Tutorial: Introducción a Acceso verificado - AWS Acceso verificado
Requisitos previosPaso 1: Cree una instancia de Acceso verificadoPaso 2: Configurar un proveedor de confianzaPaso 3: Adjuntar el proveedor de confianza a la instanciaPaso 4: Cree un grupo de Acceso verificadoPaso 5: Comparta su grupo de Acceso verificado a través de AWS Resource Access ManagerPaso 6: Agregue su aplicación mediante la creación de un punto de conexiónPaso 7: Ajuste de la configuración de DNSPaso 8: Probar la conectividad con su aplicaciónPaso 9: Configurar la política de acceso a nivel de grupoPaso 10: Volver a probar la conectividadLimpieza

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Tutorial: Introducción a Acceso verificado

Utilice esta explicación para empezar a trabajar con Acceso verificado de AWS. Aprenderá a crear y Configurar recursos de Acceso verificado.

Antes de añadir esta aplicación a Acceso verificado, solo se podía acceder a ella a través de su red privada. Al final de este tutorial, usuarios específicos podrán acceder a la misma aplicación a través de Internet, sin usar una VPN.

nota

Este ejemplo no demuestra la integración con su proveedor de confianza basado en el dispositivo. En este ejemplo, solo trabajamos con un proveedor de confianza basado en la identidad.

Requisitos previos

Este tutorial tiene siguientes los requisitos previos:

  • Para demostrar este ejemplo de uso de Acceso verificado, utilizaremos dos Cuentas de AWS. Una cuenta alojará la aplicación de destino y, en la otra cuenta, se crearán los recursos de Acceso verificado.

  • Habilite AWS IAM Identity Center en la Región de AWS en la que está trabajando. A continuación, puede utilizar el IAM Identity Center como proveedor de confianza con Acceso verificado. Para más información, consulte Activar IAM Identity Center en la Guía del usuario de AWS IAM Identity Center.

  • Un dominio hospedado público y los permisos necesarios para actualizar los registros DNS del dominio.

  • Una aplicación que se ejecuta detrás de un equilibrador de carga interno en un Cuenta de AWS. El nombre de dominio de la aplicación de ejemplo que usaremos es www.myapp.example.com.

  • Asegúrese de que su política de IAM tenga todos los permisos necesarios para crear una instancia de Acceso verificado de AWS que se indican aquí Política para crear instancias de Acceso verificado.

Paso 1: Cree una instancia de Acceso verificado

Utilice el siguiente procedimiento para crear una instancia de Acceso verificado.

Para crear una instancia de Acceso verificado

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación de Amazon VPC, seleccione Instancias de Acceso verificado y, a continuación, Crear instancia de Acceso verificado.

  3. (Opcional) En Nombre y Descripción, introduzca un nombre y una descripción para la instancia de Acceso verificado.

  4. En el caso del Proveedor de confianza, mantenga la opción predeterminada.

  5. (Opcional) Para agregar una etiqueta, elija Agregar etiqueta nueva e ingrese la clave y el valor de la etiqueta.

  6. Seleccione Crear instancia de Acceso verificado.

Paso 2: Configurar un proveedor de confianza

Puede configurar AWS IAM Identity Center como su proveedor de confianza.

Para crear un proveedor de confianza de IAM Identity Center

  1. En el panel de navegación de Amazon VPC, seleccione Proveedores de confianza de Acceso verificado y, a continuación, seleccione Crear proveedor de confianza de Acceso verificado.

  2. (Opcional) En la Etiqueta de nombre y la Descripción, introduzca un nombre y una descripción para el proveedor de confianza de Acceso verificado.

  3. Introduzca un identificador personalizado para usarlo más adelante cuando trabaje con las reglas de política para el Nombre de referencia de la política. Por ejemplo, puede introducir idc.

  4. En Tipo de proveedor de confianza, seleccione Proveedor de confianza de usuarios.

  5. En Tipo de proveedor de confianza de usuarios, seleccione IAM Identity Center.

  6. (Opcional) Para agregar una etiqueta, elija Agregar etiqueta nueva e ingrese la clave y el valor de la etiqueta.

  7. Seleccione Crear un proveedor de confianza de Acceso verificado.

Paso 3: Adjuntar el proveedor de confianza a la instancia

Utilice el siguiente procedimiento para asociar el proveedor de confianza a la instancia de Acceso verificado.

