibrador de carga de F5 con una configuración que reemplaza el valor del encabezado HTTP mediante el uso de `if, else`. Para obtener más información sobre esta configuración, consulte [Encabezado HTTP](https://clouddocs.f5.com/api/irules/HTTP__header.html) en la documentación del producto de F5.
**Limitaciones**
+ Este patrón se aplica a la personalización del encabezado del equilibrador de carga de F5. Para otros equilibradores de carga de terceros, por favor consulte la documentación del equilibrador de carga para obtener información de soporte.
+ Las funciones de Lambda que utilice para Lambda@Edge deben estar en la región Este de EE. UU. (Norte de Virginia).
## Arquitectura
El siguiente diagrama muestra la arquitectura de AWS, incluyendo el flujo de integración entre la CDN y otros componentes de AWS.
![\[Arquitectura para la modificación de encabezados mediante Amazon CloudFront y Lambda @Edge\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/images/pattern-img/00abbe3c-2453-4291-9b24-b488dced4868/images/4ee9a19e-6da2-4c5a-a8bc-19d3918a166e.png)
## Tools (Herramientas)
**Servicios de AWS**
+ [Equilibrador de carga de aplicación](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/introduction.html) ─ Un equilibrador de carga de aplicación es un servicio de equilibrio de carga totalmente gestionado por AWS que funciona en la séptima capa del modelo de interconexión de sistemas abiertos (OSI). Equilibra el tráfico entre varios destinos y admite solicitudes de enrutamiento avanzadas basadas en encabezados y métodos HTTP, cadenas de consulta y enrutamiento basado en el host o en la ruta.
+ [Amazon CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/Introduction.html): Amazon CloudFront es un servicio web que acelera la distribución de su contenido web estático y dinámico, como .html, .css, .js y archivos de imagen, a sus usuarios. CloudFront entrega su contenido a través de una red mundial de centros de datos denominados ubicaciones perimetrales para reducir la latencia y mejorar el rendimiento.
+ [Lambda @Edge ─](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/lambda-at-the-edge.html) Lambda @Edge es una extensión de AWS Lambda que le permite ejecutar funciones para personalizar el contenido que se entrega. CloudFront Puede crear funciones en la región EE.UU. Este (Virginia del Norte) y, después, asociarlas a una CloudFront distribución para replicar automáticamente el código en todo el mundo, sin aprovisionar ni administrar servidores. Esto reduce la latencia y mejora la experiencia del usuario.
**Código**
El siguiente código de ejemplo proporciona un plan para modificar los encabezados de CloudFront respuesta. Siga las instrucciones de la sección *Epics* para implementar el código.
```
exports.handler = async (event, context) => {
const response = event.Records[0].cf.response;
const headers = response.headers;
const headerNameSrc = 'content-security-policy';
const headerNameValue = '*.xyz.com';
if (headers[headerNameSrc.toLowerCase()]) {
headers[headerNameSrc.toLowerCase()] = [{
key: headerNameSrc,
value: headerNameValue,
}];
console.log(`Response header "${headerNameSrc}" was set to ` +
`"${headers[headerNameSrc.toLowerCase()][0].value}"`);
}
else {
headers[headerNameSrc.toLowerCase()] = [{
key: headerNameSrc,
value: headerNameValue,
}];
}
return response;
};
```
## Epics
### Crear una distribución
| Tarea | Descripción | Habilidades requeridas |
| --- | --- | --- |
| Cree una distribución CloudFront web. | En este paso, crea una CloudFront distribución para indicar desde CloudFront dónde quiere que se entregue el contenido y los detalles sobre cómo realizar el seguimiento y gestionar la entrega del contenido.Para crear una distribución mediante la consola, inicie sesión en la consola de administración de AWS, abra la [CloudFront consola](https://console.aws.amazon.com/cloudfront/v3/home) y, a continuación, siga los pasos de la [CloudFront documentación](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-creating-console.html). | Administrador de la nube |
### Creación e implementación de la funcion Lambda@Edge
| Tarea | Descripción | Habilidades requeridas |
| --- | --- | --- |
| Crear e implementar la funcion Lambda@Edge. | Puede crear una función Lambda @Edge mediante un esquema para modificar CloudFront los encabezados de respuesta. (Hay otros blueprints disponibles para diferentes casos de uso; para obtener más información, consulte las funciones de [ejemplo de Lambda @Edge](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/lambda-examples.html) en CloudFront la documentación). Para crear una función de Lambda@Edge:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/modify-http-headers-when-you-migrate-from-f5-to-an-application-load-balancer-on-aws.html) | Administrador de AWS |
| Implemente la función de Lambda@Edge. | Siga las instrucciones del [paso 4](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/lambda-edge-how-it-works-tutorial.html#lambda-edge-how-it-works-tutorial-add-trigger) del *tutorial: Creación de una función Lambda @Edge sencilla* de la CloudFront documentación de Amazon para configurar el CloudFront disparador e implementar la función. | Administrador de AWS |
## Recursos relacionados
**CloudFront documentación**
+ [Comportamiento de solicitudes y respuestas para orígenes personalizados](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/RequestAndResponseBehaviorCustomOrigin.html)
+ [Trabajo con distribuciones](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-working-with.html)
+ [Funciones de ejemplo de Lambda@Edge](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/lambda-examples.html)
+ [Personalización en la periferia con Lambda@Edge](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/lambda-at-the-edge.html)
+ [Tutorial: Creación de una función de Lambda@Edge sencilla](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/lambda-edge-how-it-works-tutorial.html)
# Cree un informe con los hallazgos de Network Access Analyzer sobre el acceso entrante a Internet en múltiples Cuentas de AWS
*Mike Virgilio, Amazon Web Services*
## Resumen
El acceso entrante no intencionado a AWS los recursos a través de Internet puede suponer un riesgo para el perímetro de datos de una organización. El [Analizador de acceso a la red](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-network-access-analyzer.html) es una característica de Amazon Virtual Private Cloud (Amazon VPC) que ayuda a identificar el acceso de red no deseado a sus recursos en Amazon Web Services (AWS). Puede utilizar el Analizador de acceso a la red para especificar sus requisitos de acceso a la red e identificar posibles rutas de red que no cumplan los requisitos especificados. Puede utilizar el Analizador de acceso a la red para hacer lo siguiente:
1. Identifique AWS los recursos a los que se puede acceder a Internet a través de pasarelas de Internet.
1. Compruebe que sus nubes privadas virtuales (VPCs) estén segmentadas adecuadamente, por ejemplo, aislando los entornos de producción y desarrollo y separando las cargas de trabajo transaccionales.
Network Access Analyzer analiza las condiciones de accesibilidad end-to-end de la red y no solo un componente individual. Para determinar si un recurso es accesible desde Internet, Network Access Analyzer evalúa la puerta de enlace de Internet, las tablas de enrutamiento de VPC, las listas de control de acceso a la red (ACLs), las direcciones IP públicas en las interfaces de red elásticas y los grupos de seguridad. Si alguno de estos componentes impide el acceso a Internet, en Analizador de acceso a la red no genera ningún resultado. Por ejemplo, si una instancia de Amazon Elastic Compute Cloud (Amazon EC2) tiene un grupo de seguridad abierto que permite el tráfico desde, `0/0` pero la instancia se encuentra en una subred privada que no se puede enrutar desde ninguna puerta de enlace de Internet, Network Access Analyzer no generará ningún hallazgo. Esto proporciona resultados de alta fidelidad para que pueda identificar los recursos a los que realmente se puede acceder desde Internet.
Cuando ejecuta el Analizador de acceso a la red, utiliza los [Ámbitos de acceso a la red](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-network-access-analyzer.html#concepts) para especificar sus requisitos de acceso a la red. Esta solución identifica las rutas de red entre una puerta de enlace de Internet y una interfaz de red elástica. En este patrón, se implementa la solución de forma centralizada Cuenta de AWS en la organización, gestionada por ellas AWS Organizations, y esta analiza todas las cuentas de la organización Región de AWS, si las hay.
Esta solución se diseñó teniendo en cuenta lo siguiente:
+ Las AWS CloudFormation plantillas reducen el esfuerzo necesario para implementar los AWS recursos en este patrón.
+ Puede ajustar los parámetros de las CloudFormation plantillas y del script **naa-script.sh** en el momento de la implementación para personalizarlos para su entorno.
+ Los scripts de Bash aprovisionan y analizan automáticamente los alcances de acceso a la red para varias cuentas, en paralelo.
+ Un script de Python procesa los resultados, extrae los datos y, a continuación, consolida los resultados. Puede optar por revisar el informe consolidado de los resultados del Analizador de acceso a la red en formato CSV o en AWS Security Hub CSPM. Un ejemplo del informe CSV está disponible en la sección de [Información adicional](#create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts-additional) de este patrón.
+ Puede corregir los resultados o excluirlos de futuros análisis agregándolos al archivo **naa-exclusions.csv**.
