Seleccione sus preferencias de cookies

Usamos cookies esenciales y herramientas similares que son necesarias para proporcionar nuestro sitio y nuestros servicios. Usamos cookies de rendimiento para recopilar estadísticas anónimas para que podamos entender cómo los clientes usan nuestro sitio y hacer mejoras. Las cookies esenciales no se pueden desactivar, pero puede hacer clic en “Personalizar” o “Rechazar” para rechazar las cookies de rendimiento.

Si está de acuerdo, AWS y los terceros aprobados también utilizarán cookies para proporcionar características útiles del sitio, recordar sus preferencias y mostrar contenido relevante, incluida publicidad relevante. Para aceptar o rechazar todas las cookies no esenciales, haga clic en “Aceptar” o “Rechazar”. Para elegir opciones más detalladas, haga clic en “Personalizar”.

Preferencias
Contacte con nosotros
Comentarios
AWS Documentation
Cree una cuenta AWS

Conceptos básicos del BPA

PDF
RSS
Modo de enfoque
Conceptos básicos del BPA - Amazon Virtual Private Cloud
Disponibilidad regionalImpacto en los servicios de AWS y cuáles lo admitenLimitaciones del BPAControl del acceso al BPA de la VPC con una política de IAMHabilitación del modo bidireccional del BPA para su cuentaCambiar el modo del BPA de la VPC a modo de solo entradaCrear y eliminar exclusionesHabilite el BPA de la VPC a nivel de Organization

En esta sección, se describen detalles importantes sobre el BPA de la VPC, incluidos los servicios que lo admiten y cómo puede trabajar con él.

Disponibilidad regional

El BPA de la VPC está disponible en todas las regiones de AWS comerciales, incluso GovCloud y las regiones de China.

En esta guía, también encontrará información sobre el uso del Analizador de acceso a la red y el Analizador de accesibilidad con el BPA de la VPC. Tenga en cuenta que el Analizador de acceso a la red y el Analizador de accesibilidad no están disponibles en todas las regiones comerciales. Para obtener información sobre la disponibilidad regional del Analizador de acceso a la red y el Analizador de accesibilidad, consulte Limitaciones en la Guía del Analizador de acceso a la red y Consideraciones de la Guía del Analizador de accesibilidad.

Impacto en los servicios de AWS y cuáles lo admiten

Los siguientes recursos y servicios admiten el BPA de la VPC y el tráfico a estos servicios y recursos se ve afectado por el BPA de la VPC:

  • Puerta de enlace de Internet: se bloquea todo el tráfico entrante y saliente.

  • Puerta de enlace de Internet solo de salida: se bloquea todo el tráfico saliente. Las puertas de enlace de Internet de solo salida no permiten el tráfico entrante.

  • Puerta de enlace NAT: se bloquea todo el tráfico entrante y saliente. Las puertas de enlace NAT requieren una puerta de enlace de Internet para la conectividad a Internet.

  • Equilibrador de carga de red orientado a Internet: se bloquea todo el tráfico entrante y saliente. Los equilibradores de carga de red orientados a Internet requieren una puerta de enlace de Internet para conectarse a la Internet.

  • Equilibrador de carga de aplicación orientado a Internet: se bloquea todo el tráfico entrante y saliente. Los equilibradores de carga de aplicaciones orientados a Internet requieren una puerta de enlace de Internet para conectarse a la Internet.

  • Orígenes de la VPC de Amazon CloudFront: se bloquea todo el tráfico entrante y saliente.

  • AWS Global Accelerator: se bloquea el tráfico entrante a las VPC, independientemente de que se pueda acceder al objetivo desde Internet o no.

  • Puerta de enlace de operador de AWS Wavelength: se bloquea todo el tráfico entrante y saliente.

El BPA de la VPC no bloquea ni afecta al tráfico relacionado con la conectividad privada, como el tráfico de los siguientes servicios y recursos:

  • AWS Client VPN

  • AWS CloudWAN

  • Puerta de enlace local de AWS Outposts

  • AWS Site-to-Site VPN

  • Puerta de enlace de tránsito

  • Acceso verificado de AWS

importante

El tráfico que se envía de forma privada desde los recursos de la VPC a otros servicios que se ejecutan en la VPC, como el Resolver DNS de EC2 o Amazon OpenSearch Service, está permitido incluso cuando el BPA está activado, ya que no pasa a través de una puerta de enlace de Internet de la VPC. Es posible que estos servicios realicen solicitudes a recursos externos a la VPC en su nombre, por ejemplo, para resolver una consulta de DNS, y que expongan información sobre la actividad de los recursos de la VPC si no se mitigan mediante otros controles de seguridad.

