Seleccione sus preferencias de cookies

Usamos cookies esenciales y herramientas similares que son necesarias para proporcionar nuestro sitio y nuestros servicios. Usamos cookies de rendimiento para recopilar estadísticas anónimas para que podamos entender cómo los clientes usan nuestro sitio y hacer mejoras. Las cookies esenciales no se pueden desactivar, pero puede hacer clic en “Personalizar” o “Rechazar” para rechazar las cookies de rendimiento.

Si está de acuerdo, AWS y los terceros aprobados también utilizarán cookies para proporcionar características útiles del sitio, recordar sus preferencias y mostrar contenido relevante, incluida publicidad relevante. Para aceptar o rechazar todas las cookies no esenciales, haga clic en “Aceptar” o “Rechazar”. Para elegir opciones más detalladas, haga clic en “Personalizar”.

Preferencias
Contacte con nosotros
Comentarios
AWS Documentation
Cree una cuenta AWS
Control del tráfico en VPC Lattice mediante grupos de seguridad - Amazon VPC Lattice
Lista de prefijos administradaReglas del grupo de seguridadAdministrar grupos de seguridad

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Control del tráfico en VPC Lattice mediante grupos de seguridad

PDFRSS

AWS los grupos de seguridad actúan como firewalls virtuales y controlan el tráfico de red hacia y desde las entidades a las que están asociados. Con VPC Lattice, puede crear grupos de seguridad y asignarlos a la asociación de VPC que conecta una VPC a una red de servicio para aplicar protecciones de seguridad adicionales a nivel de red para su red de servicio. Si conecta una VPC a una red de servicio mediante un punto de enlace de VPC, también puede asignar grupos de seguridad al punto de enlace de la VPC. Del mismo modo, puede asignar grupos de seguridad a las puertas de enlace de recursos que cree para permitir el acceso a los recursos de su VPC.

Lista de prefijos administrada

VPC Lattice proporciona listas de prefijos gestionadas que incluyen las direcciones IP que se utilizan para enrutar el tráfico a través de la red de VPC Lattice cuando se utiliza una asociación de red de servicio para conectar la VPC a una red de servicio mediante una asociación de VPC. Se trata de enlaces privados y locales o públicos no enrutables. IPs IPs IPs

Puede hacer referencia a las listas de prefijos administradas por VPC Lattice en las reglas de grupo de seguridad. Esto permite que el tráfico fluya desde los clientes, a través de la red de servicios de VPC Lattice y hacia los destinos del servicio de VPC Lattice.

Por ejemplo, supongamos que tiene una EC2 instancia registrada como destino en la región EE.UU. Oeste (Oregón) (). us-west-2 Puede añadir una regla al grupo de seguridad de la instancia que permita el acceso HTTPS entrante desde la lista de prefijos administrada de VPC Lattice, de modo que el tráfico de VPC Lattice de esta región pueda llegar a la instancia. Si elimina todas las demás reglas entrantes del grupo de seguridad, podrá evitar que cualquier tráfico que no sea de VPC Lattice llegue a la instancia.

Los nombres de las listas de prefijos administradas para VPC Lattice son los siguientes:

  • com.amazonaws. region.vpc-lattice

  • com.amazonaws. region.ipv6.vpc-lattice

Para obtener más información, consulte Listas de prefijos administradas de AWS en la Guía del usuario de Amazon VPC.

Clientes de Windows

Las direcciones de las listas de prefijos de VPC Lattice son direcciones locales de enlace y direcciones públicas no enrutables. Si se conecta a VPC Lattice desde un cliente de Windows, debe actualizar la configuración del cliente de Windows para que reenvíe las direcciones IP de la lista de prefijos administrados a la dirección IP principal del cliente. El siguiente es un ejemplo de comando que actualiza la configuración del cliente de Windows, donde 169.254.171.0 es una de las direcciones de la lista de prefijos administrados. 

C:\> route add 169.254.171.0 mask 255.255.255.0 primary-ip-address

Reglas del grupo de seguridad

El uso de VPC Lattice con o sin grupos de seguridad no afectará a la configuración de los grupos de seguridad de VPC existentes. Sin embargo, puede agregar sus propios grupos de seguridad en cualquier momento.

Consideraciones clave

  • Las reglas de los grupos de seguridad para los clientes controlan el tráfico saliente a VPC Lattice.

  • Las reglas de los grupos de seguridad para los objetivos controlan el tráfico entrante desde VPC Lattice hacia los objetivos, incluido el tráfico de comprobación de estado.

  • Las reglas del grupo de seguridad para la asociación entre la red de servicios y la VPC controlan qué clientes pueden acceder a la red de servicios de VPC Lattice.

  • Las reglas del grupo de seguridad para la puerta de enlace de recursos controlan el tráfico saliente desde la puerta de enlace de recursos a los recursos.

Reglas de salida recomendadas para el tráfico que fluye desde la puerta de enlace de recursos a un recurso de base de datos

Para que el tráfico fluya desde la puerta de enlace de recursos a los recursos, debe crear reglas de salida para los puertos abiertos y protocolos de escucha aceptados para los recursos.

