# Administración de las responsabilidades de seguridad para Amazon Virtual Private Cloud
La seguridad en la nube de AWS es la máxima prioridad. Como cliente de AWS, se beneficia de una arquitectura de red y un centro de datos que se han diseñado para satisfacer los requisitos de seguridad de las organizaciones más exigentes.
La seguridad es una responsabilidad compartida entre AWS y usted. El [modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/) aborda tanto la seguridad *de* la nube como la seguridad *en* la nube:
+ **Seguridad de la nube**: AWS es responsable de proteger la infraestructura que ejecuta los servicios de AWS en la nube de AWS. AWS también proporciona servicios que puede utilizar de forma segura. Los auditores externos prueban y verifican periódicamente la eficacia de nuestra seguridad como parte de los [AWSProgramas de conformidad de ](https://aws.amazon.com/compliance/programs/). Para obtener información sobre los programas de conformidad que se aplican a Amazon Virtual Private Cloud, consulte [Servicios de AWS en el alcance del programa de conformidad](https://aws.amazon.com/compliance/services-in-scope/).
+ **Seguridad en la nube**: su responsabilidad viene determinada por el servicio de AWS que utilice. También es responsable de otros factores, incluida la confidencialidad de los datos, los requisitos de la empresa y la legislación y la normativa aplicables.
Esta documentación le ayuda a comprender cómo aplicar el modelo de responsabilidad compartida cuando se utiliza Amazon VPC. En los siguientes temas, se le muestra cómo configurar Amazon VPC para satisfacer los objetivos de seguridad y conformidad. También descubrirá cómo se utilizan otros servicios de AWS que le ayudan a monitorear y proteger los recursos de Amazon VPC.
**Topics**
+ [Garantice de la protección de datos en Amazon Virtual Private Cloud](data-protection.md)
+ [Aplicación del cifrado del tráfico en tránsito en VPC](vpc-encryption-controls.md)
+ [Identity and Access Management para Amazon VPC](security-iam.md)
+ [Seguridad de la infraestructura en Amazon VPC](infrastructure-security.md)
+ [Controlar el tráfico hacia los recursos de AWS mediante grupos de seguridad](vpc-security-groups.md)
+ [Control del tráfico de la subred con listas de control de acceso a la red](vpc-network-acls.md)
+ [Resiliencia en Amazon Virtual Private Cloud](disaster-recovery-resiliency.md)
+ [Validación de conformidad para Amazon Virtual Private Cloud](VPC-compliance.md)
+ [Bloqueo de acceso público de las VPC y subredes](security-vpc-bpa.md)
+ [Prácticas recomendadas de seguridad de la VPC](vpc-security-best-practices.md)
# Garantice de la protección de datos en Amazon Virtual Private Cloud
El [https://aws.amazon.com/compliance/shared-responsibility-model/](https://aws.amazon.com/compliance/shared-responsibility-model/) de AWS se aplica a la protección de datos en Amazon Virtual Private Cloud (VPC). Como se describe en este modelo, AWS es responsable de proteger la infraestructura global que ejecuta toda la Nube de AWS. Eres responsable de mantener el control sobre el contenido alojado en esta infraestructura. También eres responsable de las tareas de administración y configuración de seguridad para los Servicios de AWS que utiliza. Para obtener más información sobre la privacidad de los datos, consulte las [Preguntas frecuentes sobre la privacidad de datos](https://aws.amazon.com/compliance/data-privacy-faq/). Para obtener información sobre la protección de datos en Europa, consulte la publicación de blog sobre el [Modelo de responsabilidad compartida de AWS y GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) en el * Blog de seguridad de AWS*.
Con fines de protección de datos, recomendamos proteger las credenciales de la Cuenta de AWS y configurar cuentas de usuario individuales con AWS IAM Identity Center o AWS Identity and Access Management (IAM). De esta manera, solo se otorgan a cada usuario los permisos necesarios para cumplir sus obligaciones laborales. También recomendamos proteger sus datos de la siguiente manera:
+ Utiliza la autenticación multifactor (MFA) en cada cuenta.
+ Utiliza SSL/TLS para comunicarse con los recursos de AWS. Exigimos TLS 1.2 y recomendamos TLS 1.3.
+ Configure los registros de API y de actividad de los usuarios con AWS CloudTrail. Para obtener información sobre cómo utilizar registros de seguimiento de CloudTrail para capturar actividades de AWS, consulte [Working with CloudTrail trails](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) en la *Guía del usuario de AWS CloudTrail*.
+ Utiliza las soluciones de cifrado de AWS, junto con todos los controles de seguridad predeterminados dentro de los servicios de Servicios de AWS.
+ Utiliza servicios de seguridad administrados avanzados, como Amazon Macie, que lo ayuden a detectar y proteger la información confidencial almacenada en Amazon S3.
+ Si necesita módulos criptográficos validados FIPS 140-3 al acceder a AWS a través de una interfaz de la línea de comandos o una API, utiliza un punto de conexión de FIPS. Para obtener más información sobre los puntos de conexión de FIPS disponibles, consulte [Estándar de procesamiento de la información federal (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Se recomienda encarecidamente no introducir nunca información confidencial o sensible, como por ejemplo, direcciones de correo electrónico de clientes, en etiquetas o campos de formato libre, tales como el campo **Nombre**. Esto incluye cuando trabaja con Amazon VPC u otros Servicios de AWS mediante la consola, la API, la AWS CLI o los SDK de AWS. Cualquier dato que introduzca en etiquetas o campos de formato libre utilizados para los nombres se pueden emplear para los registros de facturación o diagnóstico. Si proporciona una URL a un servidor externo, recomendamos encarecidamente que no incluya información de credenciales en la URL a fin de validar la solicitud para ese servidor.
# Garantice la privacidad del tráfico entre redes en Amazon VPC
Amazon Virtual Private Cloud ofrece características que puede utilizar para aumentar y supervisar la seguridad de la nube privada virtual (VPC):
+ **Grupos de seguridad**: los grupos de seguridad permiten el tráfico entrante y saliente específico a nivel de recursos (como una instancia de EC2). Cuando lanza una instancia, puede asociarla a uno o varios grupos de seguridad. Cada instancia de su VPC podría pertenecer a un conjunto distinto de grupos de seguridad. Si no especifica ningún grupo de seguridad al lanzar una instancia, se asocia automáticamente al grupo de seguridad predeterminado de la VPC. Para obtener más información, consulte [Grupos de seguridad](vpc-security-groups.md).
+ **Listas de control de acceso (ACL) de red**: las ACL de red permiten o deniegan el tráfico entrante y saliente específico en el ámbito de la subred. Para obtener más información, consulte [Control del tráfico de la subred con listas de control de acceso a la red](vpc-network-acls.md).
+ **Registros de flujo**: los registros de flujo capturan información acerca del tráfico IP entrante y saliente de las interfaces de red en su VPC. Puede crear un registro de flujo para una VPC, una subred o una interfaz de red individual. Los datos del registro de flujo se publican en CloudWatch Logs o Amazon S3 y pueden ayudarlo a diagnosticar reglas de ACL de red y de grupos de seguridad excesivamente restrictivas o permisivas. Para obtener más información, consulte [Registro del tráfico de IP con registros de flujo de la VPC](flow-logs.md).
+ **Replicación del tráfico**: puede copiar el tráfico de red desde una interfaz de red elástica de una instancia de Amazon EC2. A continuación, puede enviar el tráfico a dispositivos de supervisión y seguridad fuera de banda. Para obtener más información, consulte la [Guía de replicación de tráfico](https://docs.aws.amazon.com/vpc/latest/mirroring/).
# Aplicación del cifrado del tráfico en tránsito en VPC
Controles de cifrado de VPC es una característica de seguridad y cumplimiento que proporciona un control centralizado y autorizado para supervisar el estado de cifrado de los flujos de tráfico, ayuda a identificar recursos que permiten comunicaciones en texto sin cifrar y ofrece mecanismos para aplicar el cifrado del tráfico en tránsito dentro de las VPC y entre ellas en una región.
Controles de cifrado de VPC usa tanto cifrado en la capa de aplicación como la capacidad integrada de cifrado en tránsito del hardware del sistema Nitro de AWS para garantizar la aplicación del cifrado. Esta característica también extiende el cifrado nativo a nivel de hardware, más allá de las instancias modernas basadas en Nitro, a otros servicios de AWS, incluidos Fargate, Equilibrador de carga de aplicación, Transit Gateway y muchos otros.
La característica está diseñada para cualquier persona que desee garantizar visibilidad y control sobre el estado de cifrado de todo su tráfico. Resulta especialmente útil en sectores donde el cifrado de datos es fundamental para cumplir estándares normativos como HIPAA, FedRAMP y PCI DSS. Los administradores de seguridad y los arquitectos en la nube pueden usarla para aplicar de forma centralizada políticas de cifrado del tráfico en tránsito en todo su entorno de AWS.
Esta característica se puede utilizar en dos modos: modo de supervisión y modo de aplicación obligatoria.
## Modos de control de cifrado
**Modo monitoreado**
En modo de supervisión, Controles de cifrado proporciona visibilidad sobre el estado de cifrado de los flujos de tráfico entre los recursos de AWS, tanto dentro de una VPC como entre VPC. También ayuda a identificar recursos de VPC que no aplican el cifrado del tráfico en tránsito. Puede configurar los registros de flujo de VPC para que emitan el campo enriquecido `encryption-status`, que indica si el tráfico está cifrado. También puede usar la consola o el comando `GetVpcResourcesBlockingEncryptionEnforcement` para identificar los recursos que no aplican el cifrado del tráfico en tránsito.
**nota**
Las VPC existentes solo se pueden habilitar inicialmente en modo de supervisión. Esto proporciona visibilidad sobre los recursos que permiten o podrían permitir tráfico en texto sin cifrar. Solo puede activar el modo de aplicación obligatoria en la VPC una vez que estos recursos comiencen a aplicar el cifrado (o cuando cree exclusiones para ellos).
**Modo de aplicación obligatoria**
En el modo de aplicación obligatoria, los controles de cifrado de VPC impiden el uso de cualquier característica o servicio que permita tráfico sin cifrar dentro del límite de la VPC. No puede habilitar los controles de cifrado de VPC en el modo de aplicación obligatoria directamente en las VPC existentes. Primero debe activar los controles de cifrado de VPC en el modo de supervisión, identificar y modificar los recursos que no cumplan los requisitos para aplicar el cifrado en tránsito y, a continuación, activar el modo de aplicación obligatoria. Sin embargo, puede habilitar los controles de cifrado de VPC en el modo de aplicación obligatoria para VPC nuevas durante su creación.
Cuando está habilitado, el modo de aplicación obligatoria impide crear o asociar recursos de VPC sin cifrar, como instancias de EC2 antiguas que no admiten cifrado nativo integrado o puertas de enlace de Internet, entre otros. Si desea ejecutar un recurso que no cumple los requisitos en una VPC con cifrado aplicado, debe crear una exclusión para ese recurso.
## Supervisión del estado de cifrado de los flujos de tráfico
Puede auditar el estado de cifrado de los flujos de tráfico dentro de la VPC mediante el campo `encryption-status` en los registros de flujo de la VPC. Puede tener los siguientes valores:
+ `0` = sin cifrar
+ `1` = cifrado con Nitro (administrado por Controles de cifrado de VPC)
+ `2` = cifrado a nivel de aplicación
+ flujos en el puerto TCP 443 para un punto de conexión de interfaz a un servicio de AWS \$1
+ flujos en el puerto TCP 443 para puntos de conexión de puerta de enlace \$1
+ flujos hacia un clúster de Redshift cifrado a través de un punto de conexión de VPC \$1\$1
+ `3` = cifrados tanto con Nitro como a nivel de aplicación
+ `(-)` = estado de cifrado desconocido o Controles de cifrado de VPC desactivados
**Nota:**
\$1 En el caso de los puntos de conexión de interfaz y de puerta de enlace, AWS no examina los datos de los paquetes para determinar el estado de cifrado; en su lugar, se basa en el puerto utilizado para inferir el estado de cifrado.
\$1\$1 Para los puntos de conexión administrados por AWS especificados, AWS determina el estado de cifrado en función del requisito de TLS en la configuración del servicio.
**Limitaciones de los registros de flujo de VPC**
+ Para habilitar los registros de flujo para Controles de cifrado de VPC, debe crear manualmente registros de flujo nuevos que incluyan el campo de estado de cifrado. El campo de estado de cifrado no se agrega automáticamente a los registros de flujo existentes.
+ Se recomienda agregar los campos \$1\$1traffic-path\$1 y \$1\$1flow-direction\$1 a los registros de flujo para obtener información más detallada.
Ejemplo:
```
aws ec2 create-flow-logs \
--resource-type VPC \
--resource-ids vpc-12345678901234567 \
--traffic-type ALL \
--log-group-name my-flow-logs \
--deliver-logs-permission-arn arn:aws:iam::123456789101:role/publishFlowLogs
--log-format '${encryption-status} ${srcaddr} ${dstaddr} ${srcport} ${dstport} ${protocol} ${traffic-path} ${flow-direction} ${reject-reason}'
```
## Exclusiones de Controles de cifrado de VPC
El modo de aplicación obligatoria de los controles de cifrado de VPC requiere que todos los recursos de la VPC apliquen el cifrado. Esto garantiza el cifrado dentro de AWS en una región. Sin embargo, puede tener recursos como puerta de enlace de Internet, puerta de enlace NAT o puerta de enlace privada virtual que permiten conectividad fuera de las redes de AWS, donde deberá asumir la responsabildiad de configurar y mantener el cifrado de extremo a extremo. Para ejecutar estos recursos en VPC con cifrado aplicado, puede crear exclusiones de recursos. Una exclusión crea una excepción auditable para los recursos en los que el cliente es responsable de mantener el cifrado (por lo general, en la capa de aplicación).
Solo hay 8 exclusiones compatibles con Controles de cifrado de VPC. Si tiene estos recursos en la VPC y desea pasar al modo de aplicación obligatoria, debe agregar estas exclusiones al cambiar del modo de supervisión al modo de aplicación obligatoria. No se puede excluir ningún otro recurso. Puede migrar la VPC al modo de aplicación obligatoria mediante la creación de exclusiones para estos recursos. Debe encargarse de garantizar el cifrado de los flujos de tráfico hacia y desde estos recursos
+ Puerta de enlace de Internet
+ Gateway NAT
+ Puerta de enlace de Internet solo de salida
+ Conexiones de emparejamiento de VPC con VPC en las que no se aplica el cifrado (consulte la sección de compatibilidad de emparejamiento de VPC para ver escenarios detallados)
+ Gateway privada virtual
+ Funciones de Lambda dentro de la VPC
+ VPC Lattice
+ Elastic File System
## Flujo de trabajo de implementación
1. **Habilitar la supervisión:** cree un control de cifrado de VPC en modo de supervisión
1. **Analizar el tráfico**: revise los registros de flujo para supervisar el estado de cifrado de los flujos de tráfico
1. **Analizar recursos**: use la consola o el comando `GetVpcResourcesBlockingEncryptionEnforcement` para identificar los recursos que no aplican el cifrado del tráfico en tránsito.
1. **Preparación [opcional]**: planifique las migraciones de recursos y las exclusiones necesarias si desea activar el modo de aplicación obligatoria
1. **Aplicación obligatoria [opcional]**: cambie al modo de aplicación obligatoria con las exclusiones necesarias configuradas
1. **Auditoría**: supervisión continua del cumplimiento mediante los registros de flujo
Para obtener instrucciones detalladas de configuración, consulte el blog [Introducción a los controles de cifrado de VPC: aplicar el cifrado del tráfico en tránsito dentro de las VPC y entre ellas en una región](https://aws.amazon.com/blogs/aws/introducing-vpc-encryption-controls-enforce-encryption-in-transit-within-and-across-vpcs-in-a-region)
## Estados de Controles de cifrado de VPC
Los Controles de cifrado de VPC se pueden encontrar en uno de los siguientes estados:
**crear**
Los Controles de cifrado de VPC están en proceso de ser creados en la VPC.
**modify-in-progress**
Los Controles de cifrado de VPC están en proceso de ser modificados en la VPC
**deleting**
Los Controles de cifrado de VPC están en proceso de ser eliminados en la VPC
**available**
Los controles de cifrado de VPC se implementaron correctamente en la VPC en el modo de supervisión o en el modo de aplicación obligatoria
## Soporte y compatibilidad con servicios de AWS
Para cumplir los requisitos de cifrado, un recurso debe aplicar siempre el cifrado del tráfico en tránsito, ya sea a nivel de hardware o a nivel de aplicación. Para la mayoría de los recursos, no se requiere ninguna acción por su parte.
### Servicios con cumplimiento automático
La mayoría de los servicios de AWS compatibles con PrivateLink, incluidos los PrivateLink entre regiones, aceptan tráfico cifrado a nivel de aplicación. No es necesario que realice ningún cambio en estos recursos. AWS descarta automáticamente cualquier tráfico que no esté cifrado a nivel de aplicación. Algunas excepciones incluyen los clústeres de Redshift (tanto aprovisionados como sin servidor), en los que debe migrar manualmente los recursos subyacentes.
### Recursos que se migran automáticamente
Los equilibradores de carga de red, equilibradores de carga de aplicaciones, los clústeres de Fargate y el plano de control de EKS se migran automáticamente a hardware que admite cifrado de forma nativa una vez que se habilita el modo de supervisión. No es necesario que modifique estos recursos. AWS se encarga de la migración automáticamente.
### Recursos que requieren migración manual
Determinados recursos y servicios de VPC requieren que seleccione los tipos de instancia subyacentes. Todas las instancias modernas de EC2 admiten el cifrado del tráfico en tránsito No es necesario que realice ningún cambio si los servicios ya usan instancias modernas de EC2. Puede usar la consola o el comando GetVpcResourcesBlockingEncryptionEnforcement para identificar si alguno de estos servicios usa instancias anteriores. Si identifica recursos de este tipo, debe actualizarlos a instancias modernas de EC2 que admitan cifrado nativo del hardware del sistema Nitro. Estos servicios incluyen instancias de EC2, grupos de escalado automático, RDS (todas las bases de datos y Amazon DocumentDB), ElastiCache aprovisionado, clústeres aprovisionados de Amazon Redshift, EKS, ECS en EC2, OpenSearch aprovisionado y EMR.
**Recursos compatibles:**
Los siguientes recursos son compatibles con Controles de cifrado de VPC:
+ [Instancias de EC2 basadas en Nitro](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit)
+ Equilibradores de carga de red (con limitaciones)
+ Equilibradores de carga de aplicación
+ Clústeres de AWS Fargate
+ Amazon Elastic Kubernetes Service (EKS)
+ Grupos de Auto Scaling de Amazon EC2
+ Amazon Relational Database Service (RDS) (todas las bases de datos)
+ Clústeres basados en nodos de Amazon ElastiCache
+ Clústeres de Amazon Redshift, tanto aprovisionados como sin servidor
+ Amazon Elastic Container Service (ECS) con instancias de contenedores de EC2
+ Amazon OpenSearch Service
+ Amazon Elastic MapReduce (EMR)
+ Amazon Managed Streaming for Apache Kafka (Amazon MSK)
+ Los Controles de cifrado de VPC aplican la obligatoriedad del cifrado a nivel de aplicación para todos los servicios de AWS a los que se accede mediante PrivateLink. Cualquier tráfico que no esté cifrado a nivel de aplicación se descarta automáticamente en los puntos de conexión de PrivateLink alojados en una VPC con Controles de cifrado de VPC en modo de aplicación obligatoria
### Limitaciones específicas del servicio
**Limitaciones de equilibrador de carga de red**
Configuración de TLS: no puede usar un oyente TLS para delegar el cifrado y el descifrado en el equilibrador de carga cuando se aplican Controles de cifrado en la VPC que lo contiene. No obstante, puede configurar los destinos para que realicen el cifrado y descifrado TLS
**Amazon Redshift (aprovisionado y sin servidor)**
Los clientes no pueden pasar al modo de aplicación obligatoria en una VPC que tenga un clúster o un punto de conexión existentes. Para usar Controles de cifrado de VPC con Amazon Redshift, debe restaurar el clúster o el espacio de nombres desde una instantánea. En el caso de los clústeres aprovisionados, cree una instantánea del clúster de Redshift existente y, a continuación, restáurelo desde esa instantánea mediante la operación restaurar desde instantánea de clúster. En el caso de Redshift sin servidor, cree una instantánea del espacio de nombres existente y, a continuación, restáurelo desde esa instantánea mediante la operación restaurar desde instantánea en el grupo de trabajo sin servidor. Tenga en cuenta que no es posible habilitar Controles de cifrado de VPC en clústeres o espacios de nombres existentes sin realizar el proceso de creación de instantánea y restauración. Consulte la [documentación de Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/welcome.html) para obtener instrucciones sobre la creación de instantáneas.
**Amazon MSK (Managed Streaming para Apache Kafka)**
Esta funcionalidad es compatible con clústeres nuevos que usan la versión 4.1 y que se crean en su propia VPC. Los pasos siguientes ayudarán a usar el cifrado de VPC con MSK.
+ El cliente habilita el cifrado de VPC en una VPC que no tenga ningún otro clúster de MSK
+ El cliente crea un clúster con Kafka versión 4.1 y con el tipo de instancia M7g
### Limitaciones regionales y de zona
+ **Subredes de zonas locales**: no se admiten en el modo de aplicación obligatoria; se deben eliminar de la VPC
### Compatibilidad con emparejamiento de VPC
Para garantizar el cifrado en tránsito con el emparejamiento de VPC entre dos VPC, ambas VPC deben residir en la misma región y tener los controles de cifrado habilitados en el modo de aplicación obligatoria, sin ninguna exclusión. Debe crear una exclusión de emparejamiento si desea emparejar una VPC con cifrado aplicado con otra VPC que resida en una región diferente o que no tenga los controles de cifrado habilitados en el modo de aplicación obligatoria (sin exclusiones).
Si dos VPC están en el modo de aplicación obligatoria y están emparejadas entre sí, no puede cambiar el modo de aplicación obligatoria al modo de supervisión. Debe crear primero una exclusión de emparejamiento, antes de cambiar el modo de Controles de cifrado de VPC a supervisión.
### Compatibilidad de cifrado con la puerta de enlace de tránsito
Debe habilitar explícitamente la compatibilidad de cifrado en la puerta de enlace de tránsito para cifrar el tráfico entre las VPC que tengan controles de cifrado habilitados. Habilitar el cifrado en una puerta de enlace de tránsito existente no interrumpe los flujos de tráfico actuales, y la migración de los adjuntos de VPC a canales cifrados se realizará de forma transparente y automática. El tráfico entre dos VPC en el modo de aplicación obligatoria (sin exclusiones) a través de la puerta de enlace de tránsito recorre canales cifrados al 100 %. El cifrado en la puerta de enlace de tránsito también permite conectar dos VPC que se encuentran en distintos modos de controles de cifrado. Debe usarlo cuando desee aplicar controles de cifrado en una VPC que está conectada a una VPC en la que no se exige el cifrado. En un caso de este tipo, todo el tráfico dentro de la VPC con cifrado exigido, incluido el tráfico entre VPC, está cifrado. El tráfico entre VPC se cifra entre los recursos de la VPC con cifrado obligatorio y la puerta de enlace de tránsito. Más allá de eso, el cifrado depende de los recursos a los que se dirige el tráfico en la VPC sin aplicación obligatoria y no se garantiza que esté cifrado (dado que la VPC no está en el modo de aplicación obligatoria). Todas las VPC deben estar en la misma región (consulte los detalles [aquí](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-encryption-support.html)).
![\[Flujo de tráfico entre VPC con distinto estado de control de cifrado\]](http://docs.aws.amazon.com/es_es/vpc/latest/userguide/images/vpc-enc-control-arch.png)
+ En este diagrama, la VPC 1, la VPC 2 y la VPC 3 tienen los controles de cifrado en el modo de aplicación obligatoria y están conectadas a la VPC 4, que tiene los controles de cifrado en ejecución en el modo de supervisión.
+ Se cifrará todo el tráfico entre VPC1, VPC2 y VPC3.
+ Para mayor claridad, cualquier tráfico entre un recurso de la VPC 1 y un recurso de la VPC 4 se cifrará hasta la puerta de enlace de tránsito mediante el cifrado que ofrece el hardware del sistema Nitro. Más allá de eso, el estado del cifrado depende del recurso en la VPC 4 y no se garantiza que esté cifrado.
Para obtener más información sobre la compatibilidad de cifrado de la puerta de enlace de tránsito, consulte la [documentación de la puerta de enlace de tránsito](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-encryption-support.html).
## Precios
Para obtener información sobre los precios, consulte [Precios de Amazon VPC](https://aws.amazon.com/vpc/pricing/).
## AWS CLIReferencia de comandos de
### Ajustes y configuración
+ [aws ec2 create-vpc-encryption-control](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpc-encryption-control.html)
+ [aws ec2 modify-vpc-encryption-control](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-encryption-control.html)
+ [aws ec2 tgw modify-transit-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-transit-gateway.html)
### Supervisión y solución de problemas
+ [aws ec2 describe-vpc-encryption-controls](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpc-encryption-controls.html)
+ [aws ec2 get-vpc-resources-blocking-encryption-enforcement](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-vpc-resources-blocking-encryption-enforcement.html)
+ [aws ec2 create-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-flow-logs.html)
+ [aws ec2 describe-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-flow-logs.html)
+ [aws logs query](https://docs.aws.amazon.com/cli/latest/reference/logs/query.html)
### Eliminación
+ [aws ec2 delete-vpc-encryption-control](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpc-encryption-control.html)
## Recursos adicionales
Para obtener instrucciones detalladas de configuración, consulte el blog [Introducción a los controles de cifrado de VPC: aplicar el cifrado del tráfico en tránsito dentro de las VPC y entre ellas en una región](https://aws.amazon.com/blogs/aws/introducing-vpc-encryption-controls-enforce-encryption-in-transit-within-and-across-vpcs-in-a-region)
Para obtener información más detallada sobre la API, consulte la [Guía de referencia de la API de EC2](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/Welcome.html).
# Identity and Access Management para Amazon VPC
AWS Identity and Access Management (IAM) es un Servicio de AWS que ayuda a los administradores a controlar de forma segura el acceso a los recursos de AWS. Los administradores de IAM controlan quién está *autenticado* (ha iniciado sesión) y *autorizado* (tiene permisos) para utilizar recursos de Amazon VPC. IAM es un Servicio de AWS que se puede utilizar sin cargo adicional.