## Requisitos previos y limitaciones
**Requisitos previos **
+ Y Cuenta de AWS para alojar servicios y herramientas de seguridad, gestionados como una cuenta de miembro de una organización en AWS Organizations. En este patrón, esta cuenta se denomina cuenta de seguridad.
+ En la cuenta de seguridad, debe tener una subred privada con acceso saliente a Internet. Para obtener instrucciones, consulte [Crear una subred](https://docs.aws.amazon.com/vpc/latest/userguide/create-subnets.html) en la documentación de Amazon VPC. Puede establecer el acceso a Internet mediante una [puerta de enlace NAT](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html) o un [punto de conexión de VPC de interfaz](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html).
+ Acceso a la cuenta AWS Organizations de administración o a una cuenta para la que se hayan delegado permisos de CloudFormation administrador. Para obtener instrucciones, consulte [Registrar un administrador delegado](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-delegated-admin.html) en la CloudFormation documentación.
+ Habilite el acceso confiable entre AWS Organizations y. CloudFormation Para obtener instrucciones, consulte [Habilitar el acceso confiable con AWS Organizations](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-enable-trusted-access.html) en la CloudFormation documentación.
+ Si vas a subir los resultados a Security Hub CSPM, Security Hub CSPM debe estar habilitado en la cuenta y en el lugar donde Región de AWS se aprovisiona la instancia de Amazon. EC2 Para obtener más información, consulte [Configuración AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html).
**Limitaciones**
+ Las rutas de red entre cuentas no se analizan actualmente debido a las limitaciones de las característica del Analizador de acceso a la red.
+ El objetivo Cuentas de AWS debe gestionarse como una organización en. AWS Organizations**Si no la utiliza AWS Organizations, puede actualizar la CloudFormation plantilla **naa-execrole.yaml** y el script naa-script.sh para su entorno.** En su lugar, proporciona una lista de las regiones en las que desea Cuenta de AWS IDs ejecutar el script.
+ La CloudFormation plantilla está diseñada para implementar la EC2 instancia de Amazon en una subred privada con acceso saliente a Internet. El AWS Systems Manager agente (agente SSM) requiere acceso saliente para llegar al punto final del servicio Systems Manager, y usted necesita acceso saliente para clonar el repositorio de código e instalar las dependencias. Si quieres usar una subred pública, debes modificar la plantilla **naa-resources.yaml** para asociar una [dirección IP](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/elastic-ip-addresses-eip.html) elástica a la instancia de Amazon. EC2
## Arquitectura
**Arquitectura de destino**
*Opción 1: Acceder a los resultados de un bucket de Amazon S3*
![\[Diagrama de arquitectura del acceso al informe de resultados del Analizador de acceso a la red en un bucket de Amazon S3\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/images/pattern-img/eda6abba-632a-4e3d-92b9-31848fa6dead/images/d0b08437-e5b0-47a1-abdd-040c67b5da8f.png)
El diagrama muestra el proceso siguiente:
1. Si ejecutas la solución manualmente, el usuario se autentica en la EC2 instancia de Amazon mediante el Administrador de sesiones y, a continuación, ejecuta el script **naa-script.sh**. Este script del intérprete de comandos lleva a cabo los pasos del 2 al 7.
Si ejecuta la solución automáticamente, el script **naa-script.sh** se iniciará automáticamente según la programación que haya definido en la expresión cron. Este script del intérprete de comandos lleva a cabo los pasos del 2 al 7. Para obtener más información, consulte *Automatizar y escalar* al final de esta sección.
1. La EC2 instancia de Amazon descarga el archivo **naa-exception.csv** más reciente del bucket de Amazon S3. Este archivo se utiliza más adelante en el proceso, cuando el Script de Python procesa las exclusiones.
1. La EC2 instancia de Amazon asume la función `NAAEC2Role` AWS Identity and Access Management (IAM), que otorga permisos para acceder al bucket de Amazon S3 y para asumir las funciones de `NAAExecRole` IAM en las demás cuentas de la organización.
1. La EC2 instancia de Amazon asume la función de `NAAExecRole` IAM en la cuenta de administración de la organización y genera una lista de las cuentas de la organización.
1. La EC2 instancia de Amazon asume la función de `NAAExecRole` IAM en las cuentas de los miembros de la organización (denominadas *cuentas de carga* de trabajo en el diagrama de arquitectura) y realiza una evaluación de seguridad en cada cuenta. Los resultados se almacenan como archivos JSON en la EC2 instancia de Amazon.
1. La EC2 instancia de Amazon usa un script de Python para procesar los archivos JSON, extraer los campos de datos y crear un informe CSV.
1. La EC2 instancia de Amazon carga el archivo CSV en el bucket de Amazon S3.
1. Una EventBridge regla de Amazon detecta la carga del archivo y utiliza un tema de Amazon SNS para enviar un correo electrónico en el que se notifica al usuario que el informe está completo.
1. El usuario descarga el archivo CSV del bucket de Amazon S3. El usuario importa los resultados a la plantilla de Excel y revisa los resultados.
*Opción 2: acceda a los resultados en AWS Security Hub CSPM*
![\[Diagrama de arquitectura del acceso a los resultados del Analizador de acceso a la red a través de AWS Security Hub\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/images/pattern-img/eda6abba-632a-4e3d-92b9-31848fa6dead/images/9cb4f059-dfb6-4a33-9f8d-159fe5df0d64.png)
El diagrama muestra el proceso siguiente:
1. Si ejecutas la solución manualmente, el usuario se autentica en la EC2 instancia de Amazon mediante el Administrador de sesiones y, a continuación, ejecuta el script **naa-script.sh**. Este script del intérprete de comandos lleva a cabo los pasos del 2 al 7.
Si ejecuta la solución automáticamente, el script **naa-script.sh** se iniciará automáticamente según la programación que haya definido en la expresión cron. Este script del intérprete de comandos lleva a cabo los pasos del 2 al 7. Para obtener más información, consulte *Automatizar y escalar* al final de esta sección.
1. La EC2 instancia de Amazon descarga el archivo **naa-exception.csv** más reciente del bucket de Amazon S3. Este archivo se utiliza más adelante en el proceso, cuando el Script de Python procesa las exclusiones.
1. La EC2 instancia de Amazon asume la función de `NAAEC2Role` IAM, que otorga permisos para acceder al bucket de Amazon S3 y para asumir las funciones de `NAAExecRole` IAM en las demás cuentas de la organización.
1. La EC2 instancia de Amazon asume la función de `NAAExecRole` IAM en la cuenta de administración de la organización y genera una lista de las cuentas de la organización.
1. La EC2 instancia de Amazon asume la función de `NAAExecRole` IAM en las cuentas de los miembros de la organización (denominadas *cuentas de carga* de trabajo en el diagrama de arquitectura) y realiza una evaluación de seguridad en cada cuenta. Los resultados se almacenan como archivos JSON en la EC2 instancia de Amazon.
1. La EC2 instancia de Amazon usa un script de Python para procesar los archivos JSON y extraer los campos de datos para importarlos a Security Hub CSPM.
1. La EC2 instancia de Amazon importa los resultados del Network Access Analyzer a Security Hub CSPM.
1. Una EventBridge regla de Amazon detecta la importación y utiliza un tema de Amazon SNS para enviar un correo electrónico en el que se notifica al usuario que el proceso se ha completado.
1. El usuario consulta los resultados en Security Hub CSPM.
**Automatizar y escalar**
Puede programar esta solución para que ejecute el script **naa-script.sh** automáticamente según una programación personalizada. Para establecer una programación personalizada, modifique el parámetro en la plantilla **naa-resources.yaml.** CloudFormation `CronScheduleExpression` Por ejemplo, el valor predeterminado de `0 0 * * 0` ejecuta la solución todos los domingos a medianoche. Un valor de `0 0 * 1-12 0` ejecutaría la solución a medianoche del primer domingo de cada mes. Para obtener más información sobre el uso de expresiones cron, consulte [Expresiones cron y de frecuencia](https://docs.aws.amazon.com/systems-manager/latest/userguide/reference-cron-and-rate-expressions.html) en la documentación de Systems Manager.
Si desea ajustar la programación una vez implementada la pila `NAA-Resources`, puede editarla manualmente en `/etc/cron.d/naa-schedule`.
## Tools (Herramientas)
**Servicios de AWS**
+ [Amazon Elastic Compute Cloud (Amazon EC2)](https://docs.aws.amazon.com/ec2/) proporciona una capacidad informática escalable en el Nube de AWS. Puede lanzar tantos servidores virtuales como necesite y escalarlos o reducirlos con rapidez.
+ [Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) es un servicio de bus de eventos sin servidor que le ayuda a conectar sus aplicaciones con datos en tiempo real de diversas fuentes. Por ejemplo, AWS Lambda funciones, puntos finales de invocación HTTP que utilizan destinos de API o buses de eventos en otros. Cuentas de AWS
+ [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) le ayuda a administrar de forma segura el acceso a sus AWS recursos al controlar quién está autenticado y autorizado a usarlos.