Adjuntar un proveedor de confianza a la instancia

  1. En el panel de navegación de Amazon VPC, seleccione Instancias de Acceso verificado.

  2. Seleccione la instancia.

  3. Seleccione Acciones y Asociar proveedor de confianza de Acceso verificado.

  4. En Proveedor de confianza de Acceso verificado, seleccione su proveedor de confianza.

  5. Seleccione Asociar proveedor de confianza de Acceso verificado.

Paso 4: Cree un grupo de Acceso verificado

Vamos a crear un grupo que puedas usar como punto de conexión que crearás en el siguiente paso.

Crear un grupo de Acceso verificado

  1. En el panel de navegación de Amazon VPC, seleccione Grupos de Acceso verificado y, a continuación, Crear grupo de Acceso verificado.

  2. (Opcional) En Etiqueta de nombre y Descripción, introduzca un nombre y una descripción para el grupo.

  3. Para la Instancia de Acceso verificado, seleccione su instancia de Acceso verificado.

  4. En Definir la política, deje este campo en blanco. Creará una política más adelante en este tutorial.

  5. (Opcional) Para agregar una etiqueta, elija Agregar etiqueta nueva e ingrese la clave y el valor de la etiqueta.

  6. Seleccione Crear grupo de Acceso verificado.

Paso 5: Comparta su grupo de Acceso verificado a través de AWS Resource Access Manager

En este paso, compartirá el grupo que acaba de crear con la Cuenta de AWS en la que se ejecuta la aplicación de destino. Para compartir un grupo de Acceso verificado, debe agregarlo a un recurso compartido. Si no tiene un recurso compartido, primero debe crear uno.

Si forma parte de una organización en AWS Organizations y está habilitado el uso compartido en la organización, los consumidores de su organización obtienen acceso automáticamente al grupo de Acceso verificado compartido. De lo contrario, los consumidores reciben una invitación para unirse al recurso compartido y se les concede acceso al grupo de Acceso verificado compartido después de aceptar la invitación.

Siga los pasos descritos en Crear un recurso compartido en la Guía del usuario de AWS RAM. En Seleccionar tipo de recurso, seleccione el grupo de Acceso verificado y, a continuación, seleccione la casilla de verificación de su grupo de Acceso verificado.

Para obtener más información, consulte la Introducción de la Guía del usuario de AWS RAM.

Paso 6: Agregue su aplicación mediante la creación de un punto de conexión

Utilice los siguientes procedimientos para crear un punto de conexión. En este paso, se supone que tienes una aplicación que se ejecuta detrás de un equilibrador de carga interno de Elastic Load Balancing.

Crear un punto de conexión de Acceso verificado

  1. En el panel de navegación de Amazon VPC, seleccione Puntos de conexión de Acceso verificado y, a continuación, seleccione Crear punto de conexión de Acceso verificado.

  2. (Opcional) En Etiqueta de nombre y Descripción, introduzca un nombre y una descripción para el punto de conexión.

  3. Para el grupo de Acceso verificado, seleccione su grupo de Acceso verificado.

  4. Para obtener los detalles de la aplicación, haga lo siguiente:

    1. En Dominio de la aplicación, introduzca un nombre DNS para la aplicación.

    2. En ARN del certificado de dominio, seleccione el nombre de recurso de Amazon (ARN) de su certificado TLS público.

  5. En Detalles del punto de conexión, haga lo siguiente:

    1. En Tipo de vinculación, elija VPC.

    2. En Grupos de seguridad, seleccione un grupo de seguridad que quiera asociar al punto de conexión.

    3. En Prefijo de dominio del punto de conexión, introduzca un identificador personalizado. Se añadirá al nombre DNS que genere Acceso verificado. En este ejemplo, utilizaremos my-ava-app.

    4. En Tipo de punto de conexión, elija Equilibrador de carga.

    5. En Protocolo, seleccione HTTPS o HTTP. Esto depende de la configuración del equilibrador de carga.

    6. En Puerto, escriba el número de puerto. Esto depende de la configuración del equilibrador de carga.

    7. En ARN del equilibrador de carga, elija su equilibrador de carga.

    8. En Subredes, seleccione las subredes asociadas a su equilibrador de carga.

  6. Para Definir política, no introduzca ninguna política en este momento. Explicaremos esto más adelante en el tutorial.

  7. (Opcional) Para agregar una etiqueta, elija Agregar etiqueta nueva e ingrese la clave y el valor de la etiqueta.