**Topics**
+ [Público](#security_iam_audience)
+ [Autenticarse con identidades](#security_iam_authentication)
+ [Administrar el acceso con políticas](#security_iam_access-manage)
+ [Cómo funciona Amazon VPC con IAM](security_iam_service-with-iam.md)
+ [Ejemplos de políticas de Amazon VPC](vpc-policy-examples.md)
+ [Solucionar problemas de identidad y acceso de Amazon VPC](security_iam_troubleshoot.md)
+ [AWSPolíticas administradas por para Amazon Virtual Private Cloud](security-iam-awsmanpol.md)
+ [Uso de roles vinculados al servicio para VPC](using-service-linked-roles.md)
## Público
La forma en que utiliza AWS Identity and Access Management (IAM) difiere en función del trabajo que realiza en Amazon VPC.
**Usuario de servicio**: si utiliza el servicio de Amazon VPC para realizar su trabajo, el administrador le proporcionará las credenciales y los permisos que necesita. A medida que utilice más características de Amazon VPC para realizar su trabajo, es posible que necesite permisos adicionales. Entender cómo se administra el acceso puede ayudarlo a solicitar los permisos correctos a su administrador. Si no puede acceder a una característica de Amazon VPC, consulte [Solucionar problemas de identidad y acceso de Amazon VPC](security_iam_troubleshoot.md).
**Administrador de servicio**: si está a cargo de los recursos de Amazon VPC de su empresa, probablemente tenga acceso completo a Amazon VPC. Su trabajo consiste en determinar a qué características y recursos de Amazon VPC pueden acceder los empleados. Debe enviar solicitudes al administrador de IAM para cambiar los permisos de los usuarios de los servicios. Revise la información de esta página para conocer los conceptos básicos de IAM. Para obtener más información sobre cómo la empresa puede utilizar IAM con Amazon VPC, consulte [Cómo funciona Amazon VPC con IAM](security_iam_service-with-iam.md).
**Administrador de IAM**: si es un administrador de IAM, es posible que desee obtener información sobre cómo escribir políticas para administrar el acceso a Amazon VPC. Para ver ejemplos de políticas, consulte [Ejemplos de políticas de Amazon VPC](vpc-policy-examples.md).
## Autenticarse con identidades
La autenticación es la manera de iniciar sesión en AWS mediante credenciales de identidad. Debe autenticarse como el Usuario raíz de la cuenta de AWS, como un usuario de IAM o asumiendo un rol de IAM.
Se puede iniciar sesión como una identidad federada con las credenciales de un origen de identidad, como AWS IAM Identity Center (IAM Identity Center), la autenticación de inicio de sesión único o las credenciales de Google/Facebook. Para obtener más información sobre el inicio de sesión, consulte [Cómo iniciar sesión en la Cuenta de AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) en la *Guía del usuario de AWS Sign-In*.
Para el acceso mediante programación, AWS proporciona un SDK y una CLI para firmar criptográficamente las solicitudes. Para obtener más información, consulte [AWS Signature Version 4 para solicitudes de API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) en la *Guía del usuario de IAM*.
### Usuario raíz de la Cuenta de AWS
Cuando se crea una Cuenta de AWS, se comienza con una identidad de inicio de sesión denominada *usuario raíz* de la Cuenta de AWS que tiene acceso completo a todos los Servicios de AWS y recursos. Se recomiendaencarecidamente que no utilice el usuario raíz para las tareas diarias. Para ver la lista completa de las tareas que requieren credenciales de usuario raíz, consulte [Tareas que requieren credenciales de usuario raíz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) en la *Guía del usuario de IAM*.
### Usuarios y grupos de IAM
Un *[usuario de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* es una identidad con permisos específicos para una sola persona o aplicación. Recomendamos el uso de credenciales temporales en lugar de usuarios de IAM con credenciales de larga duración. Para obtener más información, consulte [Exigir que los usuarios humanos utilicen la federación con un proveedor de identidades para acceder a AWS con credenciales temporales](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) en la *Guía del usuario de IAM*.
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica un conjunto de usuarios de IAM y facilita la administración de los permisos para grupos grandes de usuarios. Para obtener más información, consulte [Casos de uso para usuarios de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) en la *Guía del usuario de IAM*.
### Roles de IAM
Un *[Rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* es una identidad con permisos específicos que proporciona credenciales temporales. Se puede asumir un rol [cambiando de un usuario a un rol de IAM (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o llamando a una operación de la API de la AWS CLI o AWS. Para obtener más información, consulte [Métodos para asumir un rol](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) en la *Guía del usuario de IAM*.
Los roles de IAM son útiles para el acceso de usuario federado, los permisos de usuario de IAM temporales, el acceso entre cuentas, el acceso entre servicios y las aplicaciones que se ejecutan en Amazon EC2. Para obtener más información, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.
## Administrar el acceso con políticas
Para controlar el acceso en AWS, se crean políticas y se adjuntan a identidades o recursos de AWS. Una política define los permisos cuando se asocia a una identidad o un recurso. AWS evalúa estas políticas cuando una entidad principal realiza una solicitud. La mayoría de las políticas se almacenan en AWS como documentos JSON. Para obtener más información sobre los documentos de políticas de JSON, consulte [Información general de políticas de JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) en la *Guía del usuario de IAM*.
Mediante las políticas, los administradores especifican quién tiene acceso a qué, definiendo qué **entidad principal** puede realizar **acciones** sobre qué **recursos** y en qué **condiciones**.
De forma predeterminada, los usuarios y los roles no tienen permisos. Un administrador de IAM crea políticas de IAM y las agrega a roles, que los usuarios pueden asumir posteriormente. Las políticas de IAM definen permisos independientemente del método que se utilice para realizar la operación.
### Políticas basadas en identidades
Las políticas basadas en identidad son documentos de política de permisos JSON que asocia a una identidad (usuario, grupo o rol). Estas políticas controlan qué acciones pueden realizar las identidades, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en la identidad, consulte [Definición de permisos de IAM personalizados con políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la *Guía del usuario de IAM*.
Las políticas basadas en identidad pueden ser *políticas insertadas* (incrustadas directamente en una sola identidad) o *políticas administradas* (políticas independientes asociadas a varias identidades). Para obtener información sobre cómo elegir entre políticas administradas e insertadas, consulte [Selección entre políticas administradas y políticas insertadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) en la *Guía del usuario de IAM*.
### Políticas basadas en recursos
Las políticas basadas en recursos son documentos de políticas JSON que se asocian a un recurso. Los ejemplos incluyen las *Políticas de confianza de roles* de IAM y las *Políticas de bucket* de Amazon S3. En los servicios que admiten políticas basadas en recursos, los administradores de servicios pueden utilizarlos para controlar el acceso a un recurso específico. Debe [especificar una entidad principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) en una política basada en recursos.
Las políticas basadas en recursos son políticas insertadas que se encuentran en ese servicio. No se puede utilizar políticas de IAM administradas de AWS en una política basada en recursos.
### Listas de control de acceso (ACL)
Las listas de control de acceso (ACL) controlan qué entidades principales (miembros de cuentas, usuarios o roles) tienen permisos para acceder a un recurso. Las ACL son similares a las políticas basadas en recursos, aunque no utilizan el formato de documento de políticas JSON.
Amazon S3, AWS WAF y Amazon VPC son ejemplos de servicios que admiten las ACL. Para obtener más información sobre las ACL, consulta [Información general de Lista de control de acceso (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) en la *Guía para desarrolladores de Amazon Simple Storage Service*.
### Otros tipos de políticas
AWS admite tipos de políticas adicionales que pueden establecer el máximo de permisos concedidos por los tipos de políticas más frecuentes:
+ **Límites de permisos:** establecen los permisos máximos que una política basada en identidad puede conceder a una entidad de IAM. Para obtener más información, consulte [Límites de permisos para las entidades de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) en la *Guía del usuario de IAM*.
+ **Políticas de control de servicios (SCP):** especifican los permisos máximos para una organización o unidad organizativa en AWS Organizations. Para obtener más información, consulte [Políticas de control de servicios](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) en la *Guía del usuario de AWS Organizations*.
+ **Políticas de control de recursos (RCP):** definen los permisos máximos disponibles para los recursos de las cuentas. Para obtener más información, consulte [Políticas de control de recursos (RCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) en la *Guía del usuario de AWS Organizations*.
+ **Políticas de sesión:** políticas avanzadas que se pasan como parámetro cuando se crea una sesión temporal para un rol o un usuario federado. Para obtener más información, consulte [Políticas de sesión](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) en la *Guía del usuario de IAM*.
### Varios tipos de políticas
Cuando se aplican varios tipos de políticas a una solicitud, los permisos resultantes son más complicados de entender. Para obtener información acerca de cómo AWS decide si permitir o no una solicitud cuando hay varios tipos de políticas implicados, consulte [Lógica de evaluación de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) en la *Guía del usuario de IAM*.
# Cómo funciona Amazon VPC con IAM
Antes de utilizar IAM para administrar el acceso a Amazon VPC, debe conocer qué características de IAM están disponibles con Amazon VPC. Para obtener una perspectiva general sobre cómo funcionan Amazon VPC y otros servicios de AWS con IAM, consulte [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) en la *Guía del usuario de IAM*.
**Topics**
+ [Acciones](#security_iam_service-with-iam-id-based-policies-actions)
+ [Recursos](#security_iam_service-with-iam-id-based-policies-resources)
+ [Claves de condición](#security_iam_service-with-iam-id-based-policies-conditionkeys)
+ [Políticas basadas en recursos de Amazon VPC](#security_iam_service-with-iam-resource-based-policies)
+ [Autorización basada en etiquetas](#security_iam_service-with-iam-tags)
+ [Roles de IAM](#security_iam_service-with-iam-roles)
Con las políticas basadas en identidad de IAM, puede especificar acciones permitidas o denegadas. Para algunas acciones, puede especificar los recursos y las condiciones en los cuales se permiten o deniegan las acciones. Amazon VPC admite acciones, claves de condiciones y recursos específicos. Para obtener más información acerca de los elementos que utiliza en una política de JSON, consulte [Referencia de los elementos de las políticas de JSON de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) en la *Guía del usuario de IAM*.
## Acciones
Los administradores pueden utilizar las políticas JSON de AWS para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Action` de una política JSON describe las acciones que puede utilizar para conceder o denegar el acceso en una política. Incluya acciones en una política para conceder permisos para realizar la operación asociada.
Amazon VPC comparte su espacio de nombres de la API con Amazon EC2. Las acciones de políticas de Amazon VPC utilizan el siguiente prefijo antes de la acción: `ec2:`. Por ejemplo, para conceder a un usuario permiso para crear una VPC mediante la operación de la API `CreateVpc`, se concede acceso a la acción `ec2:CreateVpc`. Las instrucciones de la política deben incluir un elemento `Action` o un elemento `NotAction`.
Para especificar varias acciones en una única instrucción, sepárelas con comas como se muestra en el siguiente ejemplo.
```
"Action": [
"ec2:action1",
"ec2:action2"
]
```
Puede utilizar caracteres comodín para especificar varias acciones (\$1). Por ejemplo, para especificar todas las acciones que comiencen con la palabra `Describe`, incluya la siguiente acción.
```
"Action": "ec2:Describe*"
```
Para ver una lista de las acciones de Amazon VPC, consulte [Acciones definidas por Amazon EC2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html#amazonec2-actions-as-permissions) en la *Referencia de autorizaciones de servicio*.
## Recursos
Los administradores pueden utilizar las políticas JSON de AWS para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Resource` de la política JSON especifica el objeto u objetos a los que se aplica la acción. Como práctica recomendada, especifique un recurso utilizando el [Nombre de recurso de Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). En el caso de las acciones que no admiten permisos por recurso, utilice un carácter comodín (\$1) para indicar que la instrucción se aplica a todos los recursos.
```
"Resource": "*"
```
El recurso de VPC tiene el ARN que se muestra en el ejemplo siguiente.
```
arn:${Partition}:ec2:${Region}:${Account}:vpc/${VpcId}
```
Por ejemplo, para especificar la VPC `vpc-1234567890abcdef0` en su instrucción, utilice el ARN que se muestra en el ejemplo siguiente.
```
"Resource": "arn:aws:ec2:us-east-1:123456789012:vpc/vpc-1234567890abcdef0"
```
Para especificar todas las VPC de una región específica que pertenezcan a una cuenta específica, utilice el comodín (\$1).
```
"Resource": "arn:aws:ec2:us-east-1:123456789012:vpc/*"
```
Algunas acciones de Amazon VPC, como las que se utilizan para crear recursos, no se pueden llevar a cabo en un recurso específico. En dichos casos, debe utilizar el carácter comodín (\$1).
```
"Resource": "*"
```
En muchas acciones de la API de Amazon EC2 se utilizan varios recursos. Para especificar varios recursos en una única instrucción, separe los ARN con comas.
```
"Resource": [
"resource1",
"resource2"
]
```
Para ver una lista de los tipos de recursos de Amazon VPC y sus ARN, consulte [Tipos de recursos definidos por Amazon EC2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html#amazonec2-resources-for-iam-policies) en la *Referencia de autorizaciones de servicio*.
## Claves de condición
Los administradores pueden utilizar las políticas JSON de AWS para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Condition` especifica cuándo se ejecutan las instrucciones en función de criterios definidos. Puede crear expresiones condicionales que utilizan [operadores de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tales como igual o menor que, para que la condición de la política coincida con los valores de la solicitud. Para ver todas las claves de condición globales de AWS, consulte [Claves de contexto de condición globales de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) en la *Guía del usuario de IAM*.
Todas las acciones de Amazon EC2 admiten las claves de condición `aws:RequestedRegion` y `ec2:Region`. Para obtener más información, consulte [Ejemplo: restricción del acceso a una región específica](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ExamplePolicies_EC2.html#iam-example-region).
Amazon VPC define su propio conjunto de claves de condición y también admite el uso de algunas claves de condición globales. Para ver una lista de las claves de condición de Amazon VPC, consulte [Claves de condición para Amazon EC2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html#amazonec2-policy-keys) en la *Referencia de autorizaciones de servicio*. Para obtener más información acerca de las acciones y los recursos con los que puede utilizar una clave de condición, consulte [Acciones definidas por Amazon EC2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html#amazonec2-actions-as-permissions).
## Políticas basadas en recursos de Amazon VPC
Las políticas basadas en recursos son documentos de políticas JSON que especifican qué acciones puede realizar una entidad principal especificada en el recurso de Amazon VPC y en qué condiciones.
Para habilitar el acceso entre cuentas, puede especificar toda una cuenta o entidades de IAM de otra cuenta como la [entidad principal de una política basada en recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). Añadir a una política basada en recursos una entidad principal entre cuentas es solo una parte del establecimiento de una relación de confianza. Cuando el principal y el recurso se encuentran en cuentas de AWS diferentes, también debe conceder a la entidad principal permiso para obtener acceso al recurso. Conceda permiso asociando a la entidad una política basada en identidades. Sin embargo, si la política basada en recursos concede acceso a una entidad principal de la misma cuenta, no es necesaria una política basada en identidad adicional. Para obtener más información, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.
## Autorización basada en etiquetas
Puede asociar etiquetas a los recursos de Amazon VPC o transferirlas en una solicitud. Para controlar el acceso en función de etiquetas, debe proporcionar información de las etiquetas en el [elemento Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de una política mediante las claves de condición. Para obtener más información, consulte [Conceder permisos para etiquetar recursos durante la creación](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/supported-iam-actions-tagging.html) en la *Guía del usuario de Amazon EC2*.
Para consultar un ejemplo de política basada en la identidad para limitar el acceso a un recurso en función de las etiquetas de ese recurso, consulte [Lanzar instancias en una VPC específica](vpc-policy-examples.md#subnet-ami-example-iam).
## Roles de IAM
Un [rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) es una entidad de la Cuenta de AWS que dispone de permisos específicos.
### Utilizar credenciales temporales
Puede utilizar credenciales temporales para iniciar sesión con federación, asumir un rol de IAM o asumir un rol de acceso entre cuentas. Las credenciales de seguridad temporales se obtienen mediante una llamada a operaciones de la API de AWS STS, como [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) o [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html).
Amazon VPC admite el uso de credenciales temporales.
### Roles vinculados a servicios
Los [roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) permiten a los servicios de AWS obtener acceso a los recursos de otros servicios para completar una acción en su nombre. Los roles vinculados a servicios aparecen en la cuenta de IAM y son propiedad del servicio. Un administrador de IAM puede ver, pero no editar, los permisos de los roles vinculados a servicios.
Las [puertas de enlaces de tránsito](https://docs.aws.amazon.com/vpc/latest/tgw/service-linked-roles.html) admiten roles vinculados a servicios.
### Roles de servicio
Esta característica permite que un servicio asuma un [rol de servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) en su nombre. Este rol permite que el servicio obtenga acceso a los recursos de otros servicios para completar una acción en su nombre. Los roles de servicio aparecen en su cuenta de IAM y son propiedad de la cuenta. Esto significa que un administrador de IAM puede cambiar los permisos de este rol. Sin embargo, hacerlo podría deteriorar la funcionalidad del servicio.
Amazon VPC admite roles de servicio para registros de flujo. Al crear un registro de flujo, debe elegir un rol que permita al servicio de registros de flujo acceder a CloudWatch Logs. Para obtener más información, consulte [Rol de IAM para publicar registros de flujo en CloudWatch Logs](flow-logs-iam-role.md).
# Ejemplos de políticas de Amazon VPC
De manera predeterminada, los roles de IAM no tienen permiso para crear ni modificar recursos de VPC. Tampoco pueden realizar tareas mediante la Consola de administración de AWS, la AWS CLI o la API de AWS. Un administrador de IAM debe crear políticas de IAM que concedan permiso a los roles para realizar operaciones de API concretas en los recursos especificados que necesiten. El administrador debe asociar esas políticas a los roles de IAM que necesiten esos permisos.
Para obtener información acerca de cómo crear una política basada en identidades de IAM con estos documentos de políticas JSON de ejemplo, consulte [Creación de políticas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) en la *Guía del usuario de IAM*.
**Topics**
+ [Prácticas recomendadas sobre las políticas](#security_iam_service-with-iam-policy-best-practices)
+ [Utilizar la consola de Amazon VPC](#security_iam_id-based-policy-examples-console)
+ [Crear una VPC con una subred pública](#vpc-public-subnet-iam)
+ [Modificar y eliminar recursos de VPC](#modify-vpc-resources-iam)
+ [Administrar grupos de seguridad](#vpc-security-groups-iam)
+ [Administración de reglas de grupos de seguridad](#vpc-security-group-rules-iam)
+ [Lanzar instancias en una subred específica](#subnet-sg-example-iam)
+ [Lanzar instancias en una VPC específica](#subnet-ami-example-iam)
+ [Bloqueo de acceso público de las VPC y subredes](#vpc-bpa-example-iam)
+ [Ejemplos de políticas de Amazon VPC adicionales](#security-iam-additional-examples)
## Prácticas recomendadas sobre las políticas
Las políticas basadas en identidades determinan si alguien puede crear, eliminar o acceder a los recursos de Amazon VPC de su cuenta. Estas acciones pueden generar costos adicionales para su Cuenta de AWS. Siga estas directrices y recomendaciones al crear o editar políticas basadas en identidades:
+ **Comience a utilizar las políticas administradas de AWS y avance hacia permisos de privilegios mínimos**. Para empezar a conceder permisos a los usuarios y cargas de trabajo, utilice las *políticas administradas de AWS* que otorgan permisos para muchos casos de uso comunes. Están disponibles en su Cuenta de AWS. Se recomienda definir políticas administradas por el cliente de AWS específicas para sus casos de uso a fin de reducir aún más los permisos. Con el fin de obtener más información, consulte las [políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o las [políticas administradas por AWS para funciones de tarea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) en la *Guía de usuario de IAM*.
+ **Aplique permisos de privilegio mínimo**: cuando establezca permisos con políticas de IAM, conceda solo los permisos necesarios para realizar una tarea. Para ello, debe definir las acciones que se pueden llevar a cabo en determinados recursos en condiciones específicas, también conocidos como *permisos de privilegios mínimos*. Con el fin de obtener más información sobre el uso de IAM para aplicar permisos, consulte [Políticas y permisos en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) en la *Guía del usuario de IAM*.
+ **Utilice condiciones en las políticas de IAM para restringir aún más el acceso**: puede agregar una condición a sus políticas para limitar el acceso a las acciones y los recursos. Por ejemplo, puede escribir una condición de políticas para especificar que todas las solicitudes deben enviarse utilizando SSL. También puede usar condiciones para conceder acceso a acciones de servicios si se emplean a través de un Servicio de AWS determinado como, por ejemplo, CloudFormation. Para obtener más información, consulte [Elementos de la política de JSON de IAM: Condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) en la *Guía del usuario de IAM*.
+ **Utiliza el analizador de acceso de IAM para validar las políticas de IAM con el fin de garantizar la seguridad y funcionalidad de los permisos**: el analizador de acceso de IAM valida políticas nuevas y existentes para que respeten el lenguaje (JSON) de las políticas de IAM y las prácticas recomendadas de IAM. El analizador de acceso de IAM proporciona más de 100 verificaciones de políticas y recomendaciones procesables para ayudar a crear políticas seguras y funcionales. Para más información, consulte [Validación de políticas con el Analizador de acceso de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) en la *Guía del usuario de IAM*.
+ **Solicite la autenticación multifactor (MFA)**: si se encuentra en una situación en la que necesite usuarios raíz o de IAM en su Cuenta de AWS, active la MFA para obtener una mayor seguridad. Para exigir la MFA cuando se invoquen las operaciones de la API, añada condiciones de MFA a sus políticas. Para más información, consulte [Acceso seguro a la API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) en la *Guía del usuario de IAM*.
Para obtener más información sobre las prácticas recomendadas de IAM, consulte [Prácticas recomendadas de seguridad en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la *Guía del usuario de IAM*.
## Utilizar la consola de Amazon VPC
Para acceder a la consola de Amazon VPC, debe tener un conjunto mínimo de permisos. Estos permisos deben permitirle mostrar y consultar los detalles sobre los recursos de Amazon VPC en la cuenta de AWS. Si se crea una política basada en identidad que es más restrictiva que los permisos necesarios mínimos, la consola no funcionará del modo esperado para las entidades (roles de IAM) que tengan esa política.
La siguiente política concede permiso a un rol para enumerar los recursos en la consola de la VPC, pero no para crearlos, actualizarlos ni eliminarlos.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeAccountAttributes",
"ec2:DescribeAddresses",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeClassicLinkInstances",
"ec2:DescribeClientVpnEndpoints",
"ec2:DescribeCustomerGateways",
"ec2:DescribeDhcpOptions",
"ec2:DescribeEgressOnlyInternetGateways",
"ec2:DescribeFlowLogs",
"ec2:DescribeInternetGateways",
"ec2:DescribeManagedPrefixLists",
"ec2:DescribeMovingAddresses",
"ec2:DescribeNatGateways",
"ec2:DescribeNetworkAcls",
"ec2:DescribeNetworkInterfaceAttribute",
"ec2:DescribeNetworkInterfacePermissions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribePrefixLists",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroupReferences",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSecurityGroupRules",
"ec2:DescribeStaleSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeTags",
"ec2:DescribeTrafficMirrorFilters",
"ec2:DescribeTrafficMirrorSessions",
"ec2:DescribeTrafficMirrorTargets",
"ec2:DescribeTransitGateways",
"ec2:DescribeTransitGatewayVpcAttachments",
"ec2:DescribeTransitGatewayRouteTables",
"ec2:DescribeVpcAttribute",
"ec2:DescribeVpcClassicLink",
"ec2:DescribeVpcClassicLinkDnsSupport",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcEndpointConnectionNotifications",
"ec2:DescribeVpcEndpointConnections",
"ec2:DescribeVpcEndpointServiceConfigurations",
"ec2:DescribeVpcEndpointServicePermissions",
"ec2:DescribeVpcEndpointServices",
"ec2:DescribeVpcPeeringConnections",
"ec2:DescribeVpcs",
"ec2:DescribeVpnConnections",
"ec2:DescribeVpnGateways",
"ec2:GetManagedPrefixListAssociations",
"ec2:GetManagedPrefixListEntries"
],
"Resource": "*"
}
]
}
```
------
No es necesario conceder permisos mínimos para la consola a los roles que solo realizan llamadas a la AWS CLI o a la API de AWS. En lugar de ello, conceda acceso únicamente a las acciones que coincidan con la operación de API que el rol necesite ejecutar.
## Crear una VPC con una subred pública
En el siguiente ejemplo se permite a los roles crear VPC, subredes, tablas de enrutamiento y puertas de enlace de Internet. Los roles también pueden asociar una puerta de enlace de Internet a una VPC y crear enrutamientos en tablas de enrutamiento. La acción `ec2:ModifyVpcAttribute` permite a los roles habilitar nombres de host de DNS para la VPC, con el fin de que cada instancia lanzada en una VPC reciba un nombre de host de DNS.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"ec2:CreateVpc",
"ec2:CreateSubnet",
"ec2:DescribeAvailabilityZones",
"ec2:CreateRouteTable",
"ec2:CreateRoute",
"ec2:CreateInternetGateway",
"ec2:AttachInternetGateway",
"ec2:AssociateRouteTable",
"ec2:ModifyVpcAttribute"
],
"Resource": "*"
}
]
}
```
------
La política anterior también permite a los roles crear una VPC en la consola de Amazon VPC.
## Modificar y eliminar recursos de VPC
Es posible que desee controlar los recursos de VPC que los roles pueden modificar o eliminar. Por ejemplo, la siguiente política permite a los roles utilizar y eliminar tablas de enrutamiento que tengan la etiqueta `Purpose=Test`. La política también especifica que los roles solo pueden eliminar puertas de enlace de Internet que tengan la etiqueta `Purpose=Test`. Los roles no pueden utilizar tablas de enrutamiento ni puertas de enlace de Internet que no tengan esta etiqueta.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:DeleteInternetGateway",
"Resource": "arn:aws:ec2:*:*:internet-gateway/*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/Purpose": "Test"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DeleteRouteTable",
"ec2:CreateRoute",
"ec2:ReplaceRoute",
"ec2:DeleteRoute"
],
"Resource": "arn:aws:ec2:*:*:route-table/*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/Purpose": "Test"
}
}
}
]
}
```
------
## Administrar grupos de seguridad
La siguiente política permite a los roles administrar grupos de seguridad. La primera instrucción permite a los roles eliminar cualquier grupo de seguridad con la etiqueta `Stack=test` y administrar las reglas de entrada y salida de cualquier grupo de seguridad con la etiqueta `Stack=test`. La segunda instrucción exige que los roles etiqueten todos los grupos de seguridad que creen con la etiqueta `Stack=Test`. La tercera instrucción permite a los roles crear etiquetas cuando creen un grupo de seguridad. La cuarta instrucción permite a los roles ver cualquier grupo de seguridad y cualquier regla de grupo de seguridad. La quinta instrucción permite a los roles crear un grupo de seguridad en una VPC.