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)es un servicio de administración de cuentas que le ayuda a consolidar múltiples cuentas Cuentas de AWS en una organización que usted crea y administra de forma centralizada.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)proporciona una visión completa del estado de su seguridad en AWS. También le ayuda a comparar su AWS entorno con los estándares y las mejores prácticas del sector de la seguridad.
+ [Amazon Simple Notification Service (Amazon SNS)](https://docs.aws.amazon.com/sns/latest/dg/welcome.html) le permite coordinar y administrar el intercambio de mensajes entre publicadores y clientes, incluidos los servidores web y las direcciones de correo electrónico.
+ [Amazon Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) es un servicio de almacenamiento de objetos basado en la nube que lo ayuda a almacenar, proteger y recuperar cualquier cantidad de datos.
+ [AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html) lo ayuda a administrar las aplicaciones y la infraestructura que se ejecutan en la Nube de AWS. Simplifica la administración de aplicaciones y recursos, reduce el tiempo necesario para detectar y resolver problemas operativos y le ayuda a administrar sus AWS recursos de forma segura y a escala. Este patrón utiliza el Administrador de sesiones, una capacidad de Administrador de sistemas.
**Repositorio de código**
El código de este patrón está disponible en el repositorio de análisis de cuentas [múltiples GitHub de Network Access Analyzer](https://github.com/aws-samples/network-access-analyzer-multi-account-analysis). El repositorio de código contiene los siguientes archivos:
+ **naa-script.sh**: este script bash se utiliza para iniciar un análisis del Network Access Analyzer de varios Cuentas de AWS, en paralelo. Como se define en la CloudFormation plantilla **naa-resources.yaml**, este script se implementa automáticamente en la carpeta `/usr/local/naa` de la instancia de Amazon. EC2
+ **naa-resources.yaml**: utilizas esta CloudFormation plantilla para crear una pila en la cuenta de seguridad de la organización. Esta plantilla implementa todos los recursos necesarios para esta cuenta a fin de respaldar la solución. Esta pila debe implementarse antes que la plantilla **naa-execrole.yaml**.
**nota**
Si esta pila se elimina y se vuelve a implementar, debe volver a crear el conjunto de pilas `NAAExecRole` para recuperar las dependencias entre cuentas entre los roles de IAM.
+ **naa-execrole.yaml**: usa esta CloudFormation plantilla para crear un conjunto de pilas que despliegue la función de IAM en todas las cuentas de la organización, incluida la cuenta de administración. `NAAExecRole`
+ **naa-processfindings.py**: la secuencia de comandos **naa-script.sh** llama automáticamente a esta secuencia de comandos de Python para procesar las salidas JSON de Network Access Analyzer, excluir cualquier recurso de funcionalidad comprobada en el archivo **naa-exclusions.csv** y, a continuación, generar un archivo CSV con los resultados consolidados o importarlos a Security Hub CSPM.
## Epics
### Preparación para la implementación
| Tarea | Descripción | Habilidades requeridas |
| --- | --- | --- |
| Clone el repositorio de código. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
| Revise las plantillas. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
### Crea las CloudFormation pilas
| Tarea | Descripción | Habilidades requeridas |
| --- | --- | --- |
| Aprovisione recursos en la cuenta de seguridad. | Con la plantilla **naa-resources.yaml**, se crea una CloudFormation pila que despliega todos los recursos necesarios en la cuenta de seguridad. [Para obtener instrucciones, consulta Cómo crear una pila en la documentación.](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html) CloudFormation Tenga en cuenta lo siguiente al implementar esta plantilla:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
| Facilitar el rol de IAM en las cuentas de los miembros. | En la cuenta AWS Organizations de administración o en una cuenta con permisos de administrador delegados CloudFormation, utilice la plantilla **naa-execrole.yaml** para crear un conjunto de pilas. CloudFormation El conjunto de pilas implementa el rol de IAM de `NAAExecRole` para todas las cuentas de miembros de la organización. Para obtener instrucciones, consulta Cómo [crear un](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-getting-started-create.html#stacksets-orgs-associate-stackset-with-org) conjunto de pilas con permisos administrados por el servicio en la documentación. CloudFormation Tenga en cuenta lo siguiente al implementar esta plantilla:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
| Facilite el rol de IAM en la cuenta de administración. | Con la plantilla **naa-execrole.yaml**, se crea una CloudFormation pila que implementa la función de `NAAExecRole` IAM en la cuenta de administración de la organización. El conjunto de pilas que creó anteriormente no implementa el rol de IAM en la cuenta de administración. [Para obtener instrucciones, consulta Cómo crear una pila en la documentación.](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html) CloudFormation Tenga en cuenta lo siguiente al implementar esta plantilla:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
### Realice el análisis
| Tarea | Descripción | Habilidades requeridas |
| --- | --- | --- |
| Personalice el script del intérprete de comandos. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
| Analice las cuentas de destino. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
| Opción 1: Recupere los resultados del bucket de Amazon S3. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
| Opción 2: Revise los resultados en Security Hub CSPM. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
### Corregir y excluir los resultados
| Tarea | Descripción | Habilidades requeridas |
| --- | --- | --- |
| Corrija los resultados. | Corrija cualquier resultado que desee abordar. Para obtener más información y las mejores prácticas sobre cómo crear un perímetro alrededor de sus AWS identidades, recursos y redes, consulte Cómo [crear un perímetro de datos en AWS](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/building-a-data-perimeter-on-aws.html) (AWS documento técnico). | AWS DevOps |
| Excluya los recursos con rutas de red de funcionalidad comprobada. | Si el Analizador de acceso a la red genera resultados sobre los recursos a los que se debería acceder desde Internet, puede agregar estos recursos a una lista de exclusión. La próxima vez que se ejecute el Analizador de acceso a la red, no generará ningún resultado para ese recurso.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
### (Opcional) Actualizar el script naa-script.sh
| Tarea | Descripción | Habilidades requeridas |
| --- | --- | --- |
| Actualice el script naa-script.sh. | Si quiere actualizar el script **naa-script.sh** a la última versión del repositorio, haga lo siguiente:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
### (Opcional) Limpieza
| Tarea | Descripción | Habilidades requeridas |
| --- | --- | --- |
| Elimine todos los recursos implementados. | Puede dejar los recursos implementados en las cuentas.Si desea desaprovisionar todos los recursos, haga lo siguiente:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
## Resolución de problemas
| Problema | Solución |
| --- | --- |
| No se puede conectar a la EC2 instancia de Amazon mediante el administrador de sesiones. | El agente SSM debe poder comunicarse con el punto de conexión de Systems Manager. Haga lo siguiente:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) |
| Al implementar el conjunto de pilas, la CloudFormation consola le solicitará que lo haga`Enable trusted access with AWS Organizations to use service-managed permissions`. | Esto indica que no se ha habilitado el acceso de confianza entre AWS Organizations y CloudFormation. Se requiere acceso de confianza para implementar el conjunto de pilas gestionado por servicios. Seleccione el botón para activar el acceso de confianza. Para obtener más información, consulte [Habilitar el acceso confiable](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-enable-trusted-access.html) en la CloudFormation documentación. |
## Recursos relacionados
+ [Nuevo: Amazon VPC Network Access Analyzer (entrada de blog](https://aws.amazon.com/blogs/aws/new-amazon-vpc-network-access-analyzer/))AWS
+ [AWS Re:inForce 2022: valide los controles efectivos de acceso a la red el (02 AWS ) (vídeo) NIS2](https://youtu.be/aN2P2zeQek0)
+ [Demostración - Análisis de la ruta de datos de ingreso a Internet en toda la organización mediante un Analizador de acceso a la red](https://youtu.be/1IFNZWy4iy0) (video)
## Información adicional
**Ejemplo de salida de consola**
En el siguiente ejemplo se muestra el resultado de generar la lista de cuentas de destino y analizar las cuentas de destino.
```
[root@ip-10-10-43-82 naa]# ./naa-script.sh
download: s3://naa--us-east-1/naa-exclusions.csv to ./naa-exclusions.csv
AWS Management Account:
AWS Accounts being processed...
Assessing AWS Account: , using Role: NAAExecRole
Assessing AWS Account: , using Role: NAAExecRole
Assessing AWS Account: , using Role: NAAExecRole
Processing account: / Region: us-east-1
Account: / Region: us-east-1 – Detecting Network Analyzer scope...
Processing account: / Region: us-east-1
Account: / Region: us-east-1 – Detecting Network Analyzer scope...
Processing account: / Region: us-east-1
Account: / Region: us-east-1 – Detecting Network Analyzer scope...
Account: / Region: us-east-1 – Network Access Analyzer scope detected.
Account: / Region: us-east-1 – Continuing analyses with Scope ID. Accounts with many resources may take up to one hour
Account: / Region: us-east-1 – Network Access Analyzer scope detected.
Account: / Region: us-east-1 – Continuing analyses with Scope ID. Accounts with many resources may take up to one hour
Account: / Region: us-east-1 – Network Access Analyzer scope detected.
Account: / Region: us-east-1 – Continuing analyses with Scope ID. Accounts with many resources may take up to one hour
```
**Ejemplos de informes CSV**
Las siguientes imágenes son ejemplos de la producción de CSV.