  8. Seleccione Crear punto de conexión de Acceso verificado.

Paso 7: Ajuste de la configuración de DNS

Para este paso, asigne el nombre de dominio de su aplicación (por ejemplo, www.myapp.example.com) al nombre de dominio de su punto de conexión de Acceso verificado. Para completar la asignación de DNS, cree un registro de nombre canónico (CNAME) con su proveedor de DNS. Tras crear el registro CNAME, todas las solicitudes de los usuarios para su aplicación se enviarán a Acceso verificado.

Para obtener el nombre de dominio de su punto de conexión

  1. En el panel de navegación de Amazon VPC, seleccione Puntos de conexión de Acceso verificado.

  2. Seleccione el punto de conexión que creó previamente.

  3. Seleccione la pestaña Detalles del punto de conexión.

  4. Copie el dominio del punto de conexión desde el dominio del punto de conexión.

Para este tutorial, el nombre de dominio del punto de conexión serámy-ava-app.edge-1a2b3c4d5e6f7g.vai-1a2b3c4d5e6f7g.prod.verified-access.us-west-2.amazonaws.com.

Cree un registro CNAME con su proveedor de DNS:

Nombre del registro Tipo Valor

www.myapp.example.com

CNAME

my-ava-app.edge-1a2b3c4d5e6f7g.vai-1a2b3c4d5e6f7g.prod. verified-access.us-west-2.amazonaws.com

Paso 8: Probar la conectividad con su aplicación

Ahora puede probar la conectividad con su aplicación. Introduzca el nombre de dominio de su aplicación en su navegador web. El comportamiento predeterminado de las políticas de Acceso verificado es denegar todas las solicitudes. Como todavía no hemos establecido una política que permita el acceso a cualquier persona, se deben denegar todas las solicitudes.

Paso 9: Configurar la política de acceso a nivel de grupo

Utilice el siguiente procedimiento para modificar el grupo de Acceso verificado y configurar una política de acceso que permita la conectividad con la aplicación. Los detalles de la política dependerán de los usuarios y grupos que estén configurados en el IAM Identity Center. Para obtener información acerca de la creación de políticas, consulte Políticas de Acceso verificado.

Modificar un grupo de Acceso verificado

  1. En el panel de navegación de Amazon VPC, seleccione Grupos de Acceso verificado.

  2. Seleccione su grupo de .

  3. Seleccione Acciones y Modificar la política de grupo de Acceso verificado.

  4. Ingrese la política.

  5. Seleccione Modificar la política de grupo de Acceso verificado.

Paso 10: Volver a probar la conectividad

Ahora que la política de grupo está establecida, puede acceder a la aplicación. Introduzca el nombre de dominio de su aplicación en su navegador web. La solicitud debería estar permitida y se le debería redirigir a la aplicación.

Limpieza

Cuando termine de realizar las pruebas, ejecute el paso que se indica a continuación para eliminar los recursos que se crearon.

Eliminar los recursos de Acceso verificado creados con este tutorial

  1. En el panel de navegación de Amazon VPC, seleccione Puntos de conexión de Acceso verificado. Seleccione el punto de conexión que desea eliminar. Seleccione Acciones, Eliminar punto de conexión de Acceso verificado.

  2. En el panel de navegación, seleccione grupos de Acceso verificado. Seleccione el grupo que desea eliminar. Seleccione Acciones y Eliminar grupo de Acceso verificado. Nota: es posible que deba esperar un par de minutos hasta que se complete el proceso de eliminación del punto de conexión.

  3. En el panel de navegación de Amazon VPC, seleccione Instancias de Acceso verificado. Seleccione la instancia que creó para este tutorial. Seleccione Acciones y Desvincular proveedor de confianza de Acceso verificado. Seleccione el proveedor de confianza en la lista desplegable y seleccione Separar el proveedor de confianza de Acceso verificado.

  4. En el panel de navegación de Amazon VPC, seleccione Proveedores de confianza de Acceso verificado. Seleccione el proveedor de confianza que ha creado para este tutorial. Seleccione Acciones, Eliminar el proveedor de confianza de Acceso verificado.

  5. En el panel de navegación de Amazon VPC, seleccione Instancias de Acceso verificado. Seleccione la instancia que creó para este tutorial. Seleccione Acciones y Eliminar la instancia de Acceso verificado.