**nota**
AWS CloudFormation no puede utilizar esta política para crear un grupo de seguridad con las etiquetas necesarias. Si elimina la condición de la acción `ec2:CreateSecurityGroup` que requiere la etiqueta, la política funcionará.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:RevokeSecurityGroupIngress",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:UpdateSecurityGroupRuleDescriptionsEgress",
"ec2:RevokeSecurityGroupEgress",
"ec2:DeleteSecurityGroup",
"ec2:ModifySecurityGroupRules",
"ec2:UpdateSecurityGroupRuleDescriptionsIngress"
],
"Resource": "arn:aws:ec2:*:*:security-group/*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/Stack": "test"
}
}
},
{
"Effect": "Allow",
"Action": "ec2:CreateSecurityGroup",
"Resource": "arn:aws:ec2:*:*:security-group/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Stack": "test"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": "Stack"
}
}
},
{
"Effect": "Allow",
"Action": "ec2:CreateTags",
"Resource": "arn:aws:ec2:*:*:security-group/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateSecurityGroup"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeSecurityGroupRules",
"ec2:DescribeVpcs",
"ec2:DescribeSecurityGroups"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "ec2:CreateSecurityGroup",
"Resource": "arn:aws:ec2:*:*:vpc/*"
}
]
}
```
------
Para permitir que los roles cambien el grupo de seguridad que está asociado a una instancia, agregue la acción `ec2:ModifyInstanceAttribute` a la política.
Para permitir que los roles cambien los grupos de seguridad de una interfaz de red, agregue la acción `ec2:ModifyNetworkInterfaceAttribute` a la política.
## Administración de reglas de grupos de seguridad
Mediante la siguiente política, se concede a los roles permiso para ver todos los grupos de seguridad y las reglas de los grupos de seguridad, agregar y quitar reglas de entrada y salida para los grupos de seguridad de una VPC específica, y modificar las descripciones de las reglas de esa VPC específica. En la primera instrucción, se utiliza la clave de condición `ec2:Vpc` a fin de obtener permisos para una VPC específica.
La segunda instrucción concede a los roles permisos para describir todos los grupos de seguridad, reglas de grupos de seguridad y etiquetas. Esto permite a los roles ver las reglas de los grupos de seguridad para modificarlas.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:AuthorizeSecurityGroupIngress",
"ec2:RevokeSecurityGroupIngress",
"ec2:UpdateSecurityGroupRuleDescriptionsIngress",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:RevokeSecurityGroupEgress",
"ec2:UpdateSecurityGroupRuleDescriptionsEgress",
"ec2:ModifySecurityGroupRules"
],
"Resource": "arn:aws:ec2:us-east-1:123456789012:security-group/*",
"Condition": {
"ArnEquals": {
"ec2:Vpc": "arn:aws:ec2:us-east-1:123456789012:vpc/vpc-1234567890abcdef0"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeSecurityGroups",
"ec2:DescribeSecurityGroupRules",
"ec2:DescribeTags"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:ModifySecurityGroupRules"
],
"Resource": "arn:aws:ec2:us-east-1:123456789012:security-group-rule/*"
}
]
}
```
------
## Lanzar instancias en una subred específica
La siguiente política concede a los roles permiso para lanzar instancias en una subred específica, así como para utilizar un grupo de seguridad determinado en la solicitud. Esta política se consigue al especificar el ARN de la subred y el ARN del grupo de seguridad. Si los roles intentan lanzar una instancia en una subred distinta o tratan de utilizar otro grupo de seguridad, se producirá un error en la solicitud (a no ser que otra política o instrucción conceda a los roles permiso para realizar tales acciones).
La política también concede permiso para utilizar el recurso de interfaz de red. Cuando se realiza el lanzamiento en una subred, la solicitud `RunInstances` crea una interfaz de red principal de manera predeterminada, de modo que el rol necesita permiso para crear este recurso cuando lanza la instancia.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:RunInstances",
"Resource": [
"arn:aws:ec2:us-east-1::image/ami-*",
"arn:aws:ec2:us-east-1:123456789012:instance/*",
"arn:aws:ec2:us-east-1:123456789012:subnet/subnet-1234567890abcdef0",
"arn:aws:ec2:us-east-1:123456789012:network-interface/*",
"arn:aws:ec2:us-east-1:123456789012:volume/*",
"arn:aws:ec2:us-east-1:123456789012:key-pair/*",
"arn:aws:ec2:us-east-1:123456789012:security-group/sg-0abcdef1234567890"
]
}
]
}
```
------
## Lanzar instancias en una VPC específica
La siguiente política concede a los roles permiso para lanzar instancias en cualquier subred de una VPC específica. Esto se consigue al aplicar en la política una clave de condición (`ec2:Vpc`) para el recurso de la subred.
La política también concede a los roles permiso para lanzar instancias utilizando solo AMI que tengan la etiqueta “`department=dev`”.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:RunInstances",
"Resource": "arn:aws:ec2:us-east-1:123456789012:subnet/*",
"Condition": {
"ArnEquals": {
"ec2:Vpc": "arn:aws:ec2:us-east-1:123456789012:vpc/vpc-1234567890abcdef0"
}
}
},
{
"Effect": "Allow",
"Action": "ec2:RunInstances",
"Resource": "arn:aws:ec2:us-east-1::image/ami-*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/department": "dev"
}
}
},
{
"Effect": "Allow",
"Action": "ec2:RunInstances",
"Resource": [
"arn:aws:ec2:us-east-1:123456789012:instance/*",
"arn:aws:ec2:us-east-1:123456789012:volume/*",
"arn:aws:ec2:us-east-1:123456789012:network-interface/*",
"arn:aws:ec2:us-east-1:123456789012:key-pair/*",
"arn:aws:ec2:us-east-1:123456789012:security-group/*"
]
}
]
}
```
------
## Bloqueo de acceso público de las VPC y subredes
Los siguientes ejemplos de políticas otorgan permiso a los roles para trabajar con la [característica Bloqueo de acceso público (BPA) de las VPC](security-vpc-bpa.md) para bloquear el acceso público a los recursos en las VPC y las subredes.
Ejemplo 1: permitir el acceso de solo lectura a la configuración de toda la cuenta de BPA de la VPC y a las exclusiones de BPA de la VPC.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VPCBPAReadOnlyAccess",
"Action": [
"ec2:DescribeVpcBlockPublicAccessOptions",
"ec2:DescribeVpcBlockPublicAccessExclusions"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
Ejemplo 2: permitir el acceso completo de lectura y escritura a la configuración de toda la cuenta de BPA de la VPC y a las exclusiones de BPA de la VPC.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VPCBPAFullAccess",
"Action": [
"ec2:DescribeVpcBlockPublicAccessOptions",
"ec2:DescribeVpcBlockPublicAccessExclusions",
"ec2:ModifyVpcBlockPublicAccessOptions",
"ec2:CreateVpcBlockPublicAccessExclusion",
"ec2:ModifyVpcBlockPublicAccessExclusion",
"ec2:DeleteVpcBlockPublicAccessExclusion"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
Ejemplo 3: Permitir el acceso a todas las API de EC2, excepto modificar la configuración de BPA de la VPC y crear exclusiones.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EC2FullAccess",
"Action": [
"ec2:*"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Sid": "VPCBPAPartialAccess",
"Action": [
"ec2:ModifyVpcBlockPublicAccessOptions",
"ec2:CreateVpcBlockPublicAccessExclusion"
],
"Effect": "Deny",
"Resource": "*"
}
]
}
```
------
## Ejemplos de políticas de Amazon VPC adicionales
Puede encontrar otras políticas de IAM de ejemplo relacionadas con Amazon VPC en la siguiente documentación:
+ [Listas de prefijos administradas](managed-prefix-lists.md#managed-prefix-lists-iam)
+ [Replicación de tráfico](https://docs.aws.amazon.com/vpc/latest/mirroring/traffic-mirroring-security.html)
+ [Gateways de tránsito](https://docs.aws.amazon.com/vpc/latest/tgw/transit-gateway-authentication-access-control.html#tgw-example-iam-policies)
+ [Puntos de conexión de VPC y servicios de punto de conexión de VPC (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/privatelink/security_iam_id-based-policy-examples.html)
+ [Emparejamiento de VPC de](https://docs.aws.amazon.com/vpc/latest/peering/security-iam.html)
# Solucionar problemas de identidad y acceso de Amazon VPC
Utilice la siguiente información para diagnosticar y solucionar los problemas comunes que es posible que surjan cuando se trabaja con Amazon VPC e IAM.
**Topics**
+ [No tengo autorización para realizar una acción en Amazon VPC](#security_iam_troubleshoot-no-permissions)
+ [No tengo autorización para realizar la operación iam:PassRole](#security_iam_troubleshoot-passrole)
+ [Quiero permitir que personas ajenas a mi cuenta de AWS accedan a mis recursos de Amazon VPC.](#security_iam_troubleshoot-cross-account-access)
## No tengo autorización para realizar una acción en Amazon VPC
Si la Consola de administración de AWS le indica que no está autorizado para llevar a cabo una acción, debe ponerse en contacto con su gestionador para recibir ayuda. El administrador es la persona que le proporcionó las credenciales de inicio de sesión.
El siguiente ejemplo de error se produce cuando el usuario de IAM `mateojackson` intenta utilizar la consola para consultar detalles sobre una subred pero su rol de IAM no tiene permisos `ec2:DescribeSubnets`.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: ec2:DescribeSubnets on resource: subnet-id
```
En este caso, Mateo pide a su administrador que actualice la política para poder acceder a la subred.
## No tengo autorización para realizar la operación iam:PassRole
Si recibe un error que indica que no tiene autorización para llevar a cabo la acción `iam:PassRole`, sus políticas deben actualizarse para permitirle pasar un rol a Amazon VPC.
Algunos Servicios de AWS le permiten transferir un rol existente a dicho servicio en lugar de crear un nuevo rol de servicio o uno vinculado al servicio. Para ello, debe tener permisos para transferir el rol al servicio.
En el siguiente ejemplo, el error se produce cuando un usuario de IAM denominado `marymajor` intenta utilizar la consola para realizar una acción en Amazon VPC. Sin embargo, la acción requiere que el servicio cuente con permisos que otorguen un rol de servicio. Mary no tiene permisos para transferir el rol al servicio.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
En este caso, las políticas de Mary se deben actualizar para permitirle realizar la acción `iam:PassRole`.
Si necesita ayuda, póngase en contacto con su administrador de AWS. El administrador es la persona que le proporcionó las credenciales de inicio de sesión.
## Quiero permitir que personas ajenas a mi cuenta de AWS accedan a mis recursos de Amazon VPC.
Puede crear un rol que los usuarios de otras cuentas o las personas externas a la organización puedan utilizar para acceder a sus recursos. Se puede especificar una persona de confianza para que asuma el rol. En el caso de los servicios que admitan las políticas basadas en recursos o las listas de control de acceso (ACL), puede utilizar dichas políticas para conceder a las personas acceso a sus recursos.
Para obtener más información, consulte lo siguiente:
+ Para saber si Amazon VPC admite estas características, consulte [Cómo funciona Amazon VPC con IAM](security_iam_service-with-iam.md).
+ Para obtener información acerca de cómo proporcionar acceso a los recursos de las Cuentas de AWS de su propiedad, consulte [Proporcionar acceso a un usuario de IAM a otra cuenta de Cuenta de AWS de la que es propietario](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) en la *Guía del usuario de IAM*.
+ Para obtener información acerca de cómo proporcionar acceso a sus recursos a Cuentas de AWS de terceros, consulte [Proporcionar acceso a Cuentas de AWS que son propiedad de terceros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) en la *Guía del usuario de IAM*.
+ Para obtener información sobre cómo proporcionar acceso mediante una federación de identidades, consulte [Proporcionar acceso a usuarios autenticados externamente (identidad federada)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) en la *Guía del usuario de IAM*.
+ Para conocer sobre la diferencia entre las políticas basadas en roles y en recursos para el acceso entre cuentas, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.
# AWSPolíticas administradas por para Amazon Virtual Private Cloud
Una política administrada de AWS es una política independiente que AWS crea y administra. Las políticas administradas de AWS se diseñan para ofrecer permisos para muchos casos de uso comunes, por lo que puede empezar a asignar permisos a los usuarios, grupos y roles.
Considere que es posible que las políticas administradas por AWS no concedan permisos de privilegio mínimo para los casos de uso concretos, ya que están disponibles para que las utilicen todos los clientes de AWS. Se recomienda definir [políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) específicas para sus casos de uso a fin de reducir aún más los permisos.
No puede cambiar los permisos definidos en las políticas administradas AWS. Si AWS actualiza los permisos definidos en una política administrada de AWS, la actualización afecta a todas las identidades de entidades principales (usuarios, grupos y roles) a las que está asociada la política. Lo más probable es que AWS actualice una política administrada de AWS cuando se lance un nuevo Servicio de AWS o las operaciones de la API nuevas estén disponibles para los servicios existentes.
Para obtener más información, consulte [Políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la *Guía del usuario de IAM*.
## AWSPolítica administrada por : AmazonVPCFullAccess
Puede adjuntar la política `AmazonVPCFullAccess` a las identidades de IAM. Esta política otorga permisos que brindan acceso completo a Amazon VPC.
Para ver los permisos de esta política, consulte [AmazonVPCFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonVPCFullAccess.html) en la *Referencia de políticas administradas por AWS*.
## AWSPolítica administrada por : AmazonVPCReadOnlyAccess
Puede adjuntar la política `AmazonVPCReadOnlyAccess` a las identidades de IAM. Esta política otorga permisos que brindan acceso de solo lectura a Amazon VPC.
Para ver los permisos de esta política, consulte [AmazonVPCReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonVPCReadOnlyAccess.html) en la *Referencia de políticas administradas por AWS*.
## política administrada AWS: AmazonVPCCrossAccountNetworkInterfaceOperations
Puede asociar la política `AmazonVPCCrossAccountNetworkInterfaceOperations` a las identidades de IAM. Esta política otorga permisos que permiten a la identidad crear interfaces de red y adjuntarlas a recursos multicuenta.
Para ver los permisos de esta política, consulte [AmazonVPCCrossAccountNetworkInterfaceOperations](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonVPCCrossAccountNetworkInterfaceOperations.html) en la *Referencia de políticas administradas por AWS*.
## Política administrada por AWS: AWSServiceRoleForNATGateway
Puede asociar la política `AWSServiceRoleForNATGateway` a las identidades de IAM. Esta política concede permisos que permiten que la identidad actúe en su nombre para escalar automáticamente las puertas de enlace NAT regionales.
Para ver los permisos de esta política, consulte [AWSServiceRoleForNATGateway ](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRoleForNATGateway.html) en la *Referencia de la política administrada de AWS*.
## Actualizaciones de Amazon VPC en las políticas administradas por AWS
Es posible consultar los detalles sobre las actualizaciones de las políticas administradas por AWS para Amazon VPC debido a que este servicio comenzó a realizar el seguimiento de estos cambios en marzo de 2021.
| Cambio | Descripción | Fecha |
| --- | --- | --- |
| [AWSPolítica administrada por : AmazonVPCFullAccess](#security-iam-awsmanpol-AmazonVPCFullAccess): actualización de una política actual | Se agregaron acciones a la política administrada AWSIPAMServiceRolePolicy (ec2:ModifyManagedPrefixList, ec2:DescribeManagedPrefixLists y ec2:GetManagedPrefixListEntries) para permitir que IPAM lea y modifique las listas de prefijos administradas. | 31 de octubre de 2025 |
| [Política administrada por AWS: AWSServiceRoleForNATGateway](#security-iam-awsmanpol-AWSServiceRoleForNATGateway): política nueva | La nueva política AWSServiceRoleForNATGateway permite que la identidad escale automáticamente las puertas de enlace NAT regionales. | 19 de noviembre de 2025 |
| [AWSPolítica administrada por : AmazonVPCFullAccess](#security-iam-awsmanpol-AmazonVPCFullAccess): actualización de una política actual | Se agregaron las acciones AssociateSecurityGroupVpc, DescribeSecurityGroupVpcAssociations y DisassociateSecurityGroupVpc, las cuales permiten asociar, desasociar y ver las asociaciones de grupos de seguridad con las VPC. | 9 de diciembre de 2024 |
| [AWSPolítica administrada por : AmazonVPCReadOnlyAccess](#security-iam-awsmanpol-AmazonVPCReadOnlyAccess): actualización de una política actual | Se agregó la acción DescribeSecurityGroupVpcAssociations, la cual permite ver las asociaciones de los grupos de seguridad con las VPC. | 9 de diciembre de 2024 |
| [AWSPolítica administrada por : AmazonVPCFullAccess](#security-iam-awsmanpol-AmazonVPCFullAccess): actualización de una política actual | Se agregó la acción GetSecurityGroupsForVpc, que le permite obtener grupos de seguridad que se pueden usar en su VPC. | 8 de febrero de 2024 |
| [AWSPolítica administrada por : AmazonVPCReadOnlyAccess](#security-iam-awsmanpol-AmazonVPCReadOnlyAccess): actualización de una política actual | Se agregó la acción GetSecurityGroupsForVpc, que le permite obtener grupos de seguridad que se pueden usar en su VPC. | 8 de febrero de 2024 |
| [política administrada AWS: AmazonVPCCrossAccountNetworkInterfaceOperations](#security-iam-awsmanpol-AmazonVPCCrossAccountNetworkInterfaceOperations): actualización de una política actual | Se agregaron las acciones AssignIpv6Addresses y UnassignIpv6Addresses, que permiten administrar las direcciones IPv6 asociadas a las interfaces de red. | 25 de septiembre de 2023 |
| [AWSPolítica administrada por : AmazonVPCReadOnlyAccess](#security-iam-awsmanpol-AmazonVPCReadOnlyAccess): actualización de una política actual | Se agregó la acción DescribeSecurityGroupRules, que le permite ver las [reglas de los grupos de seguridad](security-group-rules.md). | 2 de agosto de 2021 |
| [AWSPolítica administrada por : AmazonVPCFullAccess](#security-iam-awsmanpol-AmazonVPCFullAccess): actualización de una política actual | Se agregaron las acciones DescribeSecurityGroupRules y ModifySecurityGroupRules, que permiten ver y modificar las [reglas de los grupos de seguridad](security-group-rules.md). | 2 de agosto de 2021 |
| [AWSPolítica administrada por : AmazonVPCFullAccess](#security-iam-awsmanpol-AmazonVPCFullAccess): actualización de una política actual | Se agregaron acciones para las gateways de operador, los grupos IPv6, las gateways locales y las tablas de enrutamiento de gateways locales. | 23 de junio de 2021 |
| [AWSPolítica administrada por : AmazonVPCReadOnlyAccess](#security-iam-awsmanpol-AmazonVPCReadOnlyAccess): actualización de una política actual | Se agregaron acciones para las gateways de operador, los grupos IPv6, las gateways locales y las tablas de enrutamiento de gateways locales. | 23 de junio de 2021 |
# Uso de roles vinculados al servicio para VPC
Amazon VPC utiliza [roles vinculados al servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) de AWS Identity and Access Management (IAM). Un rol vinculado al servicio es un tipo único de rol de IAM que está vinculado directamente a VPC. Los roles vinculados al servicio están predefinidos por VPC e incluyen todos los permisos que el servicio requiere para llamar a otros servicios de AWS en su nombre.
Un rol vinculado al servicio facilita la configuración de VPC, ya que no es necesario agregar manualmente los permisos necesarios. VPC define los permisos de los roles vinculados al servicio y, salvo que se indique lo contrario, solo VPC puede asumir esos roles. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda adjuntar a ninguna otra entidad de IAM.
Solo es posible eliminar un rol vinculado a un servicio después de eliminar sus recursos relacionados. Esto protege los recursos de la VPC, ya que no puede eliminar de forma involuntaria los permisos para acceder a dichos recursos.
Para obtener información sobre otros servicios que admiten roles vinculados al servicio, consulte [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) y busque aquellos servicios que tengan **Sí** en la columna **Roles vinculados al servicio**. Elija una opción **Sí** con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.
## Permisos de los roles vinculados al servicio para VPC
VPC utiliza el rol vinculado al servicio denominado **AWSServiceRoleForNATGateway**. Este rol vinculado al servicio permite que Amazon VPC asigne direcciones IP elásticas en su nombre para escalar automáticamente las puertas de enlace NAT regionales, asociar y desasociar las direcciones IP elásticas existentes a las puertas de enlace NAT regionales cuando lo solicite, y describir interfaces de red para identificar la infraestructura existente y ampliarla automáticamente a nuevas zonas de disponibilidad.
El rol vinculado al servicio AWSServiceRoleForNATGateway confía en los siguientes servicios para asumir el rol:
+ `ec2-nat-gateway.amazonaws.com`
La política de permisos del rol denominada AWSNATGatewayServiceRolePolicy permite que VPC realice las siguientes acciones sobre los recursos especificados:
+ Acción: `AllocateAddress` sobre direcciones IP elásticas administradas por el servicio, para asignar direcciones IP elásticas en su nombre. Las direcciones IP elásticas administradas por el servicio se encargan automáticamente del etiquetado posterior con etiquetas administradas por el servicio y de la acción ReleaseAddress.
+ Acción: `AssociateAddress` sobre las direcciones IP elásticas existentes previamente, para asociarlas manualmente a la puerta de enlace NAT regional cuando lo solicite.
+ Acción: `DisassociateAddress` sobre las direcciones IP elásticas existentes previamente, para quitarlas de la puerta de enlace NAT regional cuando lo solicite.
+ Acción: `DescribeAddresses` para obtener información de direcciones IP públicas a partir de direcciones IP elásticas proporcionadas por el cliente durante la asociación.
+ Acción: `DescribeNetworkInterface` sobre las interfaces de red existentes, para identificar automáticamente las zonas de disponibilidad en las que reside la infraestructura y escalar horizontalmente de forma automática a nuevas zonas.
Debe configurar los permisos para permitir a sus usuarios, grupos o funciones, crear, editar o eliminar la descripción de un rol vinculado al servicio. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.
## Creación de un rol vinculado al servicio para VPC
No necesita crear manualmente un rol vinculado a servicios. Cuando crea una puerta de enlace NAT con un modo de disponibilidad “regional” en la Consola de administración de AWS, la AWS CLI o la API de AWS, VPC crea el rol vinculado al servicio en su nombre.
**importante**
Este rol vinculado a servicios puede aparecer en su cuenta si se ha completado una acción en otro servicio que utilice las características compatibles con este rol. Además, si utilizaba el servicio VPC antes del 1 de enero de 2017, cuando comenzó a admitir roles vinculados al servicio, VPC creó el rol AWSServiceRoleForNATGateway en la cuenta. Para obtener más información, consulte [Un nuevo rol ha aparecido en mi Cuenta de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Cuando crea una puerta de enlace NAT con un modo de disponibilidad “regional”, VPC crea de nuevo el rol vinculado al servicio en su nombre.
También puede usar la consola de IAM para crear un rol vinculado al servicio con el caso de uso **AWSServiceRoleForNATGateway**. En la AWS CLI o la API de AWS, cree un rol vinculado al servicio con el nombre de servicio `ec2-nat-gateway.amazonaws.com`. Para obtener más información, consulte [Creación de un rol vinculado a un servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) en la *Guía del usuario de IAM*. Si elimina este rol vinculado al servicio, puede utilizar este mismo proceso para volver a crear el rol.
## Edición de un rol vinculado al servicio para VPC
VPC no permite que edite el rol vinculado al servicio AWSServiceRoleForNATGateway. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte [Editar un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
## Eliminación de un rol vinculado al servicio para VPC
Si ya no necesita utilizar una característica o servicio que requiere un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma no tiene una entidad no utilizada que no se monitoree ni mantenga de forma activa. Sin embargo, debe limpiar los recursos del rol vinculado al servicio antes de eliminarlo manualmente.
**nota**
Si el servicio VPC usa el rol cuando intenta eliminar los recursos, es posible que la eliminación no se complete correctamente. En tal caso, espere unos minutos e intente de nuevo la operación.
**Para eliminar los recursos de VPC utilizados por AWSServiceRoleForNATGateway**
+ Elimine todas las puertas de enlace NAT regionales en todas las regiones en las que estén implementadas.
**Para eliminar manualmente el rol vinculado a servicios mediante IAM**
Use la consola de IAM, la AWS CLI o la API de AWS para eliminar el rol vinculado al servicio AWSServiceRoleForNATGateway. Para obtener más información, consulte [Eliminación de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.
## Regiones compatibles con roles vinculados al servicio para VPC
VPC admite el uso de roles vinculados al servicio en todas las regiones en las que el servicio está disponible. Para obtener más información, consulte [Puntos de conexión y Regiones de AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html).