![\[Ejemplo 1 del informe CSV generado por esta solución.\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/images/pattern-img/eda6abba-632a-4e3d-92b9-31848fa6dead/images/55e02e61-054e-4da6-aaae-c9a8b6f4f272.png)
![\[Ejemplo 2 del informe CSV generado por esta solución.\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/images/pattern-img/eda6abba-632a-4e3d-92b9-31848fa6dead/images/95f980ad-92c1-4392-92d4-9c742755aab2.png)
# Configurar la resolución de DNS para redes híbridas en un entorno de cuentas múltiples AWS
*Anvesh Koganti, Amazon Web Services*
## Resumen
Este patrón proporciona una solución integral para configurar la resolución de DNS en entornos de redes híbridas que incluyen varias cuentas de Amazon Web Services (AWS). Permite la resolución de DNS bidireccional entre las redes locales y el entorno a través de puntos finales. AWS Amazon Route 53 Resolver El patrón presenta dos soluciones para permitir la resolución de DNS en una [arquitectura centralizada de varias cuentas](https://docs.aws.amazon.com/whitepapers/latest/hybrid-cloud-dns-options-for-vpc/scaling-dns-management-across-multiple-accounts-and-vpcs.html#multi-account-centralized):
+ La *configuración básica* no utiliza los perfiles de Route 53. Ayuda a optimizar los costos de las implementaciones pequeñas y medianas de menor complejidad.
+ La *configuración mejorada* utiliza los perfiles de Route 53 para simplificar las operaciones. Es la mejor opción para implementaciones de DNS más grandes o complejas.
**nota**
Consulte la sección *Limitaciones* para conocer las limitaciones y cuotas del servicio antes de la implementación. Al tomar la decisión, tenga en cuenta factores como los gastos generales de administración, los costos, la complejidad operativa y la experiencia del equipo.
## Requisitos previos y limitaciones
**Requisitos previos **
+ Un entorno de AWS varias cuentas con Amazon Virtual Private Cloud (Amazon VPC) implementado en cuentas de carga de trabajo y de servicios compartidos (preferiblemente configuradas [a través de la Torre de Control de AWS AWS siguiendo las prácticas recomendadas](https://docs.aws.amazon.com/controltower/latest/userguide/aws-multi-account-landing-zone.html) para la estructura de cuentas).
+ Conectividad híbrida existente (AWS Direct Connect o AWS Site-to-Site VPN) entre su red local y el entorno. AWS
+ Emparejamiento de Amazon VPC o Nube de AWS WAN para conectividad de red de capa 3 entre. AWS Transit Gateway VPCs (Esta conectividad es necesaria para el tráfico de aplicaciones. No es necesaria para que funcione la resolución de DNS. La resolución de DNS funciona independientemente de la conectividad de red entre los VPCs.)
+ Servidores DNS que se ejecutan en el entorno en las instalaciones.
**Limitaciones**
+ Los puntos finales, las reglas y los perfiles de Route 53 Resolver son construcciones regionales y, en el caso de las organizaciones globales, es posible que deban replicarse en varios Regiones de AWS .
+ Para obtener una lista completa de las cuotas de servicio de Route 53 Resolver, las zonas alojadas privadas y los perfiles, consulte la sección [Quotas](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/DNSLimitations.html) en la documentación de Route 53.
## Arquitectura
**Pila de tecnología de destino**
+ Puntos de conexión entrantes y salientes de Route 53
+ Reglas de Route 53 Resolver para el reenvío condicional
+ AWS Resource Access Manager (AWS RAM)
+ Zona alojada privada de Route 53
**Arquitectura de destino**
**Puntos de conexión entrantes y salientes**
En el siguiente diagrama, se muestra el flujo de resolución de DNS desde el entorno local AWS hasta el entorno local. Esta es la configuración de conectividad para las resoluciones salientes en las que el dominio se aloja en las instalaciones. A continuación se presenta información general del proceso que implica la configuración de esto. Para más información, consulte la sección [Epics](#set-up-dns-resolution-for-hybrid-networks-in-a-multi-account-aws-environment-epics).
1. Implemente puntos de conexión de Route 53 Resolver salientes en la VPC de servicios compartidos.
1. Cree reglas de Route 53 Resolver (reglas de reenvío) en la cuenta de servicios compartidos para los dominios alojados en las instalaciones.
1. Comparta las reglas y VPCs asócielas con otras cuentas que alojen los recursos necesarios para resolver los dominios alojados de forma local. Esto se puede hacer de maneras distintas según el caso de uso, como se describe más adelante en esta sección.
![\[Puntos de conexión entrantes y salientes en un flujo de resolución de DNS desde AWS a las instalaciones.\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/images/pattern-img/01e700cd-be8c-4a5d-bc89-b901a260d045/images/d69d4cad-5e2c-4481-9370-2708e8a4f8c1.png)
Una vez configurada la conectividad, los pasos necesarios para la resolución saliente son los siguientes:
1. La instancia de Amazon Elastic Compute Cloud (Amazon EC2) envía una solicitud de resolución de DNS `db.onprem.example.com` al solucionador de Route 53 de la VPC a la dirección de la VPC\$12.
1. Route 53 Resolver comprueba las reglas del Resolver y reenvía la solicitud al servidor DNS local IPs mediante el punto final de salida.
1. El punto final saliente reenvía la solicitud al DNS local. IPs El tráfico pasa por la conectividad de red híbrida establecida entre la VPC de servicios compartidos y el centro de datos en las instalaciones.
1. El servidor DNS en las instalaciones responde al punto de conexión saliente, que luego reenvía la respuesta al solucionador de Route 53 Resolver de la VPC. El Resolver devuelve la respuesta a la instancia. EC2
El siguiente diagrama muestra el flujo de resolución de DNS desde el entorno local hasta AWS. Esta es la configuración de conectividad para las resoluciones entrantes en las que el dominio se aloja en AWS. A continuación se presenta información general del proceso que implica la configuración de esto. Para más información, consulte la sección [Epics](#set-up-dns-resolution-for-hybrid-networks-in-a-multi-account-aws-environment-epics).
1. Implemente puntos de conexión entrantes de Resolver en la VPC de servicios compartidos.
1. Cree zonas alojadas privadas en la cuenta de servicios compartidos (enfoque centralizado).
1. Asocie las zonas alojadas privadas a la VPC de servicios compartidos. Comparta y asocie estas zonas con varias cuentas VPCs para la resolución de VPC-to-VPC DNS. Esto se puede hacer de maneras distintas según el caso de uso, como se describe más adelante en esta sección.
![\[Puntos de conexión entrantes y salientes en un flujo de resolución de DNS desde las instalaciones hacia AWS.\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/images/pattern-img/01e700cd-be8c-4a5d-bc89-b901a260d045/images/a6f5348c-2041-453e-8939-2b4ee0b7ebd8.png)
Una vez configurada la conectividad, los pasos necesarios para la resolución entrante son los siguientes:
1. El recurso en las instalaciones envía una solicitud de resolución de DNS para `ec2.prod.aws.example.com` al servidor DNS en las instalaciones.
1. El servidor DNS en las instalaciones reenvía la solicitud al punto de conexión de Resolver entrante de la VPC de servicios compartidos a través de la conexión de red híbrida.
1. El punto de conexión de Resolver entrante busca la solicitud en la zona alojada privada asociada con la ayuda Route 53 Resolver de VPC y obtiene la dirección IP adecuada.
1. Estas direcciones IP se devuelven al servidor DNS en las instalaciones, que devuelve la respuesta al recurso en las instalaciones.
Esta configuración permite que los recursos locales resuelvan los nombres de dominio AWS privados al enrutar las consultas a través de los puntos finales entrantes hasta la zona alojada privada adecuada. En esta arquitectura, las zonas alojadas privadas están centralizadas en una VPC de servicios compartidos, lo que permite la administración central del DNS por parte de un solo equipo. Estas zonas se pueden asociar VPCs a muchas para abordar el caso de uso de la resolución de VPC-to-VPC DNS. Como alternativa, puede delegar la propiedad y la administración del dominio DNS en cada una de ellas Cuenta de AWS. En ese caso, cada cuenta administra sus propias zonas alojadas privadas y asocia cada zona a la VPC central de servicios compartidos para lograr una resolución unificada con el entorno en las instalaciones. Este enfoque descentralizado queda fuera del alcance de este patrón. Para obtener más información, consulte [Escalar la administración de DNS en varias cuentas y VPCs](https://docs.aws.amazon.com/whitepapers/latest/hybrid-cloud-dns-options-for-vpc/scaling-dns-management-across-multiple-accounts-and-vpcs.html) en el documento técnico *Opciones de DNS en la nube híbrida para Amazon VPC*.