Limitaciones del BPA

El modo de solo entrada del BPA de VPC no se admite en las zonas locales (LZ) donde no se permiten las puertas de enlace NAT ni las puertas de enlace de Internet de solo salida.

Control del acceso al BPA de la VPC con una política de IAM

Para ver ejemplos de políticas de IAM que permiten o deniegan el acceso a la característica de BPA de la VPC, consulte Bloqueo de acceso público de las VPC y subredes.

Habilitación del modo bidireccional del BPA para su cuenta

El modo bidireccional del BPA de la VPC bloquea todo el tráfico hacia y desde las puertas de enlace de Internet y las puertas de enlace de Internet de solo salida en esta región (excepto las VPC y las subredes excluidas). Para obtener más información acerca de las exclusiones, consulte Crear y eliminar exclusiones.

importante

Se recomienda que revise detenidamente las cargas de trabajo que requieren acceso a Internet antes de habilitar el BPA de la VPC en sus cuentas de producción.

nota

  • Para habilitar el BPA de la VPC en las VPC y las subredes de su cuenta, debe ser propietario de las VPC y las subredes.

  • Si actualmente comparte subredes de VPC con otras cuentas, el modo del BPA de la VPC impuesto por el propietario de la subred también se aplica al tráfico de los participantes, pero los participantes no pueden controlar la configuración del BPA de la VPC que afecta a la subred compartida.

AWS Management Console

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación izquierdo, elija Configuración.

  3. Elija Editar la configuración del acceso público.

  4. Seleccione Activar el bloqueo del acceso público y Bidireccional y, a continuación, seleccione Guardar cambios.

  5. Espere a que el Estado cambie a Activado. Las configuraciones del BPA pueden tardar unos minutos en aplicarse y en que se actualice el estado.

El modo bidireccional del BPA de la VPC ya está activado.

AWS CLI

  1. Activar el BPA de la VPC:

    aws ec2 --region us-east-2 modify-vpc-block-public-access-options --internet-gateway-block-mode block-bidirectional

    Las configuraciones del BPA pueden tardar unos minutos en aplicarse y en que se actualice el estado.

  2. Ver el estado del BPA de la VPC:

    aws ec2 --region us-east-2 describe-vpc-block-public-access-options
anchoranchor

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación izquierdo, elija Configuración.

  3. Elija Editar la configuración del acceso público.

  4. Seleccione Activar el bloqueo del acceso público y Bidireccional y, a continuación, seleccione Guardar cambios.

  5. Espere a que el Estado cambie a Activado. Las configuraciones del BPA pueden tardar unos minutos en aplicarse y en que se actualice el estado.

El modo bidireccional del BPA de la VPC ya está activado.

Cambiar el modo del BPA de la VPC a modo de solo entrada

El modo del BPA de la VPC de solo entrada bloquea todo el tráfico de Internet a las VPC de esta región (excepto las VPC o subredes que están excluidas). Solo se permite el tráfico hacia y desde las puertas de enlace NAT y las puertas de enlace de Internet solo de salida, ya que estas puertas de enlace solo permiten establecer conexiones salientes.

AWS Management Console

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación izquierdo, elija Configuración.

  3. Elija Editar la configuración del acceso público.

  4. Cambie la dirección a Ingress-only.

  5. Guarde los cambios y espere a que se actualice el estado. Las configuraciones del BPA pueden tardar unos minutos en aplicarse y en que se actualice el estado.

AWS CLI

  1. Modifique la dirección del bloqueo del BPA de la VPC:

    aws ec2 --region us-east-2 modify-vpc-block-public-access-options --internet-gateway-block-mode block-ingress

    Las configuraciones del BPA pueden tardar unos minutos en aplicarse y en que se actualice el estado.

  2. Ver el estado del BPA de la VPC:

    aws ec2 --region us-east-2 describe-vpc-block-public-access-options
anchoranchor

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación izquierdo, elija Configuración.

  3. Elija Editar la configuración del acceso público.

  4. Cambie la dirección a Ingress-only.

  5. Guarde los cambios y espere a que se actualice el estado. Las configuraciones del BPA pueden tardar unos minutos en aplicarse y en que se actualice el estado.