VPC no admite el uso de roles vinculados al servicio en todas las regiones en las que el servicio está disponible. Puede usar el rol AWSServiceRoleForNATGateway en las siguientes regiones.
| Nombre de la región | Identidad de la región | Compatibilidad en VPC |
| --- | --- | --- |
| Este de EE. UU. (Norte de Virginia) | us-east-1 | Sí |
| Este de EE. UU. (Ohio) | us-east-2 | Sí |
| Oeste de EE. UU. (Norte de California) | us-west-1 | Sí |
| Oeste de EE. UU. (Oregón) | us-west-2 | Sí |
| África (Ciudad del Cabo) | af-south-1 | Sí |
| Asia-Pacífico (Hong Kong) | ap-east-1 | Sí |
| Asia-Pacífico (Taipéi) | ap-east-2 | Sí |
| Asia-Pacífico (Yakarta) | ap-southeast-3 | Sí |
| Asia-Pacífico (Mumbai) | ap-south-1 | Sí |
| Asia-Pacífico (Hyderabad) | ap-south-2 | Sí |
| Asia-Pacífico (Osaka) | ap-northeast-3 | Sí |
| Asia-Pacífico (Seúl) | ap-northeast-2 | Sí |
| Asia-Pacífico (Singapur) | ap-southeast-1 | Sí |
| Asia-Pacífico (Sídney) | ap-southeast-2 | Sí |
| Asia-Pacífico (Tokio) | ap-northeast-1 | Sí |
| Asia-Pacífico (Melbourne) | ap-southeast-4 | Sí |
| Asia-Pacífico (Malasia) | ap-southeast-5 | Sí |
| Asia-Pacífico (Nueva Zelanda) | ap-southeast-6 | Sí |
| Asia-Pacífico (Tailandia) | ap-southeast-7 | Sí |
| Canadá (centro) | ca-central-1 | Sí |
| Oeste de Canadá (Calgary) | ca-west-1 | Sí |
| Europa (Fráncfort) | eu-central-1 | Sí |
| Europa (Zúrich) | eu-central-2 | Sí |
| Europa (Irlanda) | eu-west-1 | Sí |
| Europa (Londres) | eu-west-2 | Sí |
| Europa (Milán) | eu-south-1 | Sí |
| Europa (España) | eu-south-2 | Sí |
| Europa (París) | eu-west-3 | Sí |
| Europa (Estocolmo) | eu-north-1 | Sí |
| Israel (Tel Aviv) | il-central-1 | Sí |
| Medio Oriente (Baréin) | me-south-1 | Sí |
| Medio Oriente (EAU) | me-central-1 | Sí |
| Medio Oriente (Arabia Saudí) | me-west-1 | Sí |
| México (centro) | mx-central-1 | Sí |
| América del Sur (São Paulo) | sa-east-1 | Sí |
| AWS GovCloud (Este de EE. UU.) | us-gov-east-1 | No |
| AWS GovCloud (Oeste de EE. UU.) | us-gov-west-1 | No |
# Seguridad de la infraestructura en Amazon VPC
Como se trata de un servicio administrado, Amazon Virtual Private Cloud está protegido por la seguridad de red global de AWS. Para obtener información sobre los servicios de seguridad de AWS y sobre cómo AWS protege la infraestructura, consulte [Seguridad en la nube de AWS](https://aws.amazon.com/security/). Para diseñar su entorno de AWS siguiendo las prácticas recomendadas de seguridad de infraestructura, consulte [Protección de la infraestructura](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) en *Portal de seguridad de AWS Well‐Architected Framework*.
Puede utilizar llamadas a la API publicadas de AWS para acceder a Amazon VPC a través de la red. Los clientes deben admitir lo siguiente:
+ Seguridad de la capa de transporte (TLS). Exigimos TLS 1.2 y recomendamos TLS 1.3.
+ Conjuntos de cifrado con confidencialidad directa total (PFS) como DHE (Ephemeral Diffie-Hellman) o ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La mayoría de los sistemas modernos como Java 7 y posteriores son compatibles con estos modos.
## Aislamiento de red
Una nube privada virtual (VPC) es una red virtual en su propia área, aislada lógicamente en la nube de AWS. Utilice VPC separados para aislar la infraestructura por carga de trabajo o unidad organizativa.
Una subred es un rango de direcciones IP de una VPC. Al iniciar una instancia, la lanza a una subred en su VPC. Utilice subredes para aislar los niveles de la aplicación (por ejemplo, web, aplicación y base de datos) en una VPC individual. Utilice subredes privadas para las instancias si no se debe acceder a ellas directamente desde Internet.
Puede utilizar [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/) para permitir que los recursos de la VPC se conecten a Servicios de AWS mediante direcciones IP privadas, como si los servicios estuvieran alojados directamente en la VPC. Por lo tanto, no es necesario utilizar una puerta de enlace de Internet o un dispositivo NAT para acceder a los Servicios de AWS.
## Controlar el tráfico de red
Tenga en cuenta las siguientes opciones para controlar el tráfico de red a los recursos en la VPC, como las instancias EC2:
+ Utilice [grupos de seguridad](vpc-security-groups.md) como mecanismo principal para controlar el acceso de red a las VPC. Cuando sea necesario, utilice las [ACL de red](vpc-network-acls.md) para proporcionar un control de red sin estado y amplio. Los grupos de seguridad son más versátiles que las ACL de red, debido a su capacidad de realizar un filtrado de paquetes con estado y crear reglas que hagan referencia a otros grupos de seguridad. Las ACL de red pueden ser efectivas como control secundario (por ejemplo, para denegar un subconjunto específico de tráfico) o como medidas de protección de subred de alto nivel. Además, dado que las ACL de red se aplican a toda una subred, se pueden utilizar como defensa en profundidad en caso de que una instancia se lance sin un grupo de seguridad correcto.
+ Utilice subredes privadas para las instancias si no se debe acceder a ellas directamente desde Internet. Utilice un host bastión o una puerta de enlace NAT para acceder a Internet desde las instancias en subredes privadas.
+ Configure [tablas de enrutamiento](VPC_Route_Tables.md) de subred con las rutas de red mínimas para cumplir con los requisitos de conectividad.
+ Considere la posibilidad de utilizar grupos de seguridad adicionales o interfaces de red para controlar y auditar el tráfico de administración de instancias de Amazon EC2 con independencia del tráfico normal de aplicaciones. Así, puede implementar políticas de IAM especiales para el control de cambios, lo que facilita auditar los cambios de las reglas de los grupos de seguridad o en los scripts de verificación de reglas automatizados. Múltiples interfaces de red también ofrecen opciones adicionales para controlar el tráfico de red, incluida la capacidad de crear políticas de direccionamiento basadas en el host o aprovechar diferentes reglas de direccionamiento de la subred de la VPC basadas en interfaces de red asignadas a una subred.
+ Utilice AWS Virtual Private Network o Direct Connect para establecer conexiones privadas desde sus redes remotas a sus VPC. Para obtener más información, consulte [Opciones de conectividad de red a Amazon VPC](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/network-to-amazon-vpc-connectivity-options.html).
+ Utilice [registros de flujo de VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) para monitorear el tráfico que llegue a sus instancias.
+ Utilice [AWS Security Hub CSPM](https://aws.amazon.com/security-hub/) para verificar la accesibilidad accidental a la red desde sus instancias.
+ Utilice [AWS Network Firewall](network-firewall.md) para proteger las subredes de la VPC de amenazas de red comunes.
## Comparar grupos de seguridad y ACL de red
La siguiente tabla resume las diferencias básicas entre grupos de seguridad y ACL de red.
| Característica | Grupo de seguridad | ACL de red |
| --- | --- | --- |
| Nivel de operación | Nivel de instancia | Nivel de subred |
| Ámbito | Se aplica a todas las instancias asociadas al grupo de seguridad | Se aplica a todas las instancias en las subredes asociadas |
| Tipo de regla | Solo reglas de permiso | Reglas de permiso y denegación |
| Evaluación de reglas | Evalúa todas las normas antes de decidir si permitir el tráfico | Evalúa las reglas en orden ascendente hasta encontrar una coincidencia con el tráfico |
| Tráfico de retorno | Permitido automáticamente (con estado) | Debe estar permitido de forma explícita (sin estado) |
El siguiente diagrama muestra las capas de seguridad proporcionadas por los grupos de seguridad y las ACL de red. Por ejemplo, el tráfico de un puerto de enlace a Internet se dirige a la subred correspondiente mediante las rutas de la tabla de ruteo. Las reglas de la ACL de red que se asocian a la subred controlan el tráfico que se permite en la subred. Las reglas del grupo de seguridad que se asocian a una instancia controlan el tráfico que se permite en la instancia.
![\[El tráfico se controla mediante grupos de seguridad y ACL de red\]](http://docs.aws.amazon.com/es_es/vpc/latest/userguide/images/security-comparison.png)
Puede proteger sus instancias utilizando sólo grupos de seguridad. Sin embargo, puede añadir ACL de red como una capa adicional de defensa. Para obtener más información, consulte [Ejemplo: controlar el acceso a las instancias de una subred](nacl-examples.md).
# Controlar el tráfico hacia los recursos de AWS mediante grupos de seguridad
Un *grupo de seguridad* controla el tráfico al que se permite llegar y dejar los recursos a los que está asociado. Por ejemplo, después de asociar un grupo de seguridad a una instancia de EC2, controla el tráfico de entrada y salida de la instancia.
Al crear una VPC, incluye un grupo de seguridad predeterminado. Puede crear grupos de seguridad adicionales para una VPC, cada uno con sus propias reglas de entrada y salida. Puede especificar el origen, el rango de puertos y el protocolo de cada regla de entrada. Puede especificar el destino, el rango de puertos y el protocolo de cada regla de salida.
En el siguiente diagrama se muestra una VPC con una subred, una puerta de enlace de Internet y un grupo de seguridad. La subred contiene una instancia de EC2. El grupo de seguridad se asigna a la instancia. El grupo de seguridad actúa como un firewall virtual. El único tráfico que llega a la instancia es el permitido por las reglas del grupo de seguridad. Por ejemplo, si el grupo de seguridad contiene una regla que permite el tráfico ICMP a la instancia desde su red, puede hacer ping a la instancia desde su equipo. Si el grupo de seguridad no contiene una regla que permita el tráfico SSH, no podrá conectarse a la instancia mediante SSH.
![\[Una VPC con dos subredes, dos grupos de seguridad y servidores en subredes asociadas a diferentes grupos de seguridad\]](http://docs.aws.amazon.com/es_es/vpc/latest/userguide/images/security-group-overview.png)
**Topics**
+ [Conceptos básicos de los grupos de seguridad](#security-group-basics)
+ [Ejemplo de grupo de seguridad](#security-group-example-details)
+ [Reglas del grupo de seguridad](security-group-rules.md)
+ [Grupos de seguridad predeterminados](default-security-group.md)
+ [Creación de un grupo de seguridad](creating-security-groups.md)
+ [Configuración de reglas de grupos de seguridad](working-with-security-group-rules.md)
+ [Eliminación de un grupo de seguridad](deleting-security-groups.md)
+ [Asociación de grupos de seguridad a varias VPC](security-group-assoc.md)
+ [Compartir grupos de seguridad con AWS Organizations](security-group-sharing.md)
**Precios**
El uso de grupos de seguridad no supone ningún cargo adicional.
## Conceptos básicos de los grupos de seguridad
+ Puede asignar un grupo de seguridad a los recursos creados en la misma VPC que el grupo de seguridad o a los recursos de otras VPC si utiliza la [característica de asociación de VPC de grupos de seguridad](security-group-assoc.md) para asociar el grupo de seguridad a otras VPC de la misma región. También puede asignar varios grupos de seguridad a un único recurso.
+ Al crear un grupo de seguridad, debe darle un nombre y una descripción. Se aplican las siguientes reglas:
+ El nombre de un grupo de seguridad debe ser único dentro de la VPC.
+ En los nombres de los grupos de seguridad no se distingue entre mayúsculas y minúsculas.
+ Los nombres y las descripciones pueden tener una longitud máxima de 255 caracteres.
+ Los nombres y las descripciones solo pueden contener los siguientes caracteres: a-z, A-Z, 0-9, espacios y .\$1-:/()\$1,@[]\$1=&;\$1\$1\$1\$1\$1.
+ Cuando el nombre contiene espacios finales, los recortamos. Por ejemplo, si introduce el nombre "Grupo de seguridad de prueba ", se guardará como "Grupo de seguridad de prueba".
+ El nombre del grupo de seguridad no puede comenzar con `sg-`.
+ Los grupos de seguridad son grupos con estado. Por ejemplo, si envía una solicitud desde una instancia, se permite el tráfico de respuesta de dicha solicitud para conectar la instancia independientemente de las reglas del grupo de seguridad de entrada. Se permiten las respuestas al tráfico de entrada para dejar la instancia, independientemente de las reglas de salida.
+ Los grupos de seguridad no filtran el tráfico destinado a los siguientes servicios ni desde estos:
+ Servicios de nombres de dominio de Amazon (DNS)
+ Protocolo de configuración dinámica de host de Amazon (DHCP)
+ Metadatos de la instancia de Amazon EC2
+ Puntos de conexión de metadatos de tareas de Amazon ECS
+ Activación de licencias para instancias de Windows
+ Servicio de sincronización temporal de Amazon
+ Direcciones IP reservadas del enrutador de la VPC predeterminado
+ Se ha establecido una cuota del número de grupos de seguridad que puede crear por cada VPC, al igual que el número de reglas que puede añadir a cada grupo de seguridad y el número de grupos de seguridad que puede asociar a una interfaz de red. Para obtener más información, consulte [Cuotas de Amazon VPC](amazon-vpc-limits.md).
**Prácticas recomendadas**
+ Autorice solo a entidades principales de IAM específicas a crear y modificar grupos de seguridad.
+ Cree el número mínimo de grupos de seguridad que necesite para reducir el riesgo de error. Use cada grupo de seguridad para administrar el acceso a los recursos que tienen funciones y requisitos de seguridad similares.
+ Al agregar reglas entrantes para los puertos 22 (SSH) o 3389 (RDP) para acceder a sus instancias de EC2, autorice solo rangos de direcciones IP específicas. Si especifica 0.0.0.0/0 (IPv4) y ::/ (IPv6), esto permite a cualquier persona acceder a sus instancias desde cualquier dirección IP mediante el protocolo especificado.
+ No abra rangos de puertos grandes. Asegúrese de que el acceso a través de cada puerto esté restringido a las fuentes o destinos que lo requieran.
+ Considere crear ACL de red con reglas similares a sus grupos de seguridad para agregar una capa de seguridad adicional a su VPC. Para obtener más información acerca de las diferencias entre los grupos de seguridad y las ACL de red, consulte [Comparar grupos de seguridad y ACL de red](infrastructure-security.md#VPC_Security_Comparison).
## Ejemplo de grupo de seguridad
En el siguiente diagrama se muestra una VPC con dos grupos de seguridad y dos subredes. Las instancias de la subred A tienen los mismos requisitos de conectividad; por lo tanto, están asociadas al grupo de seguridad 1. Las instancias de la subred B tienen los mismos requisitos de conectividad; por lo tanto, están asociadas al grupo de seguridad 2. Las reglas del grupo de seguridad permiten el tráfico de la siguiente manera:
+ La primera regla de entrada del grupo de seguridad 1 permite el tráfico SSH a las instancias de la subred A desde el rango de direcciones especificado (por ejemplo, un rango de su propia red).
+ La segunda regla de entrada del grupo de seguridad 1 permite que las instancias de la subred A se comuniquen entre sí mediante cualquier protocolo o puerto.
+ La primera regla de entrada del grupo de seguridad 2 permite que las instancias de la subred B se comuniquen entre sí mediante cualquier protocolo o puerto.
+ La segunda regla de entrada del grupo de seguridad 2 permite que las instancias de la subred A se comuniquen con las instancias de la subred B mediante SSH.
+ Ambos grupos de seguridad utilizan la regla de salida predeterminada, la cual permite todo el tráfico.
![\[Una VPC con dos grupos de seguridad y servidores en dos subredes. Los servidores de la subred A están asociados al grupo de seguridad 1. Los servidores de la subred B están asociados al grupo de seguridad 2.\]](http://docs.aws.amazon.com/es_es/vpc/latest/userguide/images/security-group-details.png)
# Reglas del grupo de seguridad
Las reglas de un grupo de seguridad controlan el tráfico de entrada que puede llegar a los recursos asociados al grupo de seguridad. Las reglas también controlan el tráfico saliente que puede salir de ellos.
Puede añadir o quitar reglas de un grupo de seguridad (este proceso también se conoce como *autorización* o *revocación* del acceso entrante o saliente). Las reglas se aplican al tráfico entrante (entrada) o saliente (salida). Puede conceder acceso a un origen o destino específicos.
**Topics**
+ [Conceptos básicos de las reglas de los grupos de seguridad](#security-group-rule-characteristics)
+ [Componentes de una regla de grupo de seguridad](#security-group-rule-components)
+ [Referencia a grupos de seguridad](#security-group-referencing)
+ [Tamaño del grupo de seguridad](#security-group-size)
+ [Reglas antiguas de los grupos de seguridad](#vpc-stale-security-group-rules)
## Conceptos básicos de las reglas de los grupos de seguridad
A continuación, se describen las características de las reglas de los grupos de seguridad:
+ Puede especificar reglas de permiso, pero no reglas de denegación.
+ Cuando se crea un grupo de seguridad, este carece de reglas de entrada. Por lo tanto, no se permitirá el tráfico de entrada hasta que no agregue reglas de entrada al grupo de seguridad.
+ La primera vez que crea un grupo de seguridad, este tiene una regla de salida que permite todo el tráfico de salida procedente del recurso. Es posible quitar esta regla y añadir reglas saliente que permitan solo el tráfico saliente específico. Si el grupo de seguridad no tiene reglas de entrada, no se permitirá el tráfico de salida.
+ Cuando asocia varios grupos de seguridad a un recurso, las reglas de cada grupo de seguridad se agregan para formar un solo conjunto de reglas utilizadas para determinar si se permite el acceso.
+ Cuando se agregan, actualizan o eliminan reglas, los cambios se aplican automáticamente a todos los recursos asociados al grupo de seguridad. Para obtener instrucciones, consulte [Configuración de reglas de grupos de seguridad](working-with-security-group-rules.md).
+ El efecto de algunos cambios en las reglas puede depender de cómo se realiza el seguimiento del tráfico. Para obtener más información, consulte [Seguimiento de la conexión](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-connection-tracking.html) en la *Guía del usuario de Amazon EC2*.
+ Cuando usted crea una regla de grupo de seguridad, AWS le asigna un ID único. Puede utilizar el ID de una regla cuando utilice la API o la CLI para modificarla o eliminarla.
**Limitación**
Los grupos de seguridad no pueden bloquear las solicitudes de DNS hacia Route 53 Resolver o desde este, a veces denominado “dirección IP de VPC\$12” (consulte [Amazon Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html) en la *Guía para desarrolladores de Amazon Route 53*) o [AmazonProvidedDNS](DHCPOptionSet.md). Para filtrar las solicitudes de DNS a través de Route 53 Resolver, utilice el [Firewall de DNS de Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall.html).
## Componentes de una regla de grupo de seguridad
Los siguientes son componentes de las reglas del grupo de seguridad de entrada y salida:
+ **Protocolo**: el protocolo que se permite. Los protocolos más habituales son 6 (TCP), 17 (UDP) y 1 (ICMP).
+ **Rango de puertos**: para TCP, UDP o un protocolo personalizado, el rango de puertos que se permite. Puede especificar un solo número de puerto (por ejemplo, `22`), o bien un rango de números de puertos (por ejemplo, `7000-8000`).
+ **Tipo y código ICMP**: para ICMP, el tipo y el código ICMP. Por ejemplo, utilice el tipo 8 para la Echo Request de ICMP o el tipo 128 para la Echo Request de ICMPv6. Para obtener más información, consulte [Reglas del grupo de seguridad](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html#sg-rules-ping) en la *Guía del usuario de Amazon EC2*.
+ **Origen o destino**: el origen (reglas de entrada) o el destino (reglas de salida) del tráfico que se va a permitir. Especifique uno de los siguientes valores:
+ Una única dirección IPv4. Debe utilizar la longitud de prefijo `/32`. Por ejemplo, `203.0.113.1/32`.
+ Una única dirección IPv6. Debe utilizar la longitud de prefijo `/128`. Por ejemplo, `2001:db8:1234:1a00::123/128`.
+ Un rango de direcciones IPv4 en notación de bloque de CIDR. Por ejemplo, `203.0.113.0/24`.
+ Un rango de direcciones IPv6 en notación de bloque de CIDR. Por ejemplo, `2001:db8:1234:1a00::/64`.
+ El ID de una lista de prefijos. Por ejemplo, `pl-1234abc1234abc123`. Para obtener más información, consulte [Listas de prefijos administradas](managed-prefix-lists.md).
+ El ID de un grupo de seguridad. Por ejemplo, `sg-1234567890abcdef0`. Para obtener más información, consulte [Referencia a grupos de seguridad](#security-group-referencing).
+ **(Opcional) Descripción**: puede agregar una descripción a la regla, que puede ayudarlo a identificarla más adelante. Una descripción puede tener una longitud máxima de 255 caracteres. Los caracteres permitidos incluyen a-z, A-Z, 0-9, espacios y .\$1-:/()\$1,@[]\$1=;\$1\$1\$1\$1\$1.
Para ver ejemplos, consulte [las reglas de los grupos de seguridad para diferentes casos de uso](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html) en la Guía del *usuario de Amazon EC2*.
## Referencia a grupos de seguridad
Al especificar un grupo de seguridad como origen o destino de una regla, la regla afecta a todas las instancias que están asociadas a los grupos de seguridad. Las instancias se pueden comunicar en la dirección que se determine, mediante las direcciones IP privadas de las instancias, a través del protocolo y el puerto especificados.
Por ejemplo, a continuación, se representa una regla de entrada para un grupo de seguridad que hace referencia al grupo de seguridad sg-0abcdef1234567890. Esta regla permite el tráfico SSH entrante desde las instancias asociadas a sg-0abcdef1234567890.
| Origen | Protocolo | Rango de puerto |
| --- | --- | --- |
| sg-0abcdef1234567890 | TCP | 22 |
Al hacer referencia a un grupo de seguridad en una regla de grupo de seguridad, tenga en cuenta lo siguiente:
+ Puede hacer referencia a un grupo de seguridad en la regla de entrada de otro grupo de seguridad si se cumple alguna de las siguientes condiciones:
+ Los grupos de seguridad están asociados con la misma VPC.
+ Existe una conexión de emparejamiento entre las VPC a las que están asociados los grupos de seguridad.
+ Hay una puerta de enlace de tránsito entre las VPC a las que están asociados los grupos de seguridad.
+ Puede hacer referencia a un grupo de seguridad en la regla de salida si se cumple alguna de las siguientes condiciones:
+ Los grupos de seguridad están asociados con la misma VPC.
+ Existe una conexión de emparejamiento entre las VPC a las que están asociados los grupos de seguridad.
+ No se agrega ninguna regla del grupo de seguridad al que se hace referencia al grupo de seguridad que hace referencia a él.
+ En el caso de las reglas de entrada, las instancias de EC2 asociadas a un grupo de seguridad pueden recibir tráfico entrante desde las direcciones IP privadas de las interfaces de red de las instancias de EC2 asociadas al grupo de seguridad de referencia.
+ En el caso de las reglas de salida, las instancias de EC2 asociadas al grupo de seguridad pueden enviar tráfico saliente a las direcciones IP privadas de las instancias de EC2 asociadas al grupo de seguridad al que se hace referencia.
+ No verificamos los grupos de seguridad a los que se hace referencia para dar autorización en las siguientes acciones: `AuthorizeSecurityGroupIngress`, `AuthorizeSecurityGroupEgress`, `RevokeSecurityGroupIngress` y `RevokeSecurityGroupEgress`. Solo comprobamos si el grupo de seguridad existe. Se obtiene el siguiente resultado:
+ Especificar el grupo de seguridad al que se hace referencia en las políticas de IAM para estas acciones no tiene ningún efecto.
+ Cuando un grupo de seguridad al que se hace referencia es propiedad de otra cuenta, la cuenta propietaria no recibe eventos de CloudTrail para estas acciones.
**Limitación**
Si configura rutas para reenviar el tráfico entre dos instancias en subredes diferentes a través de un dispositivo de middlebox, debe asegurarse de que los grupos de seguridad de ambas instancias permiten que el tráfico fluya entre las instancias. El grupo de seguridad de cada instancia debe hacer referencia a la dirección IP privada de la otra instancia o al rango CIDR de la subred que contiene la otra instancia como fuente. Si hace referencia al grupo de seguridad de la otra instancia como fuente, esto no permite que el tráfico fluya entre las instancias.
**Ejemplo**
En el siguiente diagrama se muestra una VPC con subredes en dos zonas de disponibilidad, una puerta de enlace de Internet y un equilibrador de carga de aplicación. Cada zona de disponibilidad tiene una subred pública para servidores web y una subred privada para servidores de bases de datos. Hay grupos de seguridad independientes para el equilibrador de carga, los servidores web y los servidores de bases de datos. Cree las siguientes reglas de grupo de seguridad para permitir el tráfico.
+ Agregue reglas al grupo de seguridad del equilibrador de carga para permitir el tráfico HTTP y HTTPS de Internet. El origen es 0.0.0.0/0.
+ Agregue reglas al grupo de seguridad para servidores web para permitir solo el tráfico HTTP y HTTPS del equilibrador de carga. El origen es el grupo de seguridad para el equilibrador de carga.
+ Agregue reglas al grupo de seguridad para servidores de bases de datos para permitir solicitudes de bases de datos de servidores web. El origen es el grupo de seguridad para los servidores web.
![\[Una arquitectura con servidores web y de base de datos, grupos de seguridad, una puerta de enlace de Internet y un equilibrador de carga\]](http://docs.aws.amazon.com/es_es/vpc/latest/userguide/images/security-group-referencing.png)
## Tamaño del grupo de seguridad
El tipo de origen o destino determina la forma en que cada regla cuenta para el número máximo de reglas que puede tener por grupo de seguridad.
+ Una regla que hace referencia a un bloque de CIDR cuenta como una regla.
+ Una regla que hace referencia a otro grupo de seguridad cuenta como una regla, independientemente del tamaño del grupo de seguridad al que se hace referencia.
+ Una regla que hace referencia a una lista de prefijos administrada por el cliente cuenta como el tamaño máximo de la lista de prefijos. Por ejemplo, si el tamaño máximo de la lista de prefijos es 20, una regla que haga referencia a esta lista de prefijos cuenta como 20 reglas.
+ Una regla que hace referencia a una lista de prefijos administrados por AWS cuenta como el peso de la lista de prefijos. Por ejemplo, si el peso de la lista de prefijos es 10, una regla que haga referencia a esta lista de prefijos cuenta como 10 reglas. Para obtener más información, consulte [Listas de prefijos administradas por AWS disponibles](working-with-aws-managed-prefix-lists.md#available-aws-managed-prefix-lists).
## Reglas antiguas de los grupos de seguridad
Si su VPC tiene una conexión de emparejamiento de VPC con otra VPC, o si utiliza una VPC compartida con otra cuenta, la regla del grupo de seguridad puede hacer referencia a otro grupo de seguridad de la VPC del mismo nivel. Esto permite que los recursos asociados al grupo de seguridad al que se hace referencia y los asociados al grupo de seguridad que hace la referencia se comuniquen entre sí. Para obtener más información, consulte [Actualizar los grupos de seguridad para que hagan referencia a grupos de seguridad de VPC del mismo nivel](https://docs.aws.amazon.com/vpc/latest/peering/vpc-peering-security-groups.html) en la *Guía de interconexión de Amazon VPC*.