Al establecer los flujos de resolución de DNS fundamentales mediante puntos de conexión de Resolver, debe determinar cómo administrar el uso compartido y la asociación de las reglas de Resolver y las zonas alojadas privadas en sus Cuentas de AWS. Puede abordarlo de dos maneras: mediante el uso compartido autogestionado, AWS RAM para compartir las reglas de Resolver y las asociaciones directas de zonas alojadas privadas, como se detalla en la sección *Configuración básica*, o mediante los perfiles de Route 53, como se explica en la sección *Configuración mejorada*. La elección depende de las preferencias de administración del DNS y de los requisitos operativos de su organización. Los siguientes diagramas de arquitectura ilustran un entorno escalado que incluye varias cuentas VPCs diferentes, lo que representa una implementación empresarial típica.
**Configuración básica**
En la configuración básica, la implementación de la resolución de DNS híbrida en un AWS entorno con varias cuentas se utiliza AWS RAM para compartir las reglas de reenvío de Resolver y las asociaciones de zonas alojadas privadas para gestionar las consultas de DNS entre las instalaciones y los recursos. AWS Este método utiliza puntos de conexión de Route 53 Resolver centralizados en una VPC de servicios compartidos que está conectada a la red en las instalaciones para gestionar la resolución de DNS entrante y saliente de manera eficiente.
+ Para la resolución de llamadas salientes, las reglas de reenvío de Resolver se crean en la cuenta de Shared Services y, a continuación, se comparten con otras personas mediante. Cuentas de AWS AWS RAM Este uso compartido está limitado a cuentas en la misma región. A continuación, las cuentas de destino pueden asociar estas reglas a las suyas VPCs y habilitar los recursos que contienen VPCs para resolver los nombres de dominio locales.
+ Para la resolución entrante, las zonas alojadas privadas se crean en la cuenta de servicios compartidos y se asocian a la VPC de servicios compartidos. Luego, estas zonas se pueden asociar VPCs a otras cuentas mediante la API de Route 53 o la AWS Command Line Interface (AWS CLI). AWS SDKs Los recursos asociados VPCs pueden entonces resolver los registros de DNS definidos en las zonas alojadas privadas, lo que crea una vista de DNS unificada en todo el AWS entorno.
En el diagrama siguiente se muestran los flujos de resolución de DNS en esta configuración básica.
![\[Uso de una configuración básica para la resolución de DNS híbridas en un entorno de AWS de varias cuentas.\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/images/pattern-img/01e700cd-be8c-4a5d-bc89-b901a260d045/images/258e4bcd-e9c6-43b5-bab8-856ca22206b9.png)
Esta configuración funciona bien cuando se trabaja con una infraestructura de DNS a una escala limitada. Sin embargo, su administración puede resultar difícil a medida que crece el entorno. La sobrecarga operativa que supone administrar la forma en que se comparten y se asocian VPCs individualmente las reglas de las zonas alojadas privadas y del Resolver aumenta considerablemente con la escala. Además, las cuotas de servicio, como el límite de asociación de 300 VPC por zona alojada privada, pueden convertirse en factores restrictivos en las implementaciones a gran escala. La configuración mejorada aborda estos desafíos.
**Configuración mejorada**
Los perfiles de Route 53 ofrecen una solución simplificada para administrar la resolución de DNS en redes híbridas en varias Cuentas de AWS. En lugar de administrar las zonas alojadas privadas y las reglas de Resolver de forma individual, puede agrupar las configuraciones de DNS en un único contenedor que se pueda compartir y aplicar fácilmente en varias cuentas VPCs y cuentas de una región. Esta configuración mantiene la arquitectura centralizada del punto de conexión de Resolver en una VPC de servicios compartidos y, al mismo tiempo, simplifica considerablemente la administración de las configuraciones de DNS.
En el diagrama siguiente se muestran los flujos de resolución de DNS en una configuración mejorada.
![\[Uso de una configuración avanzada con los perfiles de Route 53 para la resolución de DNS híbridas en un entorno de AWS de varias cuentas.\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/images/pattern-img/01e700cd-be8c-4a5d-bc89-b901a260d045/images/55b9681d-ddb4-4a55-b4ec-fc9afa9870fa.png)
Los perfiles de Route 53 le permiten empaquetar las asociaciones de zonas alojadas privadas, las reglas de reenvío de Resolver y las reglas de firewall de DNS en una sola unidad que se puede compartir. Puede crear perfiles en la cuenta de Shared Services y compartirlos con las cuentas de los miembros mediante AWS RAM. Cuando se comparte un perfil y se aplica a Target VPCs, el servicio gestiona automáticamente todas las asociaciones y configuraciones necesarias. Esto reduce de manera significativa los gastos generales operativos de la administración del DNS y proporciona una escalabilidad excelente para los entornos en crecimiento.
**Automatización y escala**
Utilice herramientas de infraestructura como código (IaC), como CloudFormation Terraform, para aprovisionar y administrar automáticamente los puntos finales, las reglas, las zonas alojadas privadas y los perfiles de Route 53 Resolver. Integre la configuración de DNS con flujos de integración continua y entrega continua (CI/CD) para lograr coherencia, repetibilidad y actualizaciones rápidas.
## Tools (Herramientas)
**Servicios de AWS**
+ [AWS Resource Access Manager (AWS RAM)](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) le ayuda a compartir sus recursos de forma segura Cuentas de AWS para reducir los gastos operativos y ofrecer visibilidad y auditabilidad.
+ [Amazon Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html)responde de forma recursiva a las consultas de DNS procedentes de AWS los recursos y está disponible de forma predeterminada en todos ellos. VPCs Puede crear puntos de enlace de Resolver y reglas de reenvío condicional para resolver los espacios de nombres DNS entre su centro de datos local y el suyo. VPCs
+ Una [zona alojada privada de Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zones-private.html) es un contenedor que aloja información acerca de cómo desea que responda Route 53 a las consultas de DNS de un dominio y sus subdominios.
+ [Los perfiles de Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/profiles.html) le permiten aplicar y gestionar configuraciones de Route 53 relacionadas con el DNS en muchas VPCs y diferentes Cuentas de AWS configuraciones de forma simplificada.
## Prácticas recomendadas
En esta sección, se proporcionan algunas de las prácticas recomendadas para la optimización de Route 53 Resolver. Representan un subconjunto de las prácticas recomendadas de Route 53. Para obtener información completa, consulte [Best practices for Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/best-practices.html).
**Evite las configuraciones en bucle con los puntos finales de Resolver**
+ Diseñe la arquitectura de DNS para evitar el enrutamiento recursivo y planifique con detenimiento las asociaciones de VPC. Cuando una VPC aloja un punto de conexión entrante, evite asociarlo a las reglas de Resolver que podrían crear referencias circulares.
+ AWS RAM Utilízalos estratégicamente cuando compartas los recursos de DNS entre cuentas para mantener limpias las rutas de enrutamiento.
Para más información, consulte [Avoid loop configurations with Resolver endpoints](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/best-practices-resolver-endpoints.html) en la documentación de Route 53.
**Escalado de puntos de conexión de Resolver**
+ En el caso de los entornos que requieren un número elevado de consultas por segundo (QPS), tenga en cuenta que hay un límite de 10 000 QPS por ENI en un punto de conexión. ENIs Se pueden añadir más a un punto final para escalar el QPS del DNS.
+ Amazon CloudWatch proporciona `InboundQueryVolume` y `OutboundQueryVolume` métricas (consulta la [CloudWatch documentación](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/monitoring-resolver-with-cloudwatch.html)). Le recomendamos que configure reglas de supervisión que le avisen si el umbral supera un valor determinado (por ejemplo, el 80 % de 10 000 QPS).
+ Configure reglas de grupos de seguridad con estado para los puntos de conexión de Resolver para evitar que los límites de seguimiento de la conexión provoquen una limitación de las consultas de DNS durante un tráfico de gran volumen. Para obtener más información sobre cómo funciona el seguimiento de conexiones en los grupos de seguridad, consulte el [seguimiento de conexiones de los grupos de EC2 seguridad de Amazon](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-connection-tracking.html) en la EC2 documentación de Amazon.
Para más información, consulte [Resolver endpoint scaling](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/best-practices-resolver-endpoint-scaling.html) en la documentación de Route 53.
**Cómo proporcionar alta disponibilidad para puntos de enlace de Resolver**
+ Cree puntos de conexión de entrada con las direcciones IP al menos en dos zonas de disponibilidad para la redundancia.
+ Aprovisionamiento de interfaces de red adicionales para garantizar la disponibilidad durante el mantenimiento o los picos de tráfico.
Para más información, consulte [High availability for Resolver endpoints](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/best-practices-resolver-endpoint-high-availability.html) en la documentación de Route 53.