Crear y eliminar exclusiones

Una exclusión de BPA de la VPC es un modo que se puede aplicar a una sola VPC o subred, lo que la exime del modo BPA de la cuenta y permitirá el acceso bidireccional o solo de salida. Puede crear exclusiones de BPA para las VPC y las subredes incluso cuando el BPA no esté habilitado en la cuenta para garantizar que las exclusiones no interrumpan el tráfico cuando el BPA de la VPC está activado. Se aplica automáticamente una exclusión para una VPC a todas las subredes de la VPC.

Puede crear un máximo de 50 exclusiones. Para obtener información acerca de cómo solicitar un aumento del límite, consulte Exclusiones de BPA de la VPC por cuenta en Cuotas de Amazon VPC.

AWS Management Console

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación izquierdo, elija Configuración.

  3. En la pestaña Bloqueo de acceso público, en Exclusiones, realice una de las siguientes acciones:

    • Para eliminar una exclusión, selecciónela y, a continuación, elija Acciones > Eliminar exclusiones.

    • Para crear una exclusión, seleccione Crear exclusiones y siga con los siguientes pasos.

  4. Seleccione una dirección del bloque:

    • Bidireccional: permite que todo el tráfico de Internet entre y salga de las VPC y subredes excluidas.

    • Solo de salida: permite el tráfico de Internet saliente desde las VPC y subredes excluidas. Bloquea el tráfico de Internet entrante a las VPC y subredes excluidas. Esta configuración se aplica cuando el BPA está establecido en Bidireccional.

  5. Elija una VPC o una subred.

  6. Seleccione Crear exclusiones.

  7. Espere a que el Estado de exclusión cambie a Activo. Puede que tenga que actualizar la tabla de exclusión para ver el cambio.

Se ha creado la exclusión.

AWS CLI

  1. Modifique la dirección permitida de la exclusión:

    aws ec2 --region us-east-2 create-vpc-block-public-access-exclusion --subnet-id subnet-id --internet-gateway-exclusion-mode allow-bidirectional

  2. El estado de exclusión puede tardar un tiempo en actualizarse. Para ver el estado de la exclusión:

    aws ec2 --region us-east-2 describe-vpc-block-public-access-exclusions --exclusion-ids exclusion-id
anchoranchor

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación izquierdo, elija Configuración.

  3. En la pestaña Bloqueo de acceso público, en Exclusiones, realice una de las siguientes acciones:

    • Para eliminar una exclusión, selecciónela y, a continuación, elija Acciones > Eliminar exclusiones.

    • Para crear una exclusión, seleccione Crear exclusiones y siga con los siguientes pasos.

  4. Seleccione una dirección del bloque:

    • Bidireccional: permite que todo el tráfico de Internet entre y salga de las VPC y subredes excluidas.

    • Solo de salida: permite el tráfico de Internet saliente desde las VPC y subredes excluidas. Bloquea el tráfico de Internet entrante a las VPC y subredes excluidas. Esta configuración se aplica cuando el BPA está establecido en Bidireccional.

  5. Elija una VPC o una subred.

  6. Seleccione Crear exclusiones.

  7. Espere a que el Estado de exclusión cambie a Activo. Puede que tenga que actualizar la tabla de exclusión para ver el cambio.

Se ha creado la exclusión.

Habilite el BPA de la VPC a nivel de Organization

Si utiliza AWS Organizations para administrar las cuentas de su organización, puede utilizar una política declarativa de AWS Organizations para aplicar el BPA de la VPC en las cuentas de la organización. Para obtener más información sobre la política declarativa del BPA de la VPC, consulte Políticas declarativas compatibles en la Guía del usuario de AWS Organizations.

nota

  • Puede usar la política declarativa del BPA de la VPC para configurar si se permiten las exclusiones, pero no puede crear exclusiones con la política. Para crear exclusiones, aún debe crearlas en la cuenta propietaria de la VPC. Para obtener más información sobre la creación de exclusiones del BPA de la VPC, consulte Crear y eliminar exclusiones.

  • Si la política declarativa del BPA de la VPC está habilitada, en las configuraciones de Bloqueo de acceso público verá la leyenda Administrado por la política declarativa y no podrá modificar las configuraciones del BPA de la VPC a nivel de cuenta.

En esta página

Related resources

Guía de interconexión de VPC
Puertas de enlace de tránsito de Amazon VPC
Guía para desarrolladores de Amazon EC2

Related resources

Guía de interconexión de VPC
Puertas de enlace de tránsito de Amazon VPC
Guía para desarrolladores de Amazon EC2
PrivacidadTérminos del sitioPreferencias de cookies
© 2025, Amazon Web Services, Inc o sus afiliados. Todos los derechos reservados.