Si tienes una regla del grupo de seguridad que hace referencia a un grupo de seguridad en una VPC emparejada o compartida y el grupo de seguridad en la VPC compartida o la conexión de emparejamiento de VPC se eliminan, la regla se marca como obsoleta. Las reglas obsoletas de los grupos de seguridad se pueden eliminar de la misma manera que cualquier otra regla del grupo de seguridad.
# Grupos de seguridad predeterminados para las VPC
Las VPC predeterminadas y las VPC que cree incluyen un grupo de seguridad predeterminado. El nombre del grupo de seguridad predeterminado es “default”.
Se recomienda crear grupos de seguridad para recursos o grupos de recursos específicos en lugar de utilizar el grupo de seguridad predeterminado. Sin embargo, si no asocia un grupo de seguridad con algunos recursos en el momento de la creación, los asociamos con el grupo de seguridad predeterminado. Por ejemplo, si no especifica un grupo de seguridad cuando lanza una instancia EC2, asociamos la instancia con el grupo de seguridad predeterminado para su VPC.
## Conceptos básicos de un grupo de seguridad predeterminado
+ Puede cambiar las reglas de un grupo de seguridad predeterminado.
+ El grupo de seguridad predeterminado no se puede eliminar. Si intenta eliminar el grupo de seguridad predeterminado, devolveremos el siguiente código de error: `Client.CannotDelete`.
## Reglas predeterminadas
En la tabla siguiente se describen las reglas de entrada predeterminadas del grupo de seguridad predeterminado.
| Origen | Protocolo | Rango de puerto | Descripción |
| --- | --- | --- | --- |
| sg-1234567890abcdef0 | Todos | Todos | Permite el tráfico entrante de todos los recursos asignados a este grupo de seguridad. El origen es el ID de este grupo de seguridad. |
En la tabla siguiente se describen las reglas de salida predeterminadas del grupo de seguridad predeterminado.
| Destino | Protocolo | Rango de puerto | Descripción |
| --- | --- | --- | --- |
| 0.0.0.0/0 | Todos | Todos | Permite todo el tráfico IPv4 saliente. |
| ::/0 | Todos | Todos | Permite todo el tráfico IPv6 saliente. Esta regla se agrega solo si su VPC tiene un bloque de CIDR IPv6 asociado. |
## Ejemplo
En el siguiente diagrama se muestra una VPC con un grupo de seguridad predeterminado, una puerta de enlace de Internet y una puerta de enlace de NAT. La seguridad predeterminada contiene solo sus reglas predeterminadas y está asociada con dos instancias de EC2 que se ejecutan en la VPC. En este escenario, cada instancia puede recibir tráfico entrante de la otra instancia en todos los puertos y protocolos. Las reglas predeterminadas no permiten que las instancias reciban tráfico de la puerta de enlace de Internet ni de la puerta de enlace de NAT. Si las instancias deben recibir tráfico adicional, se recomienda crear un grupo de seguridad con las reglas necesarias y asociar el grupo de seguridad nuevo a las instancias en lugar del grupo de seguridad predeterminado.
![\[Una VPC con dos subredes, un grupo de seguridad predeterminado, dos instancias de EC2, una puerta de enlace de Internet y puerta de enlace NAT\]](http://docs.aws.amazon.com/es_es/vpc/latest/userguide/images/default-security-group.png)
# Create a security group for your VPC (Crear un grupo de seguridad para la VPC)
Tu nube privada virtual (VPC) incluye un grupo de seguridad predeterminado. Puede crear grupos de seguridad adicionales para cada VPC. Los grupos de seguridad solo se pueden utilizar en la VPC para la que se creó.
De forma predeterminada, los grupos de seguridad nuevos comienzan con una única regla de salida que permite que todo el tráfico salga del recurso. Debe añadir reglas para permitir el tráfico entrante o restringir el tráfico saliente. Puede añadir reglas al crear un grupo de seguridad o más adelante. Para obtener más información, consulte [Reglas del grupo de seguridad](security-group-rules.md).
**Permisos necesarios**
Antes de comenzar, asegúrese de tener los permisos necesarios. Para obtener más información, consulte los siguientes temas:
+ [Administrar grupos de seguridad](vpc-policy-examples.md#vpc-security-groups-iam)
+ [Administración de reglas de grupos de seguridad](vpc-policy-examples.md#vpc-security-group-rules-iam)
**Para crear un grupo de seguridad con la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Grupos de seguridad**.
1. Elija **Create Security Group (Creación de grupo de seguridad)**.
1. Ingrese un nombre y una descripción para el grupo de seguridad. No puede cambiar el nombre ni la descripción de un grupo de seguridad después de crearlo.
1. En **VPC**, elija la VPC en la que desea crear los recursos a los que desea asociar el grupo de seguridad.
1. (Opcional) Para añadir reglas de entrada, elija **Reglas de entrada**. Para cada regla, elija **Agregar regla** y especifique el protocolo, el puerto y la fuente. Para obtener más información, consulte [Configuración de reglas de grupos de seguridad](working-with-security-group-rules.md).
1. (Opcional) Para añadir reglas de salida, seleccione **Reglas de salida**. Para cada regla, elija **Agregar regla** y especifique el protocolo, el puerto y el destino.
1. (Opcional) Para agregar una etiqueta, elija **Agregar etiqueta nueva** e ingrese la clave y el valor de la etiqueta.
1. Elija **Creación de grupo de seguridad**.
**Para crear un grupo de seguridad con AWS CLI**
Utilice el comando [create-security-group](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-security-group.html).
Alternativamente, puede crear un nuevo grupo de seguridad creando una copia de uno existente. Al copiar un grupo de seguridad, agregamos automáticamente las mismas reglas de entrada y salida que el grupo de seguridad original y usamos la misma VPC que el grupo de seguridad original. Escriba un nombre y una descripción para el nuevo grupo de seguridad. Si lo desea, puede elegir una VPC diferente y modificar las reglas de entrada y salida según sea necesario. Sin embargo, no puede copiar un grupo de seguridad de una región a otra.
**Para crear un grupo de seguridad basado en uno existente**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Grupos de seguridad**.
1. Seleccione un grupo de seguridad.
1. Seleccione **Acciones** y, a continuación, **Copiar al nuevo grupo de seguridad**.
1. Ingrese un nombre y una descripción para el grupo de seguridad.
1. (Opcional) Elija una VPC diferente si es necesario.
1. (Opcional) Agregue, elimine o edite las reglas del grupo de seguridad según sea necesario.
1. Elija **Creación de grupo de seguridad**.
# Configuración de reglas de grupos de seguridad
Después de crear un grupo de seguridad, puede agregar, actualizar y eliminar sus reglas de grupo de seguridad. Cuando agrega, actualiza o elimina una regla, esta se aplica automáticamente a todos los recursos asociados al grupo de seguridad.
**Permisos necesarios**
Antes de comenzar, asegúrese de tener los permisos necesarios. Para obtener más información, consulte [Administración de reglas de grupos de seguridad](vpc-policy-examples.md#vpc-security-group-rules-iam).
**Protocolos y puertos**
+ Con la consola, si selecciona un tipo predefinido, el **Protocolo** y el **Rango de puertos** se especifican automáticamente. Para introducir un rango de puertos, debe seleccionar uno de los siguientes tipos personalizados: **TCP personalizado** o **UDP personalizado**.
+ Con la AWS CLI, puede agregar una sola regla con un solo puerto mediante las opciones `--protocol` y `--port`. Para añadir varias reglas, o una regla con un rango de puertos, utilice la opción `--ip-permissions`.
**Orígenes y destinos**
+ Con la consola, puede especificar lo siguiente como origen de las reglas de entrada o como destino de las reglas de salida:
+ **Personalizado**: un bloque de CIDR de IPv4 y un bloque de CIDR de IPv6, un grupo de seguridad o una lista de prefijos.
+ **Anywhere-IPv4**: el bloque de CIDR IPv4 0.0.0.0/0.
+ **Anywhere-IPv6**: el bloque de CIDR ::/0 IPv6.
+ **Mi IP**: la dirección IPv4 pública de su equipo local.
+ Con la AWS CLI, puede especificar un bloque de CIDR de IPv4 mediante la opción `--cidr` o un grupo de seguridad mediante la opción `--source-group`. Para especificar una lista de prefijos o un bloque de CIDR de IPv6, utilice la opción `--ip-permissions`.
**aviso**
Si elige **Anywhere-IPv4**, permite el tráfico desde todas las direcciones IPv4. Si elige **Anywhere-IPv6**, permite el tráfico desde todas las direcciones IPv6. Se recomienda autorizar solo los rangos de direcciones IP específicos que necesitan acceso a sus recursos.
**Para añadir reglas a un grupo de seguridad con la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Grupos de seguridad**.
1. Seleccione el grupo de seguridad.
1. Para editar las reglas de entrada, seleccione **Editar reglas de entrada** en **Acciones** o en la pestaña **Reglas de entrada**.
1. Para agregar una regla, elija **Agregar regla** e ingrese el tipo, el protocolo, el puerto y la fuente de la regla.
Si el tipo es TCP o UDP, debe ingresar el rango de puertos que va a permitir. Para el protocolo ICMP personalizado, debe elegir el nombre del tipo de ICMP en **Protocol** (Protocolo) y, si se aplica, el nombre del código en **Port Range** (Rango de puertos). Si elige cualquier otro tipo, el protocolo y el rango de puertos se configurarán en su nombre.
1. Para actualizar una regla, cambie su protocolo, descripción y fuente según sea necesario. Sin embargo, no puede cambiar el tipo de fuente. Por ejemplo, si el origen es un bloque CIDR de IPv4, no puede especificar un bloque de CIDR de IPv6, una lista de prefijos o un grupo de seguridad.
1. Para eliminar una regla, pulse el botón **Eliminar**.
1. Para editar las reglas de salida, selecciona **Editar reglas de salida** en **Acciones** o en la pestaña **Reglas de salida**.
1. Para agregar una regla, elija **Agregar regla** e ingrese el tipo, el protocolo, el puerto y el destino de la regla. También puede introducir una descripción opcional.
Si el tipo es TCP o UDP, debe ingresar el rango de puertos que va a permitir. Para el protocolo ICMP personalizado, debe elegir el nombre del tipo de ICMP en **Protocol** (Protocolo) y, si se aplica, el nombre del código en **Port Range** (Rango de puertos). Si elige cualquier otro tipo, el protocolo y el rango de puertos se configurarán en su nombre.
1. Para actualizar una regla, cambie su protocolo, descripción y fuente según sea necesario. Sin embargo, no puede cambiar el tipo de fuente. Por ejemplo, si el origen es un bloque CIDR de IPv4, no puede especificar un bloque de CIDR de IPv6, una lista de prefijos o un grupo de seguridad.
1. Para eliminar una regla, pulse el botón **Eliminar**.
1. Seleccione **Guardar reglas**.
**Para configurar reglas del grupo de seguridad mediante la AWS CLI**
+ **Agregar**: utilice los comandos [authorize-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-ingress.html) y [authorize-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-egress.html).
+ **Eliminar**: utilice los comandos [revoke-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-ingress.html) y [revoke-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-egress.html).
+ **Modificar**: utilice los comandos [modify-security-group-rules](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-security-group-rules.html), [update-security-group-rule-descriptions-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/update-security-group-rule-descriptions-ingress.html), y [update-security-group-rule-descriptions-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/update-security-group-rule-descriptions-egress.html).
# Eliminación de un grupo de seguridad
Cuando ya no necesite un grupo de seguridad creado, puede eliminarlo.
**Requisitos**
+ El grupo de seguridad no se puede asociar a ningún recurso.
+ Una regla no puede hacer referencia al grupo de seguridad en otro grupo de seguridad.
+ El grupo de seguridad no puede ser el grupo de seguridad predeterminado para una VPC.
**Para eliminar un grupo de seguridad con la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Security Groups** (Grupos de seguridad).
1. Seleccione un grupo de seguridad y elija **Acciones**, **Eliminar grupo de seguridad**.
1. Si ha seleccionado más de un grupo de seguridad, se le solicitará que lo confirme. Si algunos de los grupos de seguridad no se pueden eliminar, mostramos el estado de cada grupo de seguridad, que indica si se eliminará. Para confirmar la eliminación, use **Eliminar**.
1. Elija **Eliminar**.
**Para eliminar un grupo de seguridad mediante la AWS CLI**
Utilice el comando [delete-security-group](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-security-group.html).
# Asociación de grupos de seguridad a varias VPC
Si tiene cargas de trabajo que se ejecutan en varias VPC que comparten requisitos de seguridad de red, puede utilizar la característica de Asociaciones de VPC a grupos de seguridad para asociar un grupo de seguridad a varias VPC de la misma región. Esto le permite administrar y mantener los grupos de seguridad en un solo lugar para varias VPC de su cuenta.
![\[Diagrama del grupo de seguridad asociado a dos VPC.\]](http://docs.aws.amazon.com/es_es/vpc/latest/userguide/images/sec-group-vpc-assoc.png)
En el diagrama anterior, se muestra la cuenta A de AWS con dos VPC. Cada una de las VPC tiene cargas de trabajo que se ejecutan en una subred privada. En este caso, las cargas de trabajo de las subredes de la VPC A y B comparten los mismos requisitos de tráfico de red, por lo que la cuenta A puede usar la característica de asociación de VPC al grupo de seguridad para asociar el grupo de seguridad de la VPC A con la VPC B. Cualquier actualización realizada en el grupo de seguridad asociado se aplica automáticamente al tráfico de las cargas de trabajo de la subred de la VPC B.
**Requisitos de la característica de Asociación de VPC a grupos de seguridad**
+ Debe ser propietario de la VPC o tener una de las subredes de la VPC compartida con usted para asociar un grupo de seguridad a esta.
+ La VPC y los grupos de seguridad deben estar en la misma región de AWS.
+ No se puede asociar un grupo de seguridad predeterminado con otra VPC ni asociar un grupo de seguridad con una VPC predeterminada.
+ Tanto el propietario del grupo de seguridad como el propietario de la VPC pueden ver las asociaciones de la VPC al grupo de seguridad.
**Servicios que admiten esta característica**
+ Amazon API Gateway (solo API de REST)
+ AWS Auto Scaling
+ CloudFormation
+ Amazon EC2
+ Amazon EFS
+ Amazon EKS
+ Amazon FSx
+ AWS PrivateLink
+ Amazon Route 53
+ Elastic Load Balancing
+ Equilibrador de carga de aplicación
+ Equilibrador de carga de red
## Asociación de un grupo de seguridad a otra VPC
En esta sección, se explica cómo utilizar Consola de administración de AWS y AWS CLI para asociar un grupo de seguridad a las VPC.
------
#### [ AWS Management Console ]
**Para asociar un grupo de seguridad a otra VPC**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación izquierdo, elija **Grupos de seguridad**.
1. Elija un grupo de seguridad para ver sus detalles.
1. Elija la pestaña **Asociaciones de VPC**.
1. Elija **Asociar VPC**.
1. En **ID de la VPC**, elija una VPC para asociarla con el grupo de seguridad.
1. Elija **Asociar VPC**.
------
#### [ Command line ]
**Para asociar un grupo de seguridad a otra VPC**
1. Cree una asociación de VPC con [associate-security-group-vpc](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/associate-security-group-vpc.html).
1. Compruebe el estado de una asociación de VPC con [describe-security-group-vpc-associations](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/describe-security-group-vpc-associations.html) y espere a que aparezca el estado `associated`.
------
La VPC ya está asociada al grupo de seguridad.
Una vez que haya asociado la VPC al grupo de seguridad, puede, por ejemplo, [lanzar una instancia en la VPC y elegir este nuevo grupo de seguridad](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/LaunchingAndUsingInstances.html) o [hacer referencia a este grupo de seguridad en una regla de grupo de seguridad existente](security-group-rules.md#security-group-referencing).
## Disociación de un grupo de seguridad de otra VPC
En esta sección, se explica cómo usar la Consola de administración de AWS y la AWS CLI para disociar un grupo de seguridad de las VPC. Puede que desee hacerlo si su objetivo es eliminar el grupo de seguridad. Los grupos de seguridad no se pueden eliminar si están asociados. Solo puede disociar un grupo de seguridad si no hay interfaces de red en la VPC asociada que utilice ese grupo de seguridad.
------
#### [ AWS Management Console ]
**Para disociar un grupo de seguridad de una VPC**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación izquierdo, elija **Grupos de seguridad**.
1. Elija un grupo de seguridad para ver sus detalles.
1. Elija la pestaña **Asociaciones de VPC**.
1. Elija **Disociar VPC**.
1. En **ID de la VPC**, elija una VPC para disociarla del grupo de seguridad.
1. Elija **Disociar VPC**.
1. Consulte el **Estado** de la disociación en la pestaña de asociaciones de la VPC y espere a que aparezca el estado `disassociated`.
------
#### [ Command line ]
**Cómo disociar un grupo de seguridad de una VPC**
1. Disocie una asociación de VPC con [disassociate-security-group-vpc](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/disassociate-security-group-vpc.html).
1. Compruebe el estado de una disociación de la VPC con [describe-security-group-vpc-associations](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/describe-security-group-vpc-associations.html) y espere a que aparezca el estado `disassociated`.
------
La VPC ya se disoció del grupo de seguridad.
# Compartir grupos de seguridad con AWS Organizations
La característica Grupo de seguridad compartido le permite compartir un grupo de seguridad con otras cuentas de AWS Organizations dentro de la misma región de AWS y hacer que el grupo de seguridad esté disponible para que lo utilicen esas cuentas.
En el siguiente diagrama, se muestra cómo puede utilizar la característica Grupo de seguridad compartido para simplificar la administración de los grupos de seguridad en todas las cuentas de su AWS Organizations:
![\[Diagrama del uso compartido de grupo de seguridad con otras cuentas en una subred de VPC compartida.\]](http://docs.aws.amazon.com/es_es/vpc/latest/userguide/images/sec-group-sharing.png)
En este diagrama, se muestran tres cuentas que forman parte de la misma organización. La cuenta A comparte una subred de VPC con las cuentas B y C. La cuenta A comparte el grupo de seguridad con las cuentas B y C mediante la característica de Grupos de seguridad compartidos. A continuación, las cuentas B y C utilizan ese grupo de seguridad cuando lanzan instancias en la subred compartida. Esto permite a la cuenta A administrar el grupo de seguridad; cualquier actualización del grupo de seguridad se aplica a los recursos que las cuentas B y C tienen en ejecución en la subred de VPC compartida.
**Requisitos de la característica de Grupos de seguridad compartidos**
+ Esta característica solo está disponible para las cuentas de la misma organización en AWS Organizations. Debe habilitar el [uso compartido de recursos](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html) en AWS Organizations.
+ La cuenta que comparte el grupo de seguridad debe ser propietaria tanto de la VPC como del grupo de seguridad.
+ No puede compartir los grupos de seguridad predeterminados.
+ No puede compartir grupos de seguridad que estén en una VPC predeterminada.
+ Las cuentas participantes pueden crear grupos de seguridad en una VPC compartida, pero no pueden compartir esos grupos de seguridad.
+ Se requiere un conjunto mínimo de permisos para que una entidad principal de IAM comparta un grupo de seguridad con AWS RAM. Use las política de IAM administradas `AmazonEC2FullAccess` y `AWSResourceAccessManagerFullAccess` para garantizar que las entidades principales de IAM dispongan de los permisos necesarios para compartir y utilizar los grupos de seguridad compartidos. Si utiliza una política de IAM personalizada, las acciones `c2:PutResourcePolicy` y `ec2:DeleteResourcePolicy` son obligatorias. Estas son acciones de IAM solo de permiso. Si a una entidad principal de IAM no se le conceden estos permisos, se producirá un error al intentar compartir el grupo de seguridad mediante la AWS RAM.
**Servicios que admiten esta característica**
+ Amazon API Gateway
+ Amazon EC2
+ Amazon ECS
+ Amazon EFS
+ Amazon EKS
+ Amazon EMR
+ Amazon FSx
+ Amazon ElastiCache
+ AWS Elastic Beanstalk
+ AWS Glue
+ Amazon MQ
+ Amazon SageMaker AI
+ Elastic Load Balancing
+ Equilibrador de carga de aplicación
+ Equilibrador de carga de red
**Cómo afecta esta característica a las cuotas existentes**
Se aplican [cuotas de los grupos de seguridad](amazon-vpc-limits.md#vpc-limits-security-groups). Sin embargo, para la cuota “Grupos de seguridad por interfaz de red”, si un participante utiliza grupos propios y compartidos en una interfaz de red elástica (ENI), se aplica la cuota mínima de propietario y participante.
Ejemplo para demostrar cómo esta característica afecta a la cuota:
+ Cuota de cuentas de propietarios: 4 grupos de seguridad por interfaz
+ Cuota de cuentas de participantes: 5 grupos de seguridad por interfaz.
+ El propietario comparte los grupos SG-O1, SG-O2, SG-O3, SG-O4 y SG-O5 con el participante. El participante ya tiene sus propios grupos en la VPC: SG-P1, SG-P2, SG-P3, SG-P4, SG-P5.
+ Si el participante crea una ENI y utiliza solo sus propios grupos, puede asociar los 5 grupos de seguridad (SG-P1, SG-P2, SG-P3, SG-P4 y SG-P5), ya que esa es su cuota.
+ Si el participante crea una ENI y utiliza algún grupo compartido en ella, solo podrá asociar hasta 4 grupos. En este caso, la cuota de una ENI de este tipo es la cuota mínima de propietarios y participantes. Las posibles configuraciones válidas tendrán el siguiente aspecto:
+ SG-O1, SG-P1, SG-P2, SG-P3
+ SG-O1, SG-O2, SG-O3, SG-O4
## Cómo compartir un grupo de seguridad
En esta sección, se explica cómo usar la Consola de administración de AWS y la AWS CLI para compartir un grupo de seguridad con otras cuentas de su organización.
------
#### [ AWS Management Console ]
**Para compartir un grupo de seguridad**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación izquierdo, elija **Grupos de seguridad**.
1. Elija un grupo de seguridad para ver sus detalles.
1. Elija la pestaña **Sharing (Compartir)** .
1. Elija **Compartir grupo de seguridad**.
1. Elija **Crear recurso compartido**. Como resultado, se abre la consola de AWS RAM, donde se creará el recurso compartido para el grupo de seguridad.
1. Ingrese un **Nombre** para el recurso compartido.
1. En **Recursos (opcional)**, elija **Grupos de seguridad**.
1. Elija un grupo de seguridad. El grupo de seguridad no puede ser un grupo de seguridad predeterminado ni estar asociado a la VPC predeterminada.
1. Elija **Siguiente**.
1. Revise las acciones que las entidades principales podrán realizar y seleccione **Siguiente**.
1. En **Entidades principales (opcional)**, seleccione **Permitir compartir solo dentro de la organización.**
1. En **Entidades principales**, seleccione uno de los siguientes tipos de entidades principales e introduzca los números correspondientes:
+ **Cuenta de AWS**: el número de una cuenta de su organización.
+ **Organización**: el ID de AWS Organizations.
+ **Unidad organizativa (OU)**: el ID de una OU de la organización.
+ **Rol de IAM**: el ARN de un rol de IAM. La cuenta que creó el rol debe ser miembro de la misma organización que la cuenta que creó este recurso compartido.
+ **Usuario de IAM**: el ARN de un usuario de IAM. La cuenta que creó el usuario debe ser miembro de la misma organización que la cuenta que creó este recurso compartido.
+ **Entidad principal del servicio**: no puede compartir un grupo de seguridad con una entidad principal del servicio.
1. Seleccione **Añadir**.
1. Elija **Siguiente**.
1. Elija **Crear recurso compartido**.
1. En **Recursos compartidos**, espere que el **Estado** sea `Associated`. Si se produce un error en la asociación de grupos de seguridad puede deberse a una de las limitaciones que se han indicado anteriormente. Consulte los detalles del grupo de seguridad y la pestaña **Compartir** de la página de detalles para ver cualquier mensaje relacionado con los motivos por los que un grupo de seguridad no se puede compartir.
1. Vuelva a la lista de grupos de seguridad de la consola de la VPC.
1. Elija el grupo de seguridad que compartió.
1. Elija la pestaña **Sharing (Compartir)** . Su recurso de AWS RAM debería aparecer allí. Si no es así, es posible que se haya producido un error al crear el recurso compartido y que tenga que volver a crearlo.
------
#### [ Command line ]
**Para compartir un grupo de seguridad**
1. En primer lugar, debe crear un recurso compartido para el grupo de seguridad que desee compartir con AWS RAM. Consulte [Crear un recurso compartido en AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html) en la *Guía del usuario de AWS RAM* para conocer los pasos para crear un recurso compartido con AWS RAM usando la AWS CLI
1. Para ver las asociaciones de recursos compartidos creadas, utilice [get-resource-share-associations](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/get-resource-share-associations.html).
------
El grupo de seguridad ya está compartido. Puede seleccionar el grupo de seguridad cuando [lanza una instancia de EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/LaunchingAndUsingInstances.html) en una subred compartida dentro de la misma VPC.
## Detención de la compartición de un grupo de seguridad
En esta sección, se explica cómo utilizar la Consola de administración de AWS y la AWS CLI para dejar de compartir un grupo de seguridad con otras cuentas de la organización.
------
#### [ AWS Management Console ]
**Cómo dejar de compartir un grupo de seguridad**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación izquierdo, elija **Grupos de seguridad**.
1. Elija un grupo de seguridad para ver sus detalles.
1. Elija la pestaña **Sharing (Compartir)** .
1. Elija un recurso compartido de un grupo de seguridad y elija **Dejar de compartir**.
1. Seleccione **Sí, dejar de compartir**.
------
#### [ Command line ]
**Cómo dejar de compartir un grupo de seguridad**
Elimine el recurso compartido con [delete-resource-share](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/delete-resource-share.html).
------
El grupo de seguridad ya no está compartido. Cuando el propietario deja de compartir un grupo de seguridad, se aplican las siguientes reglas:
+ Las interfaces de red elásticas (ENI) existentes participantes siguen recibiendo las actualizaciones de reglas de los grupos de seguridad que se realicen en los grupos de seguridad no compartidos. Dejar de compartir solo impide que el participante cree nuevas asociaciones con el grupo no compartido.
+ Los participantes ya no pueden asociar el grupo de seguridad no compartido a ninguna ENI de su propiedad.