## Epics
### Implementación de puntos de conexión de Route 53 Resolver
| Tarea | Descripción | Habilidades requeridas |
| --- | --- | --- |
| Cree un punto de conexión entrante. | Route 53 Resolver utiliza un punto de conexión de entrada para recibir las consultas de DNS de los solucionadores en las instalaciones. Para obtener instrucciones, consulte [Reenviar las consultas de DNS entrantes a su](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-forwarding-inbound-queries.html) cuenta VPCs en la documentación de Route 53. Anote la dirección IP del punto de conexión entrante. | Administrador de la nube, administrador de AWS |
| Implemente un punto de conexión saliente. | Route 53 Resolver utiliza un punto de conexión de salida para enviar las consultas de DNS de los solucionadores en las instalaciones. Para obtener instrucciones, consulte [Reenvío de consultas de DNS de salida a su red](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-forwarding-outbound-queries.html) en la documentación de Route 53. Anote el ID del punto de conexión de salida. | Administrador de la nube, administrador de AWS |
### Configuración y uso compartido de zonas alojadas privadas de Route 53
| Tarea | Descripción | Habilidades requeridas |
| --- | --- | --- |
| Cree una zona alojada privada para un dominio alojado en AWS. | Esta zona contiene los registros DNS de los recursos AWS de un dominio hospedado (por ejemplo`prod.aws.example.com`) que deben resolverse desde el entorno local. Para obtener instrucciones, consulte [Crear una zona alojada privada](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zone-private-creating.html) en la documentación de Route 53.Al crear una zona alojada privada, debe asociar una VPC a la zona alojada que es responsabilidad de la misma cuenta. Seleccione la VPC de servicios compartidos para este fin. | Administrador de la nube, administrador de AWS |
| Configuración básica: asocie la zona alojada privada a otras VPCs cuentas. | Si utiliza la configuración básica (consulte la sección [Arquitectura](#set-up-dns-resolution-for-hybrid-networks-in-a-multi-account-aws-environment-architecture)):Para permitir que los recursos de la cuenta VPCs del miembro resuelvan los registros DNS de esta zona alojada privada, debe asociar los suyos VPCs a la zona alojada. Debe autorizar la asociación y, a continuación, crearla mediante programación. Para obtener instrucciones, consulte [Associating an Amazon VPC and a private hosted zone that you created with different Cuentas de AWS](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zone-private-associate-vpcs-different-accounts.html) en la documentación de Route 53. | Administrador de la nube, administrador de AWS |
| Configuración mejorada: configure y comparta los perfiles de Route 53. | Si utiliza la configuración mejorada (consulte la sección [Arquitectura](#set-up-dns-resolution-for-hybrid-networks-in-a-multi-account-aws-environment-architecture)):[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/set-up-dns-resolution-for-hybrid-networks-in-a-multi-account-aws-environment.html)Según la estructura de su organización y los requisitos de DNS, es posible que deba crear y administrar varios perfiles para cuentas o cargas de trabajo distintas. | Administrador de la nube, administrador de AWS |
### Configuración y uso compartido de las reglas de reenvío de Route 53 Resolver
| Tarea | Descripción | Habilidades requeridas |
| --- | --- | --- |
| Cree una regla de reenvío para un dominio alojado en las instalaciones | Esta regla indicará a Route 53 Resolver que reenvíe las consultas de DNS para los dominios en las instalaciones (como `onprem.example.com`) a los solucionadores de DNS en las instalaciones. Para crear esta regla, necesitará las direcciones IP de los solucionadores de DNS en las instalaciones y el ID del punto de conexión saliente. Para obtener instrucciones, consulte [Creación de reglas de reenvío](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-rules-managing-creating-rules.html) en la documentación de Route 53. | Administrador de la nube, administrador de AWS |
| Configuración básica: comparte y asocia la regla de reenvío a la tuya VPCs en otras cuentas. | Si utiliza la configuración básica:Para que la regla de reenvío entre en vigor, debes compartir y asociar la regla a la tuya VPCs en otras cuentas. Luego, Route 53 Resolver toma en cuenta la regla al resolver un dominio. Para obtener instrucciones, consulte [Compartir reglas de Resolver con otras Cuentas de AWS personas y usar reglas compartidas](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-rules-managing-sharing.html) y [Asociar reglas de reenvío a una VPC](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-rules-managing-associating-rules.html) en la documentación de Route 53. | Administrador de la nube, administrador de AWS |
| Configuración mejorada: configure y comparta los perfiles de Route 53. | Si utiliza la configuración mejorada:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/set-up-dns-resolution-for-hybrid-networks-in-a-multi-account-aws-environment.html)Según la estructura de su organización y los requisitos de DNS, es posible que deba crear y administrar varios perfiles para cuentas o cargas de trabajo distintas. | Administrador de la nube, administrador de AWS |
### Configure los resolutores de DNS locales para la integración AWS
| Tarea | Descripción | Habilidades requeridas |
| --- | --- | --- |
| Configure el reenvío condicional en los solucionadores de DNS en las instalaciones. | Para que las consultas de DNS se envíen AWS desde el entorno local para su resolución, debe configurar el reenvío condicional en los solucionadores de DNS locales para que apunten a la dirección IP del punto final entrante. Esto indica a los solucionadores de DNS que reenvíen todas las consultas de DNS del dominio AWS hospedado (por ejemplo, para`prod.aws.example.com`) a la dirección IP del punto final de entrada para que Route 53 Resolver las resuelva. | Administrador de red |
### Verifique la resolución del end-to-end DNS en un entorno híbrido
| Tarea | Descripción | Habilidades requeridas |
| --- | --- | --- |
| Pruebe la resolución de DNS desde AWS el entorno local. | Desde una instancia en una VPC que tenga la regla de reenvío asociada, haga una consulta de DNS para un dominio alojado en las instalaciones (por ejemplo, para `db.onprem.example.com`). | Administrador de red |
| Pruebe la resolución de DNS desde el entorno local hasta. AWS | Desde un servidor local, realice la resolución de DNS para un dominio AWS hospedado (por ejemplo, para). `ec2.prod.aws.example.com` | Administrador de red |
## Recursos relacionados
+ [Opciones de DNS en la nube híbrida para Amazon VPC (documento técnico](https://docs.aws.amazon.com/whitepapers/latest/hybrid-cloud-dns-options-for-vpc/hybrid-cloud-dns-options-for-vpc.html))AWS
+ [Working with private hosted zones](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zones-private.html) (documentación de Route 53)
+ [Getting started with Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-getting-started.html) (documentación de Route 53)
+ [Simplifique la administración del DNS en un entorno de varias cuentas con Route 53 Resolver](https://aws.amazon.com/blogs/security/simplify-dns-management-in-a-multiaccount-environment-with-route-53-resolver/) (entrada del blog)AWS
+ [Unifique la administración de DNS mediante perfiles de Amazon Route 53 con múltiples VPCs y Cuentas de AWS](https://aws.amazon.com/blogs/aws/unify-dns-management-using-amazon-route-53-profiles-with-multiple-vpcs-and-aws-accounts/) (AWS entrada de blog)
+ [Migración de su entorno DNS multicuenta a los perfiles de Amazon Route 53](https://aws.amazon.com/blogs/networking-and-content-delivery/migrating-your-multi-account-dns-environment-to-amazon-route-53-profiles/) (AWS entrada del blog)
+ [Uso de los perfiles de Amazon Route 53 para AWS entornos escalables con varias cuentas](https://aws.amazon.com/blogs/networking-and-content-delivery/using-amazon-route-53-profiles-for-scalable-multi-account-aws-environments/) (AWS entrada del blog)
# Verifique que los equilibradores de carga ELB requieran la terminación de TLS
*Priyanka Chaudhary, Amazon Web Services*
## Resumen
En la nube de Amazon Web Services (AWS), Elastic Load Balancing (ELB) distribuye automáticamente el tráfico entrante de las aplicaciones entre varios destinos, como instancias de Amazon Elastic Compute Cloud EC2 (Amazon), contenedores, direcciones IP y funciones de AWS Lambda. Los equilibradores de carga emplean oyentes para definir los puertos y protocolos que usa el equilibrador de carga para aceptar el tráfico de los usuarios. Los balanceadores de carga de aplicaciones toman las decisiones de enrutamiento en la capa de aplicación y utilizan los protocolos. HTTP/HTTPS Los equilibradores de carga clásicos toman las decisiones de enrutamiento en la capa de transporte, mediante los protocolos TCP o Secure Sockets Layer (SSL), o en la capa de aplicación, mediante HTTP/HTTPS.
Este patrón proporciona un control de seguridad que examina varios tipos de eventos para los equilibradores de carga de aplicaciones y los equilibradores de carga clásicos. Cuando se invoca la función, AWS Lambda inspecciona el evento y se asegura de que el equilibrador de carga sea compatible.