Destino Protocolo Intervalo de puertos Comentario
CIDR range for resource TCP 3306 Permita el tráfico desde la pasarela de recursos a las bases de datos
Reglas de entrada recomendadas para redes de servicios y asociaciones de VPC

Para que el tráfico fluya del cliente VPCs a los servicios asociados a la red de servicios, debe crear reglas de entrada para los puertos de escucha y los protocolos de escucha de los servicios.

Origen Protocolo Intervalo de puertos Comentario
VPC CIDR listener listener Permitir el tráfico de los clientes a VPC Lattice
Reglas de salida recomendadas para el tráfico que fluye desde las instancias de clientes hasta VPC Lattice

De forma predeterminada, los grupos de seguridad permiten el tráfico de salida. Sin embargo, si tiene reglas de salida personalizadas, debe permitir el tráfico saliente al prefijo de VPC Lattice para los puertos y protocolos de escucha, de modo que las instancias cliente puedan conectarse a todos los servicios asociados a la red de servicios de VPC Lattice. Puede permitir este tráfico haciendo referencia al ID de la lista de prefijos de VPC Lattice.

Destino Protocolo Intervalo de puertos Comentario
ID of the VPC Lattice prefix list listener listener Permitir el tráfico de los clientes a VPC Lattice
Reglas de entrada recomendadas para el tráfico que fluye desde VPC Lattice hasta las instancias de destino

No puede usar el grupo de seguridad del cliente como fuente para los grupos de seguridad de su destino, ya que el tráfico fluye desde VPC Lattice. Puede hacer referencia al ID de la lista de prefijos de VPC Lattice.

Origen Protocolo Intervalo de puertos Comentario
ID of the VPC Lattice prefix list target target Permita el tráfico de VPC Lattice a los objetivos
ID of the VPC Lattice prefix list health check health check Permita comprobar el estado del tráfico desde VPC Lattice a los objetivos

Administración de grupos de seguridad para una asociación de VPC

Puede usarlo AWS CLI para ver, agregar o actualizar los grupos de seguridad de la VPC a la asociación de redes de servicio. Cuando utilice la AWS CLI, recuerde que sus comandos se ejecutan en la Región de AWS configuración de su perfil. Si desea ejecutar los comandos en otra región, cambie la región predeterminada de su perfil o utilice el parámetro --region con el comando.

Antes de empezar, confirme que ha creado el grupo de seguridad en la misma VPC que la VPC que quiere añadir a la red de servicios. Para obtener más información, consulte Controle el tráfico a sus recursos mediante grupos de seguridad en la Guía del usuario de Amazon VPC

Cómo agregar un grupo de seguridad al crear una asociación de VPC mediante la consola

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, en VPC Lattice, elija Redes de servicios.

  3. Seleccione el nombre de la red de servicios para abrir la página de detalles.

  4. En la pestaña Asociaciones de VPC, elija Crear asociaciones de VPC y, a continuación, elija Agregar asociación de VPC.

  5. Seleccione una VPC y hasta cinco grupos de seguridad.

  6. Elija Guardar cambios.

Cómo actualizar o agregar grupos de seguridad a una asociación de VPC existente mediante la consola

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, en VPC Lattice, elija Redes de servicios.

  3. Seleccione el nombre de la red de servicios para abrir la página de detalles.

  4. En la pestaña Asociaciones de VPC, seleccione la casilla de verificación de la asociación y, a continuación, elija Acciones, Editar grupos de seguridad.

  5. Añada y elimine grupos de seguridad según sea necesario.

  6. Elija Guardar cambios.

Para agregar un grupo de seguridad al crear una asociación de VPC mediante el AWS CLI

Use el comando create-service-network-vpc-association, que especifica el ID de la VPC para la asociación de VPC y el ID de los grupos de seguridad que se van a agregar.

aws vpc-lattice create-service-network-vpc-association \
    --service-network-identifier sn-0123456789abcdef0 \
    --vpc-identifier vpc-1a2b3c4d \
    --security-group-ids sg-7c2270198example

Si se ejecuta correctamente, el comando devolverá información similar a la siguiente.

{
  "arn": "arn",
  "createdBy": "464296918874",
  "id": "snva-0123456789abcdef0",
  "status": "CREATE_IN_PROGRESS",
  "securityGroupIds": ["sg-7c2270198example"]
}
Para agregar o actualizar grupos de seguridad a una asociación de VPC existente mediante la AWS CLI

Utilice el comando update-service-network-vpc-association, que especifica el ID de la red de servicio y el de los grupos IDs de seguridad. Estos grupos de seguridad anulan cualquier grupo de seguridad asociado con anterioridad. Defina al menos un grupo de seguridad al actualizar la lista.

aws vpc-lattice update-service-network-vpc-association 
    --service-network-vpc-association-identifier sn-903004f88example \
    --security-group-ids sg-7c2270198example sg-903004f88example
aviso

No puede eliminar todos los grupos de seguridad. En cambio, primero debe eliminar la asociación de VPC y, a continuación, volver a crear la asociación de VPC sin ningún grupo de seguridad. Tenga cuidado al eliminar la asociación de VPC. Esto impide que el tráfico llegue a los servicios que se encuentran en esa red de servicios.

Tema siguiente:

Red ACLs

¿Necesita ayuda?

PrivacidadTérminos del sitioPreferencias de cookies
© 2025, Amazon Web Services, Inc o sus afiliados. Todos los derechos reservados.