+ Los participantes pueden describir y eliminar las ENI que siguen asociadas a los grupos de seguridad no compartidos.
+ Si los participantes siguen teniendo ENI asociadas al grupo de seguridad no compartido, el propietario no puede eliminarlo. El propietario solo puede eliminar el grupo de seguridad después de que los participantes disocien (eliminen) el grupo de seguridad de todas sus ENI.
+ Los participantes no pueden lanzar nuevas instancias de EC2 utilizando una ENI asociada a un grupo de seguridad no compartido.
# Control del tráfico de la subred con listas de control de acceso a la red
Una *lista de control de acceso (ACL) de red* permite o deniega el tráfico entrante o saliente específico en el nivel de subred. Puede usar la ACL de red predeterminada para su VPC o puede crear una ACL de red personalizada para su VPC con reglas similares a las reglas de sus grupos de seguridad para agregar una capa de seguridad adicional a su VPC.
El uso de ACL de red no supone ningún cargo adicional.
En el siguiente diagrama se muestra una VPC con dos subredes. Cada subred tiene una ACL de red. Cuando el tráfico entra en la VPC (por ejemplo, desde una VPC interconectada, una conexión VPN o Internet), el enrutador envía el tráfico a su destino. La ACL de red A determina qué tráfico destinado a la subred 1 puede entrar en la subred 1, y qué tráfico destinado a una ubicación fuera de la subred 1 puede salir de la subred 1. Del mismo modo, la ACL de red B determina qué tráfico puede entrar y salir de la subred 2.
![\[Una VPC con dos subredes y una ACL de red para cada subred.\]](http://docs.aws.amazon.com/es_es/vpc/latest/userguide/images/network-acl.png)
Para obtener más información acerca de las diferencias entre los grupos de seguridad y las ACL de red, consulte [Comparar grupos de seguridad y ACL de red](infrastructure-security.md#VPC_Security_Comparison).
**Topics**
+ [Conceptos básicos de la ACL de red](#nacl-basics)
+ [Reglas de ACL de red](nacl-rules.md)
+ [ACL de red predeterminada para una VPC](default-network-acl.md)
+ [ACL de red personalizadas para su VPC](custom-network-acl.md)
+ [Detección de la MTU de la ruta y las ACL de red](path_mtu_discovery.md)
+ [Creación de una ACL de red para su VPC](create-network-acl.md)
+ [Administración de las asociaciones de ACL de red para su VPC](network-acl-associations.md)
+ [Eliminación de una ACL de red para su VPC](delete-network-acl.md)
+ [Ejemplo: controlar el acceso a las instancias de una subred](nacl-examples.md)
## Conceptos básicos de la ACL de red
A continuación se describen los conceptos básicos que debe saber acerca de las ACL de red antes de comenzar.
**Asociaciones de ACL de red**
+ Cada subred de su VPC debe estar asociada a una ACL de red. Si no asocia una subred de forma explícita a una ACL de red, la subred se asociará de manera automática a la [ACL de red predeterminada](default-network-acl.md).
+ Puede crear una [ACL de red personalizada](custom-network-acl.md) y asociarla a una subred para permitir o denegar el tráfico entrante o saliente específico a nivel de subred.
+ Puede asociar una ACL de red con varias subredes. Sin embargo, una subred sólo puede asociarse a una ACL de red a la vez. Al asociar una ACL de red a una subred, se quita la asociación anterior.
**Reglas de ACL de red**
+ Una ACL de red tiene reglas de entrada y reglas de salida. Hay [cuotas (o límites) en cuanto al número de reglas que puede tener por cada ACL de red](amazon-vpc-limits.md#vpc-limits-nacls). Cada regla puede permitir o denegar el tráfico. Cada regla tiene un número del 1 al 32 766. Evaluamos las reglas en orden, empezando por la regla numerada más baja, al decidir permitir o denegar el tráfico. Si el tráfico coincide con una regla, se aplica la regla y no evaluamos ninguna regla adicional. Le recomendamos que, para empezar, cree reglas en incrementos (por ejemplo, incrementos de 10 o 100), de forma que pueda insertar reglas nuevas más adelante de ser necesario.
+ Evaluamos las reglas de ACL de red cuando el tráfico entra y sale de la subred, no cuando se enruta dentro de una subred.
+ Las NACL *no tienen estado*, lo que significa que no se guarda la información sobre el tráfico enviado o recibido anteriormente. Si, por ejemplo, crea una regla de NACL para permitir que cierto tráfico entrante específico llegue a una subred, no se permitirán las respuestas a ese tráfico automáticamente. Esto contrasta con la forma en que funcionan los grupos de seguridad. Los grupos de seguridad *tienen estado*, lo que significa que se guarda la información sobre el tráfico enviado o recibido anteriormente. Si, por ejemplo, un grupo de seguridad permite el tráfico entrante a una instancia EC2, las respuestas se permiten de forma automática independientemente de las reglas de salida del grupo de seguridad.
**Limitaciones**
+ Existen cuotas (también conocidas como límites) para ACL de red. Para obtener más información, consulte [ACL de red](amazon-vpc-limits.md#vpc-limits-nacls).
+ Las ACL de red no pueden bloquear las solicitudes de DNS hacia Route 53 Resolver (también conocido como dirección IP VPC\$12 o AmazonProvidedDNS) ni desde este. Para filtrar las solicitudes de DNS a través de Route 53 Resolver, puede activar el [Firewall de DNS de Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall.html).
+ Las ACL de red no pueden bloquear el tráfico hacia el Servicio de metadatos de la instancia (IMDS). Para administrar el acceso al IMDS, consulte [Configurar las opciones de metadatos de la instancia](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-options.html) en la *Guía del usuario de Amazon EC2*.
+ Las ACL de red de Amazon no filtran el tráfico destinado a los siguientes servicios ni desde estos:
+ Servicios de nombres de dominio de Amazon (DNS)
+ Protocolo de configuración dinámica de host de Amazon (DHCP)
+ Metadatos de la instancia de Amazon EC2
+ Puntos de conexión de metadatos de tareas de Amazon ECS
+ Activación de licencias para instancias de Windows
+ Servicio de sincronización temporal de Amazon
+ Direcciones IP reservadas del enrutador de la VPC predeterminado
# Reglas de ACL de red
Puede añadir o quitar reglas de la ACL de red predeterminada, o bien crear ACL de red adicionales para su VPC. Al añadir o quitar reglas de una ACL de red, los cambios se aplicarán automáticamente a las subredes con las que esté asociada.
Las siguientes son las partes de una regla de ACL de red:
+ **Número de regla**. Las reglas se evalúan comenzando por la regla con el número más bajo. Cuando una regla coincide con el tráfico, esta se aplica independientemente de si hay una regla con un número más alto que la pueda contradecir.
+ **Tipo**. El tipo de tráfico; por ejemplo, SSH. También puede especificar todo el tráfico o un rango personalizado.
+ **Protocolo**. Puede especificar cualquier protocolo que tenga un número de protocolo estándar. Para obtener más información, consulte [Protocol Numbers](http://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml). Si especifica ICMP como el protocolo, puede especificar cualquiera de los tipos y códigos de ICMP.
+ **Intervalo de puertos**. El puerto de escucha o el rango de puertos para el tráfico. Por ejemplo, 80 para el tráfico HTTP.
+ **Source**. [Solo reglas de entrada] Origen del tráfico (rango de CIDR).
+ **Destino**. [Solo reglas de salida] Destino del tráfico (rango de CIDR).
+ **Permitir/Denegar**. *permitir* o *denegar* el tráfico especificado.
Para ver ejemplos de reglas, consulte [Ejemplo: controlar el acceso a las instancias de una subred](nacl-examples.md).
## Consideraciones
+ Existen cuotas (también conocidas como límites) para el número de reglas por ACL de red. Para obtener más información, consulte [Cuotas de Amazon VPC](amazon-vpc-limits.md).
+ Al añadir o eliminar una regla de una ACL, las subredes asociadas a la ACL estarán sujetas a ese cambio. Los cambios surten efecto después de un corto período de tiempo.
+ Si agrega una regla mediante una herramienta de línea de comandos o la API de Amazon EC2, el intervalo de CIDR se modifica automáticamente a la forma canónica. Por ejemplo, si especifica `100.68.0.18/18` en el rango de CIDR, creamos una regla con un rango de CIDR `100.68.0.0/18`.
+ Puede que desee agregar una regla de denegación en caso de que deba abrir un amplio rango de puertos, pero haya ciertos puertos dentro de ese rango que quiera denegar. Asegúrese de asignar a la regla de denegación un número inferior que la regla que permite el tráfico en el rango más amplio de puertos.
+ Si agrega y elimina reglas de una ACL de red al mismo tiempo, tenga cuidado. Si elimina reglas de entrada o de salida y, a continuación, agrega más entradas nuevas de las permitidas (consulte [Cuotas de Amazon VPC](amazon-vpc-limits.md)), se quitarán las entradas seleccionadas para eliminación y las nuevas entradas *no se agregarán*. Esto puede provocar problemas de conectividad inesperados e impedir involuntariamente el acceso a su VPC y desde esta.
# ACL de red predeterminada para una VPC
Su nube privada virtual (VPC) incluye de forma automática una ACL de red predeterminada. Una ACL de red predeterminada está configurada para permitir todo el tráfico entrante y saliente de las subredes con las que está asociada. Cada ACL de red también incluye reglas cuyo número de regla es un asterisco (\$1). Estas reglas garantizan que si un paquete no coincide con ninguna de las reglas numeradas, se denegará.
Puede modificar una ACL de red predeterminada si agrega reglas o elimina las reglas numeradas predeterminadas. No puede eliminar una regla cuyo número de regla es un asterisco.
**Reglas de entrada predeterminadas**
En la tabla siguiente, se muestran las reglas de entrada predeterminadas para una ACL de red predeterminada. Las reglas para IPv6 se agregan solo si crea la VPC con un bloque de CIDR IPv6 asociado o asocia un bloque de CIDR IPv6 a la VPC. Sin embargo, si ha modificado las reglas de entrada de la ACL de red predeterminada, no se agregará la una regla que permite todo el tráfico IPv6 entrante cuando asocie un bloque de IPv6 con su VPC.
| Regla n.º | Tipo | Protocolo | Intervalo de puertos | Fuente | Permitir/Denegar |
| --- | --- | --- | --- | --- | --- |
| 100 | Todo el tráfico IPv4 | Todos | Todos | 0.0.0.0/0 | PERMITIR |
| 101 | Todo el tráfico IPv6 | Todos | Todos | ::/0 | PERMITIR |
| \$1 | Todo el tráfico | Todos | Todos | 0.0.0.0/0 | DENY |
| \$1 | Todo el tráfico IPv6 | Todos | Todos | ::/0 | DENY |
**Reglas de salida predeterminadas**
En la tabla siguiente, se muestran las reglas de salida predeterminadas para una ACL de red predeterminada. Las reglas para IPv6 se agregan solo si crea la VPC con un bloque de CIDR IPv6 asociado o asocia un bloque de CIDR IPv6 a la VPC. Sin embargo, si ha modificado las reglas de salida de la ACL de red predeterminada, no se agregará la una regla que permite todo el tráfico IPv6 de salida cuando asocie un bloque de IPv6 con su VPC.
| Regla n.º | Tipo | Protocolo | Rango de puerto | Destino | Permitir/Denegar |
| --- | --- | --- | --- | --- | --- |
| 100 | Todo el tráfico | Todos | Todos | 0.0.0.0/0 | PERMITIR |
| 101 | Todo el tráfico IPv6 | Todos | Todos | ::/0 | PERMITIR |
| \$1 | Todo el tráfico | Todos | Todos | 0.0.0.0/0 | DENY |
| \$1 | Todo el tráfico IPv6 | Todos | Todos | ::/0 | DENY |
# ACL de red personalizadas para su VPC
Puede crear una ACL de red personalizada y asociarla a una subred para permitir o denegar el tráfico entrante o saliente específico a nivel de subred. Para obtener más información, consulte [Creación de una ACL de red para su VPC](create-network-acl.md).
Cada ACL de red incluye una regla de entrada y una regla de salida predeterminadas cuyo número de regla es un asterisco (\$1). Estas reglas garantizan que si un paquete no coincide con ninguna de las reglas, se denegará.
Puede modificar una ACL de red predeterminada si agrega o elimina reglas. No puede eliminar una regla cuyo número de regla es un asterisco.
Para todas las reglas que agregue, debe haber una regla de entrada o salida que permita el tráfico de respuesta. Para obtener más información acerca de cómo seleccionar el rango de puerto efímero correcto, consulte [Puertos efímeros](#nacl-ephemeral-ports).
**Ejemplo de reglas de entrada**
En la tabla siguiente, se muestran las reglas de entrada para una ACL de red. Las reglas para IPv6 se agregan solo si la VPC tiene un bloque de CIDR IPv6 asociado. El tráfico IPv4 e IPv6 se evalúan por separado. Por lo tanto, ninguna de las reglas para el tráfico IPv4 se aplican a las del tráfico IPv6. Puede agregar reglas de IPv6 junto a las reglas de IPv4 correspondientes o agregar las reglas de IPv6 después de la última regla de IPv4.
Cuando un paquete llega a la subred, lo evaluamos según las reglas de entrada de la ACL de red con la que está asociada la subred, comenzando desde la regla con el número inferior. Por ejemplo, supongamos que hay tráfico IPv4 destinado al puerto HTTPS (443). El paquete no coincide con las reglas 100 o 105. Cumple con la regla 110, que permite que el tráfico entre en la subred. Si el paquete se ha destinado al puerto 139 (NetBIOS), no se le aplica ninguna de las reglas numeradas, así que la regla \$1 para el tráfico IPv4 termina por rechazar el paquete.
| Regla n.º | Tipo | Protocolo | Intervalo de puertos | Fuente | Permitir/Denegar | Comentarios |
| --- | --- | --- | --- | --- | --- | --- |
| 100 | HTTP | TCP | 80 | 0.0.0.0/0 | PERMITIR | Permite el tráfico HTTP entrante de cualquier dirección IPv4. |
| 105 | HTTP | TCP | 80 | ::/0 | PERMITIR | Permite el tráfico HTTP entrante de cualquier dirección IPv6. |
| 110 | HTTPS | TCP | 443 | 0.0.0.0/0 | PERMITIR | Permite el tráfico HTTPS entrante de cualquier dirección IPv4. |
| 115 | HTTPS | TCP | 443 | ::/0 | PERMITIR | Permite el tráfico HTTPS entrante de cualquier dirección IPv6. |
| 120 | SSH | TCP | 22 | *192.0.2.0/24* | PERMITIR | Permite el tráfico SSH entrante del rango de direcciones IPv4 públicas de su red doméstica (a través de la gateway de Internet). |
| 140 | TCP personalizada | TCP | *32768-65535* | 0.0.0.0/0 | PERMITIR | Permite el tráfico IPv4 de retorno de entrada de Internet (para solicitudes que se originan en la subred). |
| 145 | TCP personalizada | TCP | *32768-65535* | ::/0 | PERMITIR | Permite el tráfico IPv6 de retorno entrante de Internet (para solicitudes que se originan en la subred). |
| \$1 | Todo el tráfico | Todos | Todos | 0.0.0.0/0 | DENEGAR | Deniega todo el tráfico IPv4 entrante no controlado por ninguna regla precedente (no modificable). |
| \$1 | Todo el tráfico | Todos | Todos | ::/0 | DENEGAR | Deniega todo el tráfico IPv6 entrante no controlado por ninguna regla precedente (no modificable). |
**Ejemplo de reglas de salida**
En la tabla siguiente, se muestran reglas de salida de ejemplo para una ACL de red personalizada. Las reglas para IPv6 se agregan solo si la VPC tiene un bloque de CIDR IPv6 asociado. El tráfico IPv4 e IPv6 se evalúan por separado. Por lo tanto, ninguna de las reglas para el tráfico IPv4 se aplican a las del tráfico IPv6. Puede agregar reglas de IPv6 junto a las reglas de IPv4 correspondientes o agregar las reglas de IPv6 después de la última regla de IPv4.
| Regla n.º | Tipo | Protocolo | Rango de puerto | Destino | Permitir/Denegar | Comentarios |
| --- | --- | --- | --- | --- | --- | --- |
| 100 | HTTP | TCP | 80 | 0.0.0.0/0 | PERMITIR | Permite el tráfico HTTP IPv4 saliente de la subred a Internet. |
| 105 | HTTP | TCP | 80 | ::/0 | PERMITIR | Permite el tráfico HTTP IPv6 saliente de la subred a Internet. |
| 110 | HTTPS | TCP | 443 | 0.0.0.0/0 | PERMITIR | Permite el tráfico HTTPS IPv4 saliente de la subred a Internet. |
| 115 | HTTPS | TCP | 443 | ::/0 | PERMITIR | Permite el tráfico HTTPS IPv6 saliente de la subred a Internet. |
| 120 | TCP personalizada | TCP | *1024-65535* | *192.0.2.0/24* | PERMITIR | Permite las respuestas de salida al tráfico SSH desde su red doméstica. |
| 140 | TCP personalizada | TCP | *32768-65535* | 0.0.0.0/0 | PERMITIR | Permite las respuestas IPv4 de salida a clientes de Internet (por ejemplo, ofrecer páginas web). |
| 145 | TCP personalizada | TCP | *32768-65535* | ::/0 | PERMITIR | Permite las respuestas IPv6 de salida a clientes de Internet (por ejemplo, ofrecer páginas web). |
| \$1 | Todo el tráfico | Todos | Todos | 0.0.0.0/0 | DENY | Deniega todo el tráfico IPv4 de salida no controlado por ninguna regla precedente. |
| \$1 | Todo el tráfico | Todos | Todos | ::/0 | DENY | Deniega todo el tráfico IPv6 de salida no controlado por ninguna regla precedente. |
## Puertos efímeros
La ACL de red de ejemplo en la sección anterior utiliza un rango de puertos efímeros de 32768-65535. No obstante, puede que desee utilizar un rango diferente para sus ACL de red, dependiendo del tipo de cliente que esté utilizando o con el que se esté comunicando.
El cliente que inicia la solicitud elige el rango de puertos efímeros. El rango varía en función del sistema operativo del cliente.
+ Muchos kernels de Linux (incluido el kernel de Amazon Linux) utilizan puertos 32768-61000.
+ Las solicitudes que se originan desde Elastic Load Balancing utilizan puertos 1024-65535.
+ Los sistemas operativos Windows con Windows Server 2003 utilizan los puertos 1025-5000.
+ Windows Server 2008 y las versiones posteriores utilizan los puertos 49152-65535.
+ Una gateway NAT utiliza los puertos 1024-65535.
+ Las funciones de AWS Lambda utilizan los puertos 1024-65535.
Por ejemplo, si una solicitud llega a un servidor web en su VPC desde un cliente de Windows 10 en Internet, su ACL de red deberá tener una regla saliente para permitir el tráfico destinado a los puertos 49152 a 65535.
Si una instancia de su VPC es el cliente que inicia una solicitud, su ACL de red deberá tener una regla de entrada para permitir el tráfico destinado a los puertos efímeros específicos del sistema operativo de la instancia.
En la práctica, para cubrir los distintos tipos de clientes que pueden iniciar tráfico a instancias públicas en su VPC, puede abrir los puertos efímeros 1024-65535. Sin embargo, también puede añadir reglas a la ACL para denegar tráfico en puertos malintencionados en ese rango. Asegúrese de colocar las reglas denegar en la tabla antes de las reglas permitir que abren el amplio rango de puertos efímeros.
## ACL de red personalizadas y otros servicios de AWS
Si crea una ACL de red personalizada, tenga en cuenta cómo podría afectar a los recursos que crea que utilizan otros servicios de AWS.
Con Elastic Load Balancing, si la subred para las instancias backend tiene una ACL de red en la que ha agregado una regla *denegar* para todo el tráfico con un origen de `0.0.0.0/0` o el CIDR de la subred, el balanceador de carga no puede realizar ninguna comprobación de estado en las instancias. Para obtener más información acerca de las reglas de ACL de red recomendadas para sus balanceadores de carga e instancias del backend, consulte los siguientes:
+ [ACL de red para el equilibrador de carga de aplicación](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-troubleshooting.html)
+ [ACL de red para el equilibrador de carga de red](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/target-group-register-targets.html#network-acls)
+ [ACL de red para el equilibrador de carga clásico](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-vpc-network-acls.html)
## Solución de problemas de accesibilidad
Reachability Analyzer es una herramienta de análisis de configuración estática. Utilice Reachability Analyzer para analizar y depurar la accesibilidad de la red entre dos recursos en la VPC. Reachability Analyzer produce detalles salto a salto de la ruta virtual entre estos recursos cuando son accesibles y, en caso contrario, identifica el componente de bloqueo. Por ejemplo, puede identificar reglas de ACL de red faltantes o mal configuradas.
Para obtener más información, consulte la [Guía del Analizador de accesibilidad](https://docs.aws.amazon.com/vpc/latest/reachability/).
# Detección de la MTU de la ruta y las ACL de red
La detección de la MTU de la ruta se utiliza para determinar la MTU de la ruta entre dos dispositivos. La MTU de la ruta es tamaño máximo del paquete admitido en la ruta entre el host de origen y el host receptor.
Para IPv4, cuando un host envía un paquete mayor que la MTU del host receptor o que es mayor que la MTU de un dispositivo a lo largo de la ruta, el host o dispositivo receptor descarta el paquete y, a continuación, devuelve el siguiente mensaje ICMP: `Destination Unreachable: Fragmentation Needed and Don't Fragment was Set` (Tipo 3, código 4). Esto indica al host transmisor que divida la carga útil en varios paquetes más pequeños y, a continuación, los retransmita.
El protocolo IPv6 no admite la fragmentación en la red. Cuando un host envía un paquete mayor que la MTU del host receptor o que es mayor que la MTU de un dispositivo a lo largo de la ruta, el host o dispositivo receptor descarta el paquete y, a continuación, devuelve el siguiente mensaje ICMP: `ICMPv6 Packet Too Big (PTB)` (Tipo 2). Esto indica al host transmisor que divida la carga útil en varios paquetes más pequeños y, a continuación, los retransmita.
Si la unidad de transmisión máxima (MTU) entre los anfitriones de las subredes es diferente o si las instancias se comunican con pares a través de Internet, debe agregar la siguiente regla de ACL de red, tanto entrante como saliente. Esta garantiza que la detección de la MTU de la ruta pueda funcionar correctamente y evita la pérdida de paquetes. Seleccione **Custom ICMP Rule (Regla ICMP personalizada)** para el tipo y **Destination Unreachable (No se puede llegar al destino)**, **fragmentation required (fragmentación obligatoria) y DF flag set (marca DF establecida)** para el rango de puerto (tipo 3, código 4). Si utiliza el comando traceroute, añada también la siguiente regla: seleccione **Custom ICMP Rule (Regla ICMP personalizada)** para el tipo y **Time Exceeded (Tiempo superado)**, **TTL expired transit (TTL vencido en tránsito)** para el rango de puerto (tipo 11, código 0). Para obtener más información, consulte [Unidad de transmisión máxima (MTU) de red para la instancia EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/network_mtu.html) en la *Guía del usuario de Amazon EC2*.
# Creación de una ACL de red para su VPC
Las siguientes tareas muestran cómo crear una ACL de red, agregar reglas a la ACL de red y, a continuación, asociar la ACL de red a una subred.
**Topics**
+ [Paso 1: cree una ACL de red](#CreateACL)
+ [Paso 2: agregue reglas](#Rules)
+ [Paso 3: asocie una subred a una ACL de red](#NetworkACL)
+ [(Opcional) Administración de las ACL de red con Firewall Manager](#nacls-using-firewall-manager)
## Paso 1: cree una ACL de red
Puede crear una ACL de red personalizada para su VPC. Las reglas iniciales de una ACL de red personalizada bloquean el tráfico de entrada y de salida. De manera predeterminada, su nueva ACL de red personalizada no está asociada a una subred y debe asociarse de manera explícita a las subredes.
**Creación de una ACL de red mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Network ACLs**.
1. Elija **Crear ACL de red**.
1. (Opcional) En **Nombre**, ingrese un nombre para su ACL de red.
1. En **VPC**, seleccione la VPC.
1. (Opcional) En **Etiquetas**, elija **Agregar etiqueta** y especifique una clave y un valor de etiqueta.
1. Elija **Crear ACL de red**.
**Creación de una ACL de red mediante la línea de comandos**
+ [create-network-acl](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-network-acl.html) (AWS CLI)
+ [New-EC2NetworkAcl](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2NetworkAcl.html) (AWS Tools for Windows PowerShell)
## Paso 2: agregue reglas
Puede agregar reglas que permitan o denieguen el tráfico de entrada o salida.
Las reglas se procesan por orden; se empieza por la regla con el número más bajo. Recomendamos dejar espacios entre los números de regla (como 100, 200, 300), en lugar de utilizar números secuenciales, (101, 102, 103). Esto le facilitará el añadir reglas nuevas sin tener que reenumerar las existentes.
Si utiliza la API de Amazon EC2 o una herramienta de línea de comandos, no puede modificar reglas. Sólo puede agregar y eliminar reglas. Si utiliza la consola de Amazon VPC, puede modificar las entradas de las reglas existentes. La consola elimina la regla existente y añade una regla nueva. Si necesita cambiar el orden de una regla en la ACL, deberá añadir una regla nueva con el número de la regla nueva, y luego eliminar la regla original.
**Incorporación de una regla a una ACL de red mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Network ACLs**.
1. Seleccione la ACL de red.
1. Para agregar una regla de entrada, haga lo siguiente:
1. Elija la pestaña **Reglas de entrada**.
1. Elija **Editar reglas de entrada**, **Agregar nueva regla**.
1. Ingrese un número de regla que aún no esté en uso, un tipo, protocolo, intervalo de puertos, origen y si desea permitir o denegar el tráfico. Para algunos tipos, completaremos el protocolo y el puerto por usted. Si se le solicita un rango de puertos, escriba un número de puerto o un rango de puertos (por ejemplo, 49152-65535).
Para utilizar un protocolo que no aparezca en la lista, elija **Protocolo personalizado** para el tipo y, a continuación, seleccione el protocolo. Para obtener más información, consulte [Números de protocolo](http://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml).