La función inicia un evento de Amazon CloudWatch Events en las siguientes llamadas a la API: [CreateLoadBalancer[CreateLoadBalancerListeners](https://docs.aws.amazon.com/elasticloadbalancing/2012-06-01/APIReference/API_CreateLoadBalancerListeners.html)](https://docs.aws.amazon.com/elasticloadbalancing/2012-06-01/APIReference/API_CreateLoadBalancer.html), [DeleteLoadBalancerListeners](https://docs.aws.amazon.com/elasticloadbalancing/2012-06-01/APIReference/API_DeleteLoadBalancerListeners.html), [CreateLoadBalancerPolicy](https://docs.aws.amazon.com/elasticloadbalancing/2012-06-01/APIReference/API_CreateLoadBalancerPolicy.html), [SetLoadBalancerPoliciesOfListener](https://docs.aws.amazon.com/elasticloadbalancing/2012-06-01/APIReference/API_SetLoadBalancerPoliciesOfListener.html), [CreateListener[DeleteListener](https://docs.aws.amazon.com/elasticloadbalancing/latest/APIReference/API_DeleteListener.html)](https://docs.aws.amazon.com/elasticloadbalancing/latest/APIReference/API_CreateListener.html), y [ModifyListener](https://docs.aws.amazon.com/elasticloadbalancing/latest/APIReference/API_ModifyListener.html). Cuando el evento detecta uno de estos APIs, llama a AWS Lambda, que ejecuta un script de Python. El script de Python evalúa si el oyente contiene un certificado SSL y si la política que se aplica utiliza seguridad de la capa de transporte (TLS). Si se determina que la política de SSL es distinta de TLS, la función envía una notificación de Amazon Simple Notification Service (Amazon SNS) al usuario con la información pertinente.
## Requisitos previos y limitaciones
**Requisitos previos **
+ Una cuenta de AWS activa
**Limitaciones**
+ Este control de seguridad no comprueba los equilibradores de carga existentes, a menos que se realice una actualización en los dispositivos de escucha del equilibrador de carga.
+ Este control de seguridad es regional. Debe implementarlo en cada región de AWS que desee supervisar.
## Arquitectura
**Arquitectura de destino**
![\[Asegurarse de que los equilibradores de carga requieran la terminación de TLS.\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/images/pattern-img/da99cda2-ac34-4791-a2bd-d37264d8d3d9/images/af92b3c8-32bb-45eb-a2a8-d8276fb3e824.png)
**Automatización y escala**
+ Si utiliza [AWS Organizations](https://aws.amazon.com/organizations/), puede utilizar [AWS Cloudformation StackSets](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html) para implementar esta plantilla en varias cuentas que desee supervisar.
## Tools (Herramientas)
**Servicios de AWS**
+ [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html): AWS le CloudFormation ayuda a modelar y configurar sus recursos de AWS, a aprovisionarlos de forma rápida y coherente y a gestionarlos durante todo su ciclo de vida. Facilita poder usar una plantilla para describir los recursos y sus dependencias, y lanzarlos y configurarlos juntos como una pila, en lugar de administrarlos de forma individual.
+ [Amazon CloudWatch Events](https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/WhatIsCloudWatchEvents.html): Amazon CloudWatch Events ofrece una transmisión casi en tiempo real de los eventos del sistema que describen los cambios en los recursos de AWS.
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html): AWS Lambda es un servicio de computación que permite ejecutar código sin aprovisionar ni administrar servidores.
+ [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/Welcome.html): Amazon Simple Storage Service (Amazon S3) es un servicio de almacenamiento de objetos altamente escalable que se puede utilizar para una amplia gama de soluciones de almacenamiento, incluidos sitios web, aplicaciones móviles, copias de seguridad y lagos de datos.
+ [Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/welcome.html): Amazon Simple Notification Service (Amazon SNS) coordina y gestiona la entrega o el envío de mensajes entre publicadores y clientes, incluyendo los servidores web y las direcciones de correo electrónico. Los suscriptores reciben todos los mensajes publicados de los temas a los que están suscritos y todos los suscriptores de un tema reciben los mismos mensajes.
**Código**
Este patrón incluye los siguientes archivos adjuntos:
+ `ELBRequirestlstermination.zip`: el código de Lambda para el control de seguridad.
+ `ELBRequirestlstermination.yml`— La CloudFormation plantilla que configura el evento y la función Lambda.
## Epics
### Configuración del bucket de S3
| Tarea | Descripción | Habilidades requeridas |
| --- | --- | --- |
| Defina el bucket de S3. | En la [consola Amazon S3](https://console.aws.amazon.com/s3/), elija o cree un bucket de S3 para alojar el archivo .zip de código de Lambda. Este bucket de S3 debe estar en la misma región de AWS que el equilibrador de carga que desea evaluar. Un nombre de bucket de S3 es globalmente único y todas las cuentas de AWS comparten el espacio de nombres. El nombre de bucket de S3 no puede incluir barras a la izquierda. | Arquitecto de la nube |
| Cargue el código de Lambda. | Cargue el código de Lambda (archivo `ELBRequirestlstermination.zip`) que se proporciona en la sección *Adjuntos* en el bucket de S3. | Arquitecto de la nube |
### Implemente la plantilla CloudFormation
| Tarea | Descripción | Habilidades requeridas |
| --- | --- | --- |
| Lance la CloudFormation plantilla de AWS. | Abra la [ CloudFormation consola de AWS](https://console.aws.amazon.com/cloudformation/) en la misma región de AWS que su bucket de S3 e implemente la plantilla adjunta`ELBRequirestlstermination.yml`. Para obtener más información sobre la implementación de CloudFormation plantillas de AWS, consulte [Crear una pila en la CloudFormation consola de AWS](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html) en la CloudFormation documentación. | Arquitecto de la nube |
| Complete los parámetros de la plantilla. | Al lanzar la plantilla, se le solicitará la siguiente información:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/verify-that-elb-load-balancers-require-tls-termination.html) | Arquitecto de la nube |
### Confirmar la suscripción
| Tarea | Descripción | Habilidades requeridas |
| --- | --- | --- |
| Confirmar la suscripción. | Cuando la CloudFormation plantilla se implementa correctamente, envía un correo electrónico de suscripción a la dirección de correo electrónico que proporcionó. Debe confirmar esta suscripción de correo electrónico para recibir las notificaciones de infracciones. | Arquitecto de la nube |
## Recursos relacionados
+ [Creación de una pila en la CloudFormation consola de AWS](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html) ( CloudFormation documentación de AWS)
+ [¿Qué es AWS Lambda?](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) (documentación de AWS Lambda)
+ [¿Qué es un equilibrador de carga clásico?](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/introduction.html) (documentación del ELB)
+ [¿Qué es un equilibrador de carga de aplicación?](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/introduction.html) (documentación del ELB)
## Conexiones
Para acceder al contenido adicional asociado a este documento, descomprima el archivo: [attachment.zip](samples/p-attach/da99cda2-ac34-4791-a2bd-d37264d8d3d9/attachments/attachment.zip)
# Visualización de los registros y las métricas de AWS Network Firewall mediante Splunk
*Ivo Pinto, Amazon Web Services*
## Resumen
Muchas organizaciones utilizan [Splunk Enterprise](https://www.splunk.com/en_us/products/splunk-enterprise.html) como una herramienta centralizada de agregación y visualización de registros y métricas de diferentes fuentes. Este patrón le ayuda a configurar Splunk para obtener registros y métricas de [AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html) de [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) mediante el complemento Splunk para AWS.
Para ello, cree un rol de AWS Identity and Access Management (IAM) de solo lectura. El complemento Splunk para AWS utiliza esta función para acceder CloudWatch. Debe configurar el complemento Splunk para que AWS extraiga métricas y registros. CloudWatch Por último, debe crear visualizaciones en Splunk a partir de los datos de registro y las métricas recuperados.
## Requisitos previos y limitaciones
**Requisitos previos **
+ Una cuenta de [Splunk](https://www.splunk.com/)
+ Una instancia de Splunk Enterprise, versión 8.2.2 o posterior
+ Una cuenta de AWS activa
+ Network Firewall, [instalado](https://docs.aws.amazon.com/network-firewall/latest/developerguide/getting-started.html) y [configurado](https://docs.aws.amazon.com/network-firewall/latest/developerguide/logging-cw-logs.html) para enviar CloudWatch registros a Logs
**Limitaciones**
+ Splunk Enterprise debe implementarse como un clúster de instancias de Amazon Elastic Compute Cloud (Amazon EC2) en la nube de AWS.
+ La recopilación de datos mediante un rol de IAM detectado automáticamente para Amazon EC2 no está permitida en las regiones de AWS China.
## Arquitectura
![\[Arquitectura de registro de AWS Network Firewall y Splunk\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/images/pattern-img/c6ce254a-841f-4bed-8f9f-b35e99f22e56/images/3dd420e9-70af-4a42-b24d-c54872c55e0b.png)
En el siguiente diagrama se ilustra lo siguiente:
1. Network Firewall publica CloudWatch registros en Logs.
1. Splunk Enterprise recupera métricas y registros de. CloudWatch
Para rellenar métricas y registros de ejemplo en esta arquitectura, una carga de trabajo genera tráfico que pasa a través del punto de conexión de Network Firewall para ir a Internet. Esto se logra mediante el uso de tablas de [rutas](https://docs.aws.amazon.com/network-firewall/latest/developerguide/vpc-config.html#vpc-config-route-tables). Si bien este patrón utiliza una única instancia de Amazon EC2 como carga de trabajo, se puede aplicar a cualquier arquitectura siempre que Network Firewall esté configurado para enviar registros a CloudWatch Logs.