1. Seleccione **Save changes (Guardar cambios)**.
1. Para agregar una regla de salida, haga lo siguiente:
1. Elija la pestaña **Outbound rules** (Reglas de salida).
1. Elija **Editar reglas de salida**, **Agregar nueva regla**.
1. Ingrese un número de regla que aún no esté en uso, un tipo, protocolo, intervalo de puertos, origen y si desea permitir o denegar el tráfico. Para algunos tipos, completaremos el protocolo y el puerto por usted. Si se le solicita un rango de puertos, escriba un número de puerto o un rango de puertos (por ejemplo, 49152-65535).
Para utilizar un protocolo que no aparezca en la lista, elija **Protocolo personalizado** para el tipo y, a continuación, seleccione el protocolo. Para obtener más información, consulte [Números de protocolo](http://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml).
1. Seleccione **Save changes (Guardar cambios)**.
**Incorporación de una regla a una ACL de red mediante la línea de comandos**
+ [create-network-acl-entry](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-network-acl-entry.html) (AWS CLI)
+ [New-EC2NetworkAclEntry](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2NetworkAclEntry.html) (AWS Tools for Windows PowerShell)
**Sustitución de una regla en una ACL de red mediante la línea de comandos**
+ [replace-network-acl-entry](https://docs.aws.amazon.com/cli/latest/reference/ec2/replace-network-acl-entry.html) (AWS CLI)
+ [Set-EC2NetworkAclEntry](https://docs.aws.amazon.com/powershell/latest/reference/items/Set-EC2NetworkAclEntry.html) (AWS Tools for Windows PowerShell)
**Eliminación de una regla desde una ACL de red mediante la línea de comandos**
+ [delete-network-acl-entry](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-network-acl-entry.html) (AWS CLI)
+ [Remove-EC2NetworkAclEntry](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2NetworkAclEntry.html) (AWS Tools for Windows PowerShell)
## Paso 3: asocie una subred a una ACL de red
Para aplicar las reglas de una ACL de red a una subred en particular, debe asociar la subred a la ACL de red. Puede asociar una ACL de red con varias subredes. Sin embargo, una subred sólo puede asociarse a una ACL de red. Las subredes no asociadas a una ACL concreta se asociarán automáticamente a la ACL de red predeterminada.
**Para asociar una subred a una ACL de red**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Network ACLs** y, a continuación, seleccione la ACL de red.
1. En el panel de detalles, en la pestaña **Subnet Associations**, elija **Edit**. Active la casilla de verificación **Associate** para la subred que desee asociar a la ACL de red y, a continuación, elija **Save**.
## (Opcional) Administración de las ACL de red con Firewall Manager
AWS Firewall Manager simplifica las tareas de administración y mantenimiento de las ACL de red en varias cuentas y subredes. Puede utilizar Firewall Manager para supervisar las cuentas y las subredes de la organización y para aplicar de manera automática las configuraciones de las ACL de red que se hayan definido. Firewall Manager es especialmente útil cuando se desea proteger la organización en su totalidad o si se agregan con frecuencia nuevas subredes que se desea proteger de manera automática desde una cuenta de administrador central.
Con una política de Firewall Manager para las ACL de red, y desde una cuenta de administrador única, puede configurar, supervisar y administrar el conjunto de reglas mínimo que desea definir en las ACL de red utilizadas en la organización. Usted especifica las cuentas y las subredes de la organización que estén dentro del alcance de la política de Firewall Manager. Firewall Manager informa del estado de cumplimiento de las ACL de red de las subredes dentro del alcance; también se puede configurar Firewall Manager para que corrija de manera automática las ACL de red no conformes.
Si desea obtener más información, consulte los siguientes recursos en la *Guía para desarrolladores de AWS Firewall Manager*:
+ [AWS Firewall Manager Requisitos previos de para la de](https://docs.aws.amazon.com/waf/latest/developerguide/fms-prereq.html)
+ [Configuración de políticas de ACL de red de AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started-fms-network-acl.html)
+ [Uso de políticas de ACL de red con Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/network-acl-policies.html)
# Administración de las asociaciones de ACL de red para su VPC
Cada subred está asociada a una ACL de red. Al crear una subred por primera vez, esta se asocia inicialmente a la ACL de red predeterminada de la VPC. Puede crear una ACL de red personalizada y asociarla a una o más subredes, en sustitución de la asociación de ACL de red anterior.
**Topics**
+ [Descripción de las asociaciones de ACL de red](#describe-network-acl-association)
+ [Cambio de las subredes asociadas a una ACL de red](#DisassociateNetworkACL)
+ [Cambio de la ACL de red asociada a una subred](#ChangeNetworkACL)
## Descripción de las asociaciones de ACL de red
Puede describir la ACL de red asociada a una subred y también puede describir las subredes asociadas a una ACL de red.
**Descripción de la ACL de red asociada a una subred mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Subnets (Subredes)**.
1. Seleccione la subred.
1. Seleccione la pestaña **ACL de red**.
**Descripción de la ACL de red asociada a una subred mediante la AWS CLI**
Utilice el siguiente comando [describe-network-acls](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-network-acls.html) para enumerar las ACL de red asociadas a la subred especificada.
```
aws ec2 describe-network-acls --filters Name=association.subnet-id,Values=subnet-0d2d1b81e0bc9c6d4 --query NetworkAcls[*].NetworkAclId
```
A continuación, se muestra un ejemplo del resultado.
```
[
"acl-03701d1f82d8c3fd6"
]
```
**Descripción de las subredes asociadas a una ACL de red mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Network ACLs**.
1. Seleccione la ACL de red.
1. Seleccione la pestaña **Asociaciones de subredes**.
**Descripción de las subredes asociadas a una ACL de red mediante la AWS CLI**
Utilice el siguiente comando [describe-network-acls](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-network-acls.html) para enumerar las subredes asociadas a la ACL de red especificada.
```
aws ec2 describe-network-acls --network-acl-ids acl-060415a18fcc9afde --query NetworkAcls[*].Associations[].SubnetId
```
A continuación, se muestra un ejemplo del resultado.
```
[
"subnet-0d2d1b81e0bc9c6d4",
"subnet-0e990c67809773b19",
"subnet-0eb17d85f5dfd33b1",
"subnet-0e01d500780bb7468"
]
```
## Cambio de las subredes asociadas a una ACL de red
Puede desasociar una ACL de red personalizada de una subred. Cuando se ha desasociado una subred de la ACL de red personalizada, la subred se asocia automáticamente a la ACL de red predeterminada de la VPC. Los cambios surten efecto después de un corto período de tiempo.
**Cambio de las subredes asociadas a una ACL de red**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Network ACLs**.
1. Seleccione la ACL de red.
1. En el menú **Acciones**, elija **Editar asociaciones de subred**.
1. Elimine la subred de **Subredes seleccionadas**.
1. Seleccione **Save changes (Guardar cambios)**.
## Cambio de la ACL de red asociada a una subred
Puede cambiar la ACL de red asociada a una subred. Por ejemplo, al crear una subred, esta se asocia inicialmente a la ACL de red predeterminada de la VPC. Si crea una ACL de red personalizada, asocie la ACL de red a una o más subredes para aplicar las reglas de la ACL de red.
Después de cambiar la ACL de red de una subred, los cambios surten efecto al cabo de un breve período de tiempo.
**Cambio de la ACL de red asociada a una subred**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Subnets (Subredes)**.
1. Seleccione la subred.
1. Elija **Acciones**, **Editar asociación de ACL de red**.
1. Para el **ID de ACL de red**, seleccione la ACL de red que desee asociar a la subred y revise las reglas de entrada y salida de la ACL de red seleccionada.
1. Seleccione **Save**.
**Sustitución de una ACL de red con la línea de comandos**
+ [replace-network-acl-association](https://docs.aws.amazon.com/cli/latest/reference/ec2/replace-network-acl-association.html) (AWS CLI)
+ [Set-EC2NetworkAclAssociation](https://docs.aws.amazon.com/powershell/latest/reference/items/Set-EC2NetworkAclAssociation.html) (AWS Tools for Windows PowerShell)
# Eliminación de una ACL de red para su VPC
Cuando ya no necesite una ACL de red, puede eliminarla. La ACL de red no se puede eliminar si tiene subredes asociadas. La ACL de red predeterminada no se puede eliminar.
**Eliminación de las asociaciones de una ACL de red mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Network ACLs**. La columna **Asociada con** indica el número de subredes asociadas a cada ACL de red. Esta columna es `-` si no hay subredes asociadas.
1. Seleccione la ACL de red.
1. En el menú **Acciones**, elija **Editar asociaciones de subred**.
1. Elimine las asociaciones de subredes.
1. Seleccione **Save changes (Guardar cambios)**.
**Descripción de las ACL de la red, incluidas las asociaciones, mediante la línea de comandos**
+ [describe-network-acls](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-network-acls.html) (AWS CLI)
+ [Get-EC2NetworkAcl](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2NetworkAcl.html) (AWS Tools for Windows PowerShell)
**Sustitución de una ACL de red mediante la línea de comandos**
+ [replace-network-acl-association](https://docs.aws.amazon.com/cli/latest/reference/ec2/replace-network-acl-association.html) (AWS CLI)
+ [Set-EC2NetworkAclAssociation](https://docs.aws.amazon.com/powershell/latest/reference/items/Set-EC2NetworkAclAssociation.html) (AWS Tools for Windows PowerShell)
**Eliminación de una ACL de red mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Network ACLs**.
1. Seleccione la ACL de red.
1. Seleccione **Acciones** y **Eliminar las ACL de red**.
1. Cuando le pidan confirmación, escriba **delete** y elija **Eliminar**.
**Eliminación de una ACL de red mediante la línea de comandos**
+ [delete-network-acl](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-network-acl.html) (AWS CLI)
+ [Remove-EC2NetworkAcl](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2NetworkAcl.html) (AWS Tools for Windows PowerShell)
# Ejemplo: controlar el acceso a las instancias de una subred
En este ejemplo, las instancias de su subred se pueden comunicar entre sí, y se puede obtener acceso a ellas desde un equipo remoto de confianza para realizar tareas administrativas. El equipo remoto puede ser un equipo en la red local, tal como se muestra en el diagrama, o puede ser una instancia en una subred o VPC diferente. Las reglas de ACL de red para la subred y las reglas del grupo de seguridad para las instancias permiten el acceso desde la dirección IP de su equipo remoto. El resto del tráfico de Internet u otras redes se deniega.
![\[Utilización de un grupo de seguridad y una NACL\]](http://docs.aws.amazon.com/es_es/vpc/latest/userguide/images/nacl-example-diagram.png)
Usar una ACL de red le proporciona la flexibilidad necesaria para cambiar los grupos de seguridad o las reglas de grupos de seguridad de sus instancias, así como para tener la ACL de red como capa de copia de seguridad de defensa. Por ejemplo, si actualiza accidentalmente el grupo de seguridad para permitir el acceso SSH entrante desde cualquier lugar, pero la ACL de red solo permite el acceso desde el rango de direcciones IP del equipo remoto, la ACL de red deniega el tráfico SSH entrante desde cualquier otra dirección IP.
## Reglas de ACL de red
A continuación se muestran reglas de entrada de ejemplo para la ACL de red asociada a la subred. Estas reglas se aplican a todas las instancias de la subred.
| Regla n.º | Tipo | Protocolo | Intervalo de puertos | Fuente | Permitir/Denegar | Comentarios |
| --- | --- | --- | --- | --- | --- | --- |
| 100 | SSH | TCP | 22 | 172.31.1.2/32 | PERMITIR | Permita el tráfico de entrada desde el equipo remoto. |
| \$1 | Todo el tráfico | Todos | Todos | 0.0.0.0/0 | DENY | Deniegue todo el resto de tráfico de entrada. |
A continuación se muestran reglas de salida de ejemplo para la ACL de red asociada a la subred. Las ACL de red son sin estado. Por lo tanto, debe incluir una regla que permita respuestas al tráfico de entrada.
| Regla n.º | Tipo | Protocolo | Rango de puerto | Destino | Permitir/Denegar | Comentarios |
| --- | --- | --- | --- | --- | --- | --- |
| 100 | TCP personalizada | TCP | 1024-65535 | 172.31.1.2/32 | PERMITIR | Permite las respuestas salientes al equipo remoto. |
| \$1 | Todo el tráfico | Todos | Todos | 0.0.0.0/0 | DENEGAR | Deniega todo el resto de tráfico saliente. |
## Reglas del grupo de seguridad
A continuación, se muestran las reglas de entrada de ejemplo de un grupo de seguridad asociado a las instancias. Estas reglas se aplican a todas las instancias asociadas al grupo de seguridad. Un usuario con la clave privada de par de claves asociado a las instancias puede conectarse a las instancias desde el equipo remoto mediante SSH.
| Tipo de protocolo | Protocolo | Intervalo de puertos | Fuente | Comentarios |
| --- | --- | --- | --- | --- |
| Todo el tráfico | Todos | Todos | sg-1234567890abcdef0 | Permita la comunicación entre las instancias asociadas a este grupo de seguridad. |
| SSH | TCP | 22 | 172.31.1.2/32 | Permita el acceso SSH de entrada desde el equipo remoto. |
A continuación, se muestran las reglas de salida de ejemplo de un grupo de seguridad asociado a las instancias. Los grupos de seguridad son grupos con estado. Por lo tanto, no necesita una regla que permita respuestas al tráfico entrante.
| Tipo de protocolo | Protocolo | Rango de puerto | Destino | Comentarios |
| --- | --- | --- | --- | --- |
| Todo el tráfico | Todos | Todos | sg-1234567890abcdef0 | Permita la comunicación entre las instancias asociadas a este grupo de seguridad. |
## Diferencias entre las ACL de red y los grupos de seguridad
La siguiente tabla resume las diferencias básicas entre ACL de red y grupos de seguridad.
| Característica | ACL de red | Grupo de seguridad |
| --- | --- | --- |
| Nivel de operación | Nivel de subred | Nivel de instancia |
| Ámbito | Se aplica a todas las instancias en las subredes asociadas | Se aplica a todas las instancias asociadas al grupo de seguridad |
| Tipo de regla | Reglas de permiso y denegación | Solo reglas de permiso |
| Evaluación de reglas | Evalúa las reglas en orden ascendente hasta encontrar una coincidencia con el tráfico | Evalúa todas las normas antes de decidir si permitir el tráfico |
| Tráfico de retorno | Debe estar permitido de forma explícita (sin estado) | Permitido automáticamente (con estado) |
# Resiliencia en Amazon Virtual Private Cloud
La infraestructura global de AWS se divide en Regiones de AWS y zonas de disponibilidad. Las Regiones de AWS proporcionan varias zonas de disponibilidad físicamente independientes y aisladas que se encuentran conectadas mediante redes de baja latencia, con alto nivel de rendimiento y redundancia. Con las zonas de disponibilidad, puede diseñar y utilizar aplicaciones y bases de datos que realizan una conmutación por error automática entre las zonas sin interrupciones. Las zonas de disponibilidad tienen una mayor disponibilidad, tolerancia a errores y escalabilidad que las infraestructuras tradicionales de uno o varios centros de datos.
Las Regiones de AWS son los componentes principales y cada una representa una ubicación geográfica distinta que aloja varias zonas de disponibilidad físicamente separadas y aisladas. Estas zonas de disponibilidad se encuentran conectadas a través de un entramado de red con un alto nivel de rendimiento y redundancia, además de baja latencia, lo que da lugar a una comunicación y una transferencia de datos fluida entre ellas.
La arquitectura de las zonas de disponibilidad es un elemento diferenciador clave, ya que están diseñadas para ser mucho más robustas y tolerantes a los fallos que las infraestructuras tradicionales de centros de datos únicos o múltiples. Al distribuir los recursos entre varias zonas de disponibilidad dentro de una región, las aplicaciones y las bases de datos pueden configurarse para que, en caso de un error, conmuten de una zona a la otra sin ninguna interrupción en el servicio. Este nivel de redundancia y alta disponibilidad es un requisito fundamental para las cargas de trabajo esenciales y permite a las organizaciones crear soluciones resilientes nativas en la nube.
Además, la escala y alcance mundial de la infraestructura AWS permite que los clientes desplieguen sus aplicaciones más cerca de los usuarios finales, lo que reduce la latencia y mejora la experiencia general del usuario. La disponibilidad de varias regiones en todo el mundo también permite una soberanía y un cumplimiento efectivos de los datos, ya que los clientes pueden almacenar y procesar los datos dentro de los límites geográficos que exijan sus necesidades regulatorias y comerciales específicas.
Con la infraestructura mundial AWS, las organizaciones pueden diseñar sus entornos de nube para que tengan una alta disponibilidad, sean tolerantes a los fallos y sean escalables, con la flexibilidad necesaria para adaptarse a los requisitos cambiantes y a las distintas necesidades empresariales. Esta base robusta es un factor clave para la implementación exitosa de aplicaciones y servicios modernos en la nube.
Para obtener más información sobre las Regiones de AWS y las zonas de disponibilidad, consulte [Infraestructura global de AWS](https://aws.amazon.com/about-aws/global-infrastructure/).
Puede configurar las VPC para cumplir con los requisitos de resiliencia de las cargas de trabajo. Para obtener más información, consulte los siguientes temas:
+ [Comprensión de los patrones de resiliencia y las compensaciones](https://aws.amazon.com/blogs/architecture/understand-resiliency-patterns-and-trade-offs-to-architect-efficiently-in-the-cloud/) (Blog de arquitectura de AWS)
+ [Planificación de la topología de red](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/plan-your-network-topology.html) (Marco de AWS Well-Architected)
+ [Opciones de conectividad de Amazon Virtual Private Cloud](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/introduction.html) (Documentos técnicos de AWS)
# Validación de conformidad para Amazon Virtual Private Cloud
Para saber si un Servicio de AWS está incluido en el alcance de programas de cumplimiento específicos, consulte [Servicios de AWS incluidos por programa de cumplimiento](https://aws.amazon.com/compliance/services-in-scope/) y seleccione el programa de cumplimiento que le interese. Para obtener información general, consulte [Programas de conformidad de AWS](https://aws.amazon.com/compliance/programs/).
Puede descargar los informes de auditoría de terceros utilizando AWS Artifact. Para obtener más información, consulte [Descarga de informes en AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).
Su responsabilidad de conformidad al utilizar Servicios de AWS se determina en función de la confidencialidad de los datos, los objetivos de conformidad de la empresa, así como de la legislación y los reglamentos aplicables. Para obtener más información sobre la responsabilidad de cumplimiento al usar Servicios de AWS, consulte la [Documentación de seguridad de AWS](https://docs.aws.amazon.com/security/).
# Bloqueo de acceso público de las VPC y subredes
El Bloqueo del acceso público (BPA) de la VPC es una característica de seguridad centralizada que le permite impedir de forma autorizada el acceso público desde la Internet a los recursos de la VPC en toda una cuenta de AWS, lo que garantiza el cumplimiento de los requisitos de seguridad y, al mismo tiempo, proporciona flexibilidad para excepciones específicas y capacidades de auditoría.
La característica de BPA de la VPC tiene los siguientes modos:
+ **Bidireccional**: se bloquea todo el tráfico hacia y desde las puertas de enlace de Internet y las puertas de enlace de Internet de solo salida de esta región (excepto las VPC y las subredes excluidas).
+ **Solo de entrada**: se bloquea todo el tráfico de Internet a las VPC de esta región (excepto las VPC o subredes excluidas). Solo se permite el tráfico hacia y desde las puertas de enlace NAT y las puertas de enlace de Internet solo de salida, ya que estas puertas de enlace solo permiten establecer conexiones salientes.
También puede crear “exclusiones” para esta característica para el tráfico que no desee bloquear. Una exclusión es un modo que se puede aplicar a una sola VPC o subred y que la exime del modo BPA de la VPC de la cuenta y permitirá el acceso bidireccional o solo de salida.
Las exclusiones pueden tener cualquiera de los siguientes modos:
+ **Bidireccional**: se permite todo el tráfico de Internet hacia y desde las VPC y subredes excluidas.
+ **Solo de salida**: se permite el tráfico de Internet saliente desde las VPC y subredes excluidas. Se bloquea el tráfico de Internet entrante a las VPC y subredes excluidas. Esto solo se aplica cuando el BPA de la VPC está establecido en modo bidireccional.
**Topics**
+ [Conceptos básicos del BPA de la VPC](security-vpc-bpa-basics.md)
+ [Evaluación del impacto y monitoreo del BPA de la VPC](security-vpc-bpa-assess-impact-main.md)
+ [Ejemplo avanzado](security-vpc-bpa-example.md)
# Conceptos básicos del BPA de la VPC
En esta sección, se describen detalles importantes sobre el BPA de la VPC, incluidos los servicios que lo admiten y cómo puede trabajar con él.
**Topics**
+ [Disponibilidad en las regiones](#security-vpc-bpa-reg-avail)
+ [Impacto en los servicios de AWS y cuáles lo admiten](#security-vpc-bpa-service-support)
+ [Limitaciones del BPA de la VPC](#security-vpc-bpa-limits)
+ [Control del acceso al BPA de la VPC con una política de IAM](#security-vpc-bpa-iam-example)
+ [Activación del modo bidireccional del BPA de la VPC para su cuenta](#security-vpc-bpa-enable-bidir)
+ [Cambiar el modo del BPA de la VPC a modo de solo entrada](#security-vpc-bpa-ingress-only)
+ [Crear y eliminar exclusiones](#security-vpc-bpa-exclusions)
+ [Habilite el BPA de la VPC a nivel de Organization](#security-vpc-bpa-exclusions-orgs)
## Disponibilidad en las regiones
El BPA de la VPC está disponible en todas las [regiones de AWS](https://aws.amazon.com//about-aws/global-infrastructure/regions_az/) comerciales, incluso GovCloud y las regiones de China.
En esta guía, también encontrará información sobre el uso del Analizador de acceso a la red y el Analizador de accesibilidad con el BPA de la VPC. Tenga en cuenta que el Analizador de acceso a la red y el Analizador de accesibilidad no están disponibles en todas las regiones comerciales. Para obtener información sobre la disponibilidad regional del Analizador de acceso a la red y el Analizador de accesibilidad, consulte [Limitaciones](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/how-network-access-analyzer-works.html#analyzer-limitations) en la *Guía del Analizador de acceso a la red* y [Consideraciones](https://docs.aws.amazon.com/vpc/latest/reachability/how-reachability-analyzer-works.html#considerations) de la *Guía del Analizador de accesibilidad*.
## Impacto en los servicios de AWS y cuáles lo admiten
Los siguientes recursos y servicios admiten el BPA de la VPC y el tráfico a estos servicios y recursos se ve afectado por el BPA de la VPC:
+ **Puerta de enlace de Internet**: se bloquea todo el tráfico entrante y saliente.
+ **Puerta de enlace de Internet solo de salida**: se bloquea todo el tráfico saliente. Las puertas de enlace de Internet de solo salida no permiten el tráfico entrante.
+ **Equilibrador de carga de puerta de enlace (GWLB)**: se bloquea todo el tráfico entrante y saliente, incluso si se excluye la subred que contiene los punto de conexión de GWLB.
+ **Puerta de enlace NAT**: se bloquea todo el tráfico entrante y saliente. Las puertas de enlace NAT requieren una puerta de enlace de Internet para la conectividad a Internet.
+ **Equilibrador de carga de red orientado a Internet**: se bloquea todo el tráfico entrante y saliente. Los equilibradores de carga de red orientados a Internet requieren una puerta de enlace de Internet para conectarse a la Internet.
+ **Equilibrador de carga de aplicación orientado a Internet**: se bloquea todo el tráfico entrante y saliente. Los equilibradores de carga de aplicaciones orientados a Internet requieren una puerta de enlace de Internet para conectarse a la Internet.
+ **Orígenes de la VPC de Amazon CloudFront**: se bloquea todo el tráfico entrante y saliente.
+ **Direct Connect**: se bloquea todo el tráfico entrante y saliente que utiliza interfaces virtuales públicas (direcciones IPv4 públicas o IPv6 de unidifusión global). Este tráfico utiliza la puerta de enlace de Internet (o la puerta de enlace de Internet de solo salida) para establecer la conectividad.
+ **AWS Global Accelerator**: se bloquea el tráfico entrante a las VPC, independientemente de que se pueda acceder al objetivo desde Internet o no.
+ **AWS Network Firewall**: se bloquea todo el tráfico entrante y saliente, incluso si se excluye la subred que contiene los punto de conexión del firewall.
+ **Puerta de enlace de operador de AWS Wavelength**: se bloquea todo el tráfico entrante y saliente.
El BPA de la VPC no bloquea ni afecta al tráfico relacionado con la conectividad privada, como el tráfico de los siguientes servicios y recursos:
+ AWS Client VPN
+ AWS CloudWAN
+ Puerta de enlace local de AWS Outposts
+ AWS Site-to-Site VPN
+ Puerta de enlace de tránsito
+ Acceso verificado de AWS
**importante**
Si enruta el tráfico entrante y saliente a través de un dispositivo (como una herramienta de seguridad o supervisión de terceros) que se ejecuta en una instancia de EC2 en una subred, al utilizar el BPA de la VPC, esa subred debe ser una exclusión para que el tráfico entre y salga de ella. No es necesario añadir otras subredes que envíen tráfico a la subred del dispositivo y no a la puerta de enlace de Internet como exclusiones.
El tráfico que se envía de forma privada desde los recursos de la VPC a otros servicios que se ejecutan en la VPC, como Route 53 Resolver, está permitido incluso cuando el BPA de la VPC está activado, ya que no pasa a través de una puerta de enlace de Internet de la VPC. Es posible que estos servicios realicen solicitudes a recursos externos a la VPC en su nombre, por ejemplo, para resolver una consulta de DNS, y que expongan información sobre la actividad de los recursos de la VPC si no se mitigan mediante otros controles de seguridad.
## Limitaciones del BPA de la VPC
El modo de solo entrada del BPA de VPC no se admite en las zonas locales (LZ) donde no se permiten las puertas de enlace NAT ni las puertas de enlace de Internet de solo salida.
## Control del acceso al BPA de la VPC con una política de IAM
Para ver ejemplos de políticas de IAM que permiten o deniegan el acceso a la característica de BPA de la VPC, consulte [Bloqueo de acceso público de las VPC y subredes](vpc-policy-examples.md#vpc-bpa-example-iam).
## Activación del modo bidireccional del BPA de la VPC para su cuenta
El modo bidireccional del BPA de la VPC bloquea todo el tráfico hacia y desde las puertas de enlace de Internet y las puertas de enlace de Internet de solo salida en esta región (excepto las VPC y las subredes excluidas). Para obtener más información acerca de las exclusiones, consulte [Crear y eliminar exclusiones](#security-vpc-bpa-exclusions).