Esta arquitectura también utiliza una instancia de Splunk Enterprise en otra nube privada virtual (VPC). Sin embargo, la instancia de Splunk puede estar en otra ubicación, por ejemplo, en la misma VPC que la carga de trabajo, siempre que pueda llegar a. CloudWatch APIs
## Tools (Herramientas)
**Servicios de AWS**
+ [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) le ayuda a centralizar los registros de todos sus sistemas, aplicaciones y servicios de AWS para que pueda supervisarlos y archivarlos de forma segura.
+ [Amazon Elastic Compute Cloud (Amazon EC2)](https://docs.aws.amazon.com/ec2/) proporciona capacidad de computación escalable en la nube de AWS. Puede lanzar tantos servidores virtuales como necesite y escalarlos o reducirlos con rapidez.
+ [AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html) es un servicio de detección y prevención de intrusiones y firewall de red gestionado y con estado para la VPCs nube de AWS.
**Otras herramientas**
+ [Splunk](https://www.splunk.com/) le permite monitorear, visualizar y analizar los datos de registro.
## Epics
### Creación de un rol de IAM
| Tarea | Descripción | Habilidades requeridas |
| --- | --- | --- |
| Creación de la política de IAM. | Siga las instrucciones de la sección [Creación de políticas mediante el editor JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html#access_policies_create-json-editor) para crear la política de IAM que conceda acceso de solo lectura a los datos y las métricas de los CloudWatch registros. CloudWatch Pegue la siguiente política de en el editor JSON.{
"Statement": [
{
"Action": [
"cloudwatch:List*",
"cloudwatch:Get*",
"network-firewall:List*",
"logs:Describe*",
"logs:Get*",
"logs:List*",
"logs:StartQuery",
"logs:StopQuery",
"logs:TestMetricFilter",
"logs:FilterLogEvents",
"network-firewall:Describe*"
],
"Effect": "Allow",
"Resource": "*"
}
],
"Version": "2012-10-17"
} | Administrador de AWS |
| Cree un rol de IAM nuevo. | Siga las instrucciones de [Crear un rol para delegar permisos a un servicio de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) para crear el rol de IAM al que utiliza el complemento Splunk para AWS para acceder. CloudWatch En **Políticas de permisos**, elija la política que creó anteriormente. | Administrador de AWS |
| Asigne el rol de IAM a las instancias de EC2 en el clúster de Splunk. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html) | Administrador de AWS |
### Instale el complemento de Splunk para AWS.
| Tarea | Descripción | Habilidades requeridas |
| --- | --- | --- |
| Instale el complemento . | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html) | Administrador de Splunk |
| Configure las credenciales de AWS. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html)Para más información, consulte [Find an IAM role within your Splunk platform instance](https://splunk.github.io/splunk-add-on-for-amazon-web-services/#Find_an_IAM_role_within_your_Splunk_platform_instance) en la documentación de Splunk. | Administrador de Splunk |
### Configure el acceso de Splunk a CloudWatch
| Tarea | Descripción | Habilidades requeridas |
| --- | --- | --- |
| Configure la recuperación de los registros de Network Firewall desde los CloudWatch registros. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html)De manera predeterminada, Splunk recupera los datos del registro cada 10 minutos. Se trata de un parámetro configurable en **Advanced Settings**. Para obtener más información, consulte [Configurar una entrada de CloudWatch registros mediante Splunk Web](https://splunk.github.io/splunk-add-on-for-amazon-web-services/#Configure_a_CloudWatch_Logs_input_using_Splunk_Web) en la documentación de Splunk. | Administrador de Splunk |
| Configure la recuperación de las métricas de Network Firewall desde CloudWatch. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html)De manera predeterminada, Splunk recupera los datos de las métricas cada 5 minutos. Se trata de un parámetro configurable en **Advanced Settings**. Para obtener más información, consulte [Configurar una CloudWatch entrada mediante Splunk Web en la documentación de Splunk](https://splunk.github.io/splunk-add-on-for-amazon-web-services/#Configure_a_CloudWatch_input_using_Splunk_Web). | Administrador de Splunk |
### Creación de visualizaciones de Splunk mediante consultas
| Tarea | Descripción | Habilidades requeridas |
| --- | --- | --- |
| Vea las direcciones IP de origen principal. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html) | Administrador de Splunk |
| Vea las estadísticas de los paquetes. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html) | Administrador de Splunk |
| Vea los puertos de origen más utilizados. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html) | Administrador de Splunk |
## Recursos relacionados
**Documentación de AWS**
+ [Creación de un rol para delegar permisos a un servicio de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) (documentación de IAM)
+ [Creación de políticas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html#access_policies_create-start) (documentación de IAM)
+ [Logging and monitoring in AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/logging-monitoring.html) (documentación de Network Firewall)
+ [Route table configurations for AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/route-tables.html) (documentación de Network Firewall)
**Publicaciones del blog de AWS**
+ [AWS Network Firewall deployment models](https://aws.amazon.com/pt/blogs/networking-and-content-delivery/deployment-models-for-aws-network-firewall/)
**AWS Marketplace**
+ [Splunk Enterprise Amazon Machine Image (AMI)](https://aws.amazon.com/marketplace/pp/prodview-l6oos72bsyaks)
# Más patrones
**Topics**
+ [Acceda a un host bastión mediante Session Manager y Amazon EC2 Instance Connect](access-a-bastion-host-by-using-session-manager-and-amazon-ec2-instance-connect.md)
+ [Acceda a las aplicaciones de contenedores de forma privada en Amazon ECS mediante AWS Fargate PrivateLink, AWS y un Network Load Balancer](access-container-applications-privately-on-amazon-ecs-by-using-aws-fargate-aws-privatelink-and-a-network-load-balancer.md)
+ [Acceda a las aplicaciones de contenedores de forma privada en Amazon ECS mediante AWS PrivateLink y un Network Load Balancer](access-container-applications-privately-on-amazon-ecs-by-using-aws-privatelink-and-a-network-load-balancer.md)
+ [Centralice la resolución de DNS mediante AWS Managed Microsoft AD Microsoft Active Directory local](centralize-dns-resolution-by-using-aws-managed-microsoft-ad-and-on-premises-microsoft-active-directory.md)
+ [Cree un portal para microinterfaces mediante Angular AWS Amplify y Module Federation](create-amplify-micro-frontend-portal.md)
+ [Implemente una API de Amazon API Gateway en un sitio web interno mediante puntos de conexión privados y un Equilibrador de carga de aplicación](deploy-an-amazon-api-gateway-api-on-an-internal-website-using-private-endpoints-and-an-application-load-balancer.md)
+ [Implemente controles de acceso basados en atributos de detección para subredes públicas mediante AWS Config](deploy-detective-attribute-based-access-controls-for-public-subnets-by-using-aws-config.md)
+ [Implementación de controles de acceso preventivos basados en atributos para las subredes públicas](deploy-preventative-attribute-based-access-controls-for-public-subnets.md)
+ [Habilite conexiones cifradas para instancias de base de datos de PostgreSQL en Amazon RDS](enable-encrypted-connections-for-postgresql-db-instances-in-amazon-rds.md)
+ [Amplíe VRFs su alcance a AWS mediante AWS Transit Gateway Connect](extend-vrfs-to-aws-by-using-aws-transit-gateway-connect.md)
+ [Migre una carga de trabajo de F5 BIG-IP a F5 BIG-IP VE en Nube de AWS](migrate-an-f5-big-ip-workload-to-f5-big-ip-ve-on-the-aws-cloud.md)
+ [Migración de los controladores de entrada NGINX al activar el Modo automático de Amazon EKS](migrate-nginx-ingress-controller-eks-auto-mode.md)
+ [Preserve el espacio IP enrutable en los diseños de VPC de varias cuentas para subredes que no son de carga de trabajo](preserve-routable-ip-space-in-multi-account-vpc-designs-for-non-workload-subnets.md)
+ [Impedir el acceso a Internet de las cuentas mediante una política de control de servicios](prevent-internet-access-at-the-account-level-by-using-a-service-control-policy.md)
+ [Enviar alertas desde AWS Network Firewall a un canal de Slack](send-alerts-from-aws-network-firewall-to-a-slack-channel.md)
+ [Sirva contenido estático en un bucket de Amazon S3 a través de una VPC mediante Amazon CloudFront](serve-static-content-in-an-amazon-s3-bucket-through-a-vpc-by-using-amazon-cloudfront.md)
+ [Configure la recuperación ante desastres para Oracle JD Edwards EnterpriseOne con AWS Elastic Disaster Recovery](set-up-disaster-recovery-for-oracle-jd-edwards-enterpriseone-with-aws-elastic-disaster-recovery.md)
+ [Utilice las consultas de BMC Discovery para extraer datos de migración para planificar la migración](use-bmc-discovery-queries-to-extract-migration-data-for-migration-planning.md)
+ [Uso de Network Firewall para capturar los nombres de dominio de DNS de la indicación del nombre del servidor para el tráfico saliente](use-network-firewall-to-capture-the-dns-domain-names-from-the-server-name-indication-sni-for-outbound-traffic.md)