**importante**
Se recomienda que revise detenidamente las cargas de trabajo que requieren acceso a Internet antes de habilitar el BPA de la VPC en sus cuentas de producción.
**nota**
Para habilitar el BPA de la VPC en las VPC y las subredes de su cuenta, debe ser propietario de las VPC y las subredes.
Si actualmente comparte subredes de VPC con otras cuentas, el modo del BPA de la VPC impuesto por el propietario de la subred también se aplica al tráfico de los participantes, pero los participantes no pueden controlar la configuración del BPA de la VPC que afecta a la subred compartida.
------
#### [ Consola de administración de AWS ]
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación izquierdo, elija **Configuración**.
1. Elija **Editar la configuración del acceso público**.
1. Seleccione **Activar el bloqueo del acceso público** y **Bidireccional** y, a continuación, seleccione **Guardar cambios**.
1. Espere a que el **Estado** cambie a **Activado**. La aplicación de las configuraciones del BPA de la VPC y la actualización del estado pueden tardar unos minutos.
El modo bidireccional del BPA de la VPC ya está activado.
------
#### [ AWS CLI ]
1. Activar el BPA de la VPC:
```
aws ec2 --region us-east-2 modify-vpc-block-public-access-options --internet-gateway-block-mode block-bidirectional
```
La aplicación de las configuraciones del BPA de la VPC y la actualización del estado pueden tardar unos minutos.
1. Ver el estado del BPA de la VPC:
```
aws ec2 --region us-east-2 describe-vpc-block-public-access-options
```
------
## Cambiar el modo del BPA de la VPC a modo de solo entrada
El modo del BPA de la VPC de solo entrada bloquea todo el tráfico de Internet a las VPC de esta región (excepto las VPC o subredes que están excluidas). Solo se permite el tráfico hacia y desde las puertas de enlace NAT y las puertas de enlace de Internet solo de salida, ya que estas puertas de enlace solo permiten establecer conexiones salientes.
------
#### [ Consola de administración de AWS ]
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación izquierdo, elija **Configuración**.
1. Elija **Editar la configuración del acceso público**.
1. Cambie la dirección a **Ingress-only**.
1. Guarde los cambios y espere a que se actualice el estado. La aplicación de las configuraciones del BPA de la VPC y la actualización del estado pueden tardar unos minutos.
------
#### [ AWS CLI ]
1. Modifique la dirección del bloqueo del BPA de la VPC:
```
aws ec2 --region us-east-2 modify-vpc-block-public-access-options --internet-gateway-block-mode block-ingress
```
La aplicación de las configuraciones del BPA de la VPC y la actualización del estado pueden tardar unos minutos.
1. Ver el estado del BPA de la VPC:
```
aws ec2 --region us-east-2 describe-vpc-block-public-access-options
```
------
## Crear y eliminar exclusiones
Una exclusión del BPA de la VPC es un modo que se puede aplicar a una sola VPC o subred y que la exime del modo BPA de la VPC de la cuenta y permitirá el acceso bidireccional o solo de salida. Puede crear exclusiones del BPA de la VPC para las VPC y las subredes incluso cuando el BPA de la VPC no esté habilitado en la cuenta para garantizar que no se interrumpa el tráfico en las exclusiones cuando se active el BPA de la VPC. Se aplica automáticamente una exclusión para una VPC a todas las subredes de la VPC.
Puede crear un máximo de 50 exclusiones. Para obtener información acerca de cómo solicitar un aumento del límite, consulte *Exclusiones de BPA de la VPC por cuenta* en [Cuotas de Amazon VPC](amazon-vpc-limits.md).
------
#### [ Consola de administración de AWS ]
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación izquierdo, elija **Configuración**.
1. En la pestaña **Bloqueo de acceso público**, en **Exclusiones**, realice una de las siguientes acciones:
+ Para eliminar una exclusión, selecciónela y, a continuación, elija **Acciones** > **Eliminar exclusiones**.
+ Para crear una exclusión, seleccione **Crear exclusiones** y siga con los siguientes pasos.
1. Seleccione una dirección del bloque:
+ **Bidireccional**: permite que todo el tráfico de Internet entre y salga de las VPC y subredes excluidas.
+ **Solo de salida**: permite el tráfico de Internet saliente desde las VPC y subredes excluidas. Bloquea el tráfico de Internet entrante a las VPC y subredes excluidas. Esta configuración se aplica cuando el BPA de la VPC está establecido en modo **bidireccional**.
1. Elija una VPC o una subred.
1. Seleccione **Crear exclusiones**.
1. Espere a que el **Estado de exclusión** cambie a **Activo**. Puede que tenga que actualizar la tabla de exclusión para ver el cambio.
Se ha creado la exclusión.
------
#### [ AWS CLI ]
1. Modifique la dirección permitida de la exclusión:
```
aws ec2 --region us-east-2 create-vpc-block-public-access-exclusion --subnet-id subnet-id --internet-gateway-exclusion-mode allow-bidirectional
```
1. El estado de exclusión puede tardar un tiempo en actualizarse. Para ver el estado de la exclusión:
```
aws ec2 --region us-east-2 describe-vpc-block-public-access-exclusions --exclusion-ids exclusion-id
```
------
## Habilite el BPA de la VPC a nivel de Organization
Si utiliza AWS Organizations para administrar las cuentas de su organización, puede utilizar una [política declarativa de AWS Organizations](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_declarative.html) para aplicar el BPA de la VPC en las cuentas de la organización. Para obtener más información sobre la política declarativa del BPA de la VPC, consulte [Políticas declarativas compatibles](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_declarative_syntax.html#declarative-policy-vpc-block-public-access) en la *Guía del usuario de AWS Organizations*.
**nota**
Puede usar la política declarativa del BPA de la VPC para configurar si se permiten las exclusiones, pero no puede crear exclusiones con la política. Para crear exclusiones, aún debe crearlas en la cuenta propietaria de la VPC. Para obtener más información sobre la creación de exclusiones del BPA de la VPC, consulte [Crear y eliminar exclusiones](#security-vpc-bpa-exclusions).
Si la política declarativa del BPA de la VPC está habilitada, en las configuraciones de **Bloqueo de acceso público** verá la leyenda **Administrado por la política declarativa** y no podrá modificar las configuraciones del BPA de la VPC a nivel de cuenta.
# Evaluación del impacto y monitoreo del BPA de la VPC
Esta sección contiene información sobre cómo evaluar el impacto del BPA de la VPC antes de activarla y cómo supervisar si el tráfico se bloquea después de activarla.
**Topics**
+ [Evaluación del impacto del BPA de la VPC con el Analizador de acceso a la red](#security-vpc-bpa-assess-impact)
+ [Monitoreo del impacto del BPA de la VPC con registros de flujo](#security-vpc-bpa-fl)
+ [Seguimiento de la eliminación de exclusiones con CloudTrail](#security-vpc-bpa-cloudtrail)
+ [Verificar que la conectividad esté bloqueada con el Analizador de accesibilidad](#security-vpc-bpa-verify-RA)
## Evaluación del impacto del BPA de la VPC con el Analizador de acceso a la red
En esta sección, utilizará el Analizador de acceso a la red para ver los recursos de su cuenta que utilizan una puerta de enlace de Internet *antes* de habilitar el BPA de la VPC y bloquear el acceso. Utilice este análisis para comprender el impacto de activar el BPA de la VPC en su cuenta y bloquear el tráfico.
**nota**
El Analizador de acceso a la red no es compatible con IPv6, por lo que no podrá utilizarlo para ver el posible impacto del BPA de la VPC en el tráfico de IPv6 saliente de las puertas de enlace de Internet de solo salida.
Se le cobrará por los análisis que realice con el analizador de acceso a la red. Para obtener más información, consulte la sección [Pricing](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-network-access-analyzer.html#pricing) en la *Guía del usuario del Analizador de acceso a la red*.
Para obtener información sobre la disponibilidad regional del analizador de acceso a la red, consulte [Limitaciones](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/how-network-access-analyzer-works.html#analyzer-limitations) en la *Guía del analizador de acceso a la red*.
------
#### [ Consola de administración de AWS ]
1. Abra la consola de AWS Network Insights en [https://console.aws.amazon.com/networkinsights/](https://console.aws.amazon.com/networkinsights/).
1. Seleccione **Analizador de acceso a la red**.
1. Seleccione **Crear alcance de acceso a la red**.
1. Seleccione **Evaluar el impacto del bloqueo de acceso público de la VPC** y, a continuación, **Siguiente**.
1. La plantilla ya está configurada para analizar el tráfico hacia y desde las puertas de enlace de Internet de su cuenta. Puede verlo en **Origen** y **Destino.**
1. Elija **Siguiente**.
1. Seleccione **Crear alcance de acceso a la red**.
1. Elija el alcance que acaba de crear y seleccione **Analizar**.
1. Espere a que el análisis finalice.
1. Visualice los resultados del análisis. Cada fila de la sección **Resultados** muestra la ruta de red que un paquete puede recorrer en una red hacia o desde una puerta de enlace de Internet de su cuenta. En este caso, si activa el BPA de la VPC y ninguna de las VPC ni subredes que aparecen en estos resultados está configurada como exclusión del BPA de la VPC, se restringirá el tráfico a esas VPC y subredes.
1. Analice cada resultado para comprender el impacto del BPA de la VPC en los recursos de sus VPC.
El análisis de impacto está completo.
------
#### [ AWS CLI ]
1. Crear un alcance de acceso a la red:
```
aws ec2 create-network-insights-access-scope --region us-east-2 --match-paths "Source={ResourceStatement={ResourceTypes=["AWS::EC2::InternetGateway"]}}" "Destination={ResourceStatement={ResourceTypes=["AWS::EC2::InternetGateway"]}}"
```
1. Comenzar el análisis del alcance:
```
aws ec2 start-network-insights-access-scope-analysis --region us-east-2 --network-insights-access-scope-id nis-id
```
1. Obtener los resultados del análisis:
```
aws ec2 get-network-insights-access-scope-analysis-findings --region us-east-2 --network-insights-access-scope-analysis-id nisa-0aa383a1938f94cd1 --max-items 1
```
Los resultados muestran el tráfico hacia y desde las puertas de enlace de Internet en todas las VPC de su cuenta. Los resultados se organizan como “hallazgos”. “FindingID”: “AnalysisFinding-1” indica que este es el primer resultado del análisis. Tenga en cuenta que hay varios resultados y cada uno indica un flujo de tráfico que se verá afectado por la activación del BPA de la VPC. El primer resultado mostrará que el tráfico comenzó en una puerta de enlace de Internet (“SequenceNumber”: 1), pasó a una NACL (“SequenceNumber”: 2) a un grupo de seguridad (“SequenceNumber”: 3) y terminó en una instancia (“SequenceNumber”: 4).
1. Analice los resultados para comprender el impacto del BPA de la VPC en los recursos de sus VPC.
El análisis de impacto está completo.
------
## Monitoreo del impacto del BPA de la VPC con registros de flujo
Los registros de flujo de la VPC son una característica que permite capturar información acerca del tráfico de la IP que entra y sale de las interfaces de red Elastic en la VPC. Puede usar esta característica para supervisar el tráfico que el BPA de la VPC bloquea para que no llegue a las interfaces de red de la instancia.
Cree un registro de flujo para su VPC siguiendo los pasos que se indican en [Trabajo con registros de flujo](working-with-flow-logs.md).
Al crear el registro de flujo, asegúrese de utilizar un formato personalizado que incluya el campo `reject-reason`.
Al ver los registros de flujo, si el tráfico a una ENI se rechaza por el BPA de la VPC, verá una `reject-reason` del `BPA` en la entrada del registro de flujo.
Además de las [limitaciones](flow-logs-limitations.md) estándar para los registros de flujo de la VPC, tenga en cuenta las siguientes limitaciones específicas del BPA de la VPC:
+ Los registros de flujo del BPA de la VPC no incluyen los [registros omitidos](flow-logs-records-examples.md#flow-log-example-no-data).
+ Los registros de flujo del BPA de la VPC no incluyen [`bytes`](flow-log-records.md#flow-logs-fields) incluso si incorpora el campo `bytes` en el registro de flujo.
## Seguimiento de la eliminación de exclusiones con CloudTrail
En esta sección, se explica cómo puede usar AWS CloudTrail para supervisar y realizar un seguimiento de la eliminación de las exclusiones del BPA de la VPC.
------
#### [ Consola de administración de AWS ]
Para ver las exclusiones eliminadas en el **historial de eventos de CloudTrail**, consulte **Tipo de recurso** > `AWS::EC2::VPCBlockPublicAccessExclusion` en la consola de AWS CloudTrail, en [https://console.aws.amazon.com/cloudtrailv2/](https://console.aws.amazon.com/cloudtrailv2/).
------
#### [ AWS CLI ]
Puede usar el comando `lookup-events` para ver los eventos relacionados con la eliminación de exclusiones:
```
aws cloudtrail lookup-events --lookup-attributes AttributeKey=ResourceType,AttributeValue=AWS::EC2::VPCBlockPublicAccessExclusion
```
------
## Verificar que la conectividad esté bloqueada con el Analizador de accesibilidad
El [Analizador de accesibilidad de la VPC](https://docs.aws.amazon.com/vpc/latest/reachability/what-is-reachability-analyzer.html) se puede utilizar para evaluar si se puede acceder o no a determinadas rutas de red según la configuración de la red, incluida la configuración del BPA de la VPC.
Para obtener información sobre la disponibilidad regional del Analizador de accesibilidad, consulte *Consideraciones* en la [Guía del Analizador de accesibilidad](https://docs.aws.amazon.com/vpc/latest/reachability/how-reachability-analyzer-works.html#considerations).
------
#### [ Consola de administración de AWS ]
1. Abra la consola de AWS Network Insights en [https://console.aws.amazon.com/networkinsights/home#ReachabilityAnalyzer](https://console.aws.amazon.com/networkinsights/home#ReachabilityAnalyzer).
1. Haga clic en **Crear y analizar la ruta**.
1. Para el **Tipo de origen**, elija **Puertas de enlace de Internet** y seleccione la puerta de enlace de Internet en la que desea bloquear el tráfico en el **menú desplegable Origen**.
1. Para el **Tipo de destino**, elija **Instancias** y seleccione la instancia desde la que quiere bloquear el tráfico en el menú desplegable **Destino**.
1. Haga clic en **Crear y analizar la ruta**.
1. Espere a que el análisis finalice. Puede demorar unos minutos.
1. Una vez completado, verá que el **Estado de accesibilidad** es **No alcanzable** y que los **Detalles de la ruta** muestran que `VPC_BLOCK_PUBLIC_ACCESS_ENABLED ` es la causa de este problema de accesibilidad.
------
#### [ AWS CLI ]
1. Cree una ruta de red con el ID de la puerta de enlace de Internet desde la que desea bloquear el tráfico (origen) y el ID de la instancia a la que desea bloquear el tráfico (destino):
```
aws ec2 --region us-east-2 create-network-insights-path --source igw-id --destination instance-id --protocol TCP
```
1. Iniciar un análisis de la ruta de la red:
```
aws ec2 --region us-east-2 start-network-insights-analysis --network-insights-path-id nip-id
```
1. Recuperar los resultados del análisis:
```
aws ec2 --region us-east-2 describe-network-insights-analyses --network-insights-analysis-ids nia-id
```
1. Compruebe que `VPC_BLOCK_PUBLIC_ACCESS_ENABLED` es el `ExplanationCode` por la falta de accesibilidad.
------
# Ejemplo avanzado
Esta sección contiene un ejemplo avanzado que lo ayudará a entender cómo funciona la característica de bloqueo del acceso público de la VPC en diferentes situaciones. Cada situación se basa en la anterior, por eso es importante completar los pasos en orden.
**importante**
No utilice este ejemplo en una cuenta de producción. Se recomienda que revise detenidamente las cargas de trabajo que requieren acceso a Internet antes de habilitar el BPA de la VPC en sus cuentas de producción.
**nota**
Para comprender por completo la característica del BPA de la VPC, necesitará disponer de determinados recursos en la cuenta. En esta sección, proporcionamos una plantilla de CloudFormation que puede utilizar para aprovisionar los recursos que necesita para comprender bien el funcionamiento de esta característica. Hay costos asociados a los recursos que aprovisiona con la plantilla de CloudFormation y a los análisis que realiza con el Analizador de acceso a la red y el Analizador de accesibilidad. Si usa la plantilla de esta sección, asegúrese de completar los pasos de limpieza cuando termine con este ejemplo.
**Topics**
+ [Implementación de plantillas de CloudFormation (opcional)](#security-vpc-bpa-example-deploy-cfn)
+ [Ver el impacto del BPA de la VPC con el analizador de acceso a la red](#vpc-bpa-naa)
+ [Escenario 1: conexión a instancias sin el BPA de la VPC activado](#vpc-bpa-scenario-1-connect-scen1)
+ [Escenario 2: activación del BPA de la VPC en modo bidireccional](#vpc-bpa-scenario-1-connect-scen2)
+ [Escenario 3: cambio del BPA de la VPC al modo de solo entrada](#vpc-bpa-scenario-3)
+ [Escenario 4: creación de una exclusión](#vpc-bpa-scenario-4)
+ [Escenario 5: modificación del modo de exclusión](#vpc-bpa-scenario-5)
+ [Escenario 6: modificación del modo del BPA de la VPC](#vpc-bpa-scenario-6)
+ [Eliminación](#vpc-bpa-scenario-cleanup)
## Implementación de plantillas de CloudFormation (opcional)
Para demostrar cómo funciona esta característica, necesita una VPC, subredes, instancias y otros recursos. Para facilitar la realización de esta demostración, a continuación incluimos una plantilla de CloudFormation que puede utilizar para disponer rápidamente de los recursos necesarios para las situaciones de esta demostración. Este paso es opcional y es posible que solo desee ver los diagramas de los escenarios de esta sección.
**nota**
Hay costos asociados a los recursos que cree en esta sección con la plantilla de CloudFormation, como el costo de la puerta de enlace NAT y las direcciones IPv4 públicas. Para evitar costos excesivos, asegúrese de completar los pasos de limpieza para eliminar todos los recursos creados para los fines de este ejemplo.
Esta plantilla de CloudFormation crea los recursos subyacentes necesarios para el BPA de la VPC, pero no habilita la característica del BPA de la VPC en sí misma. Los recursos que se implementan aquí tienen como objetivo ayudar a comprender y poner a prueba la funcionalidad del BPA de la VPC una vez que decida habilitarlo por separado.
La plantilla crea los siguientes recursos en su cuenta:
+ Gateway de Internet de solo salida
+ Puerta de enlace de Internet
+ Puerta de enlace de NAT
+ Dos subredes públicas
+ Una subred privada
+ Dos instancias EC2 con direcciones IPv4 privadas y públicas
+ Una instancia EC2 con una dirección IPv6 y una dirección IPv4 privada
+ Una instancia EC2 con una dirección IPv4 privada únicamente
+ Se permite un grupo de seguridad con tráfico entrante SSH e ICMP y se permite TODO el tráfico saliente
+ Registro de flujo de VPC
+ Un punto de conexión de EC2 Instance Connect en la subred B
Copie la siguiente plantilla y guárdela en un archivo .yaml.
```
AWSTemplateFormatVersion: '2010-09-09'
Description: Creates a VPC with public and private subnets, NAT gateway, and EC2 instances for VPC BPA.
Parameters:
InstanceAMI:
Description: ID of the Amazone Machine Image (AMI) to use with the instances launched by this template
Type: AWS::EC2::Image::Id
InstanceType:
Description: EC2 Instance type to use with the instances launched by this template
Type: String
Default: t2.micro
Resources:
# VPC
VPCBPA:
Type: AWS::EC2::VPC
Properties:
CidrBlock: 10.0.0.0/16
EnableDnsHostnames: true
EnableDnsSupport: true
InstanceTenancy: default
Tags:
- Key: Name
Value: VPC BPA
# VPC IPv6 CIDR
VPCBPAIpv6CidrBlock:
Type: AWS::EC2::VPCCidrBlock
Properties:
VpcId: !Ref VPCBPA
AmazonProvidedIpv6CidrBlock: true
# EC2 Key Pair
VPCBPAKeyPair:
Type: AWS::EC2::KeyPair
Properties:
KeyName: vpc-bpa-key
# Internet Gateway
VPCBPAInternetGateway:
Type: AWS::EC2::InternetGateway
Properties:
Tags:
- Key: Name
Value: VPC BPA Internet Gateway
VPCBPAInternetGatewayAttachment:
Type: AWS::EC2::VPCGatewayAttachment
Properties:
VpcId: !Ref VPCBPA
InternetGatewayId: !Ref VPCBPAInternetGateway
# Egress-Only Internet Gateway
VPCBPAEgressOnlyInternetGateway:
Type: AWS::EC2::EgressOnlyInternetGateway
Properties:
VpcId: !Ref VPCBPA
# Subnets
VPCBPAPublicSubnetA:
Type: AWS::EC2::Subnet
Properties:
VpcId: !Ref VPCBPA
CidrBlock: 10.0.1.0/24
MapPublicIpOnLaunch: true
Tags:
- Key: Name
Value: VPC BPA Public Subnet A
VPCBPAPublicSubnetB:
Type: AWS::EC2::Subnet
Properties:
VpcId: !Ref VPCBPA
CidrBlock: 10.0.2.0/24
MapPublicIpOnLaunch: true
Tags:
- Key: Name
Value: VPC BPA Public Subnet B
VPCBPAPrivateSubnetC:
Type: AWS::EC2::Subnet
Properties:
VpcId: !Ref VPCBPA
CidrBlock: 10.0.3.0/24
MapPublicIpOnLaunch: false
Ipv6CidrBlock: !Select [0, !GetAtt VPCBPA.Ipv6CidrBlocks]
AssignIpv6AddressOnCreation: true
Tags:
- Key: Name
Value: VPC BPA Private Subnet C
# NAT Gateway
VPCBPANATGateway:
Type: AWS::EC2::NatGateway
Properties:
AllocationId: !GetAtt VPCBPANATGatewayEIP.AllocationId
SubnetId: !Ref VPCBPAPublicSubnetB
Tags:
- Key: Name
Value: VPC BPA NAT Gateway
VPCBPANATGatewayEIP:
Type: AWS::EC2::EIP
Properties:
Domain: vpc
Tags:
- Key: Name
Value: VPC BPA NAT Gateway EIP
# Route Tables
VPCBPAPublicRouteTable:
Type: AWS::EC2::RouteTable
Properties:
VpcId: !Ref VPCBPA
Tags:
- Key: Name
Value: VPC BPA Public Route Table
VPCBPAPublicRoute:
Type: AWS::EC2::Route
DependsOn: VPCBPAInternetGatewayAttachment
Properties:
RouteTableId: !Ref VPCBPAPublicRouteTable
DestinationCidrBlock: 0.0.0.0/0
GatewayId: !Ref VPCBPAInternetGateway
VPCBPAPublicSubnetARouteTableAssoc:
Type: AWS::EC2::SubnetRouteTableAssociation
Properties:
SubnetId: !Ref VPCBPAPublicSubnetA
RouteTableId: !Ref VPCBPAPublicRouteTable
VPCBPAPublicSubnetBRouteTableAssoc:
Type: AWS::EC2::SubnetRouteTableAssociation
Properties:
SubnetId: !Ref VPCBPAPublicSubnetB
RouteTableId: !Ref VPCBPAPublicRouteTable
VPCBPAPrivateRouteTable:
Type: AWS::EC2::RouteTable
Properties:
VpcId: !Ref VPCBPA
Tags:
- Key: Name
Value: VPC BPA Private Route Table
VPCBPAPrivateRoute:
Type: AWS::EC2::Route
Properties:
RouteTableId: !Ref VPCBPAPrivateRouteTable
DestinationCidrBlock: 0.0.0.0/0
NatGatewayId: !Ref VPCBPANATGateway
VPCBPAPrivateSubnetCRoute:
Type: AWS::EC2::Route
Properties:
RouteTableId: !Ref VPCBPAPrivateRouteTable
DestinationIpv6CidrBlock: ::/0
EgressOnlyInternetGatewayId: !Ref VPCBPAEgressOnlyInternetGateway
VPCBPAPrivateSubnetCRouteTableAssociation:
Type: AWS::EC2::SubnetRouteTableAssociation
Properties:
SubnetId: !Ref VPCBPAPrivateSubnetC
RouteTableId: !Ref VPCBPAPrivateRouteTable
# EC2 Instances Security Group
VPCBPAInstancesSecurityGroup:
Type: AWS::EC2::SecurityGroup
Properties:
GroupName: VPC BPA Instances Security Group
GroupDescription: Allow SSH and ICMP access
SecurityGroupIngress:
- IpProtocol: tcp
FromPort: 22
ToPort: 22
CidrIp: 0.0.0.0/0
- IpProtocol: icmp
FromPort: -1
ToPort: -1
CidrIp: 0.0.0.0/0
VpcId: !Ref VPCBPA
Tags:
- Key: Name
Value: VPC BPA Instances Security Group
# EC2 Instances
VPCBPAInstanceA:
Type: AWS::EC2::Instance
Properties:
ImageId: !Ref InstanceAMI
InstanceType: t2.micro
KeyName: !Ref VPCBPAKeyPair
SubnetId: !Ref VPCBPAPublicSubnetA
SecurityGroupIds:
- !Ref VPCBPAInstancesSecurityGroup
Tags:
- Key: Name
Value: VPC BPA Instance A
VPCBPAInstanceB:
Type: AWS::EC2::Instance
Properties:
ImageId: !Ref InstanceAMI
InstanceType: !Ref InstanceType
KeyName: !Ref VPCBPAKeyPair
SubnetId: !Ref VPCBPAPublicSubnetB
SecurityGroupIds:
- !Ref VPCBPAInstancesSecurityGroup
Tags:
- Key: Name
Value: VPC BPA Instance B
VPCBPAInstanceC:
Type: AWS::EC2::Instance
Properties:
ImageId: !Ref InstanceAMI
InstanceType: !Ref InstanceType
KeyName: !Ref VPCBPAKeyPair
SubnetId: !Ref VPCBPAPrivateSubnetC
SecurityGroupIds:
- !Ref VPCBPAInstancesSecurityGroup
Tags:
- Key: Name
Value: VPC BPA Instance C
VPCBPAInstanceD:
Type: AWS::EC2::Instance
Properties:
ImageId: !Ref InstanceAMI
InstanceType: !Ref InstanceType
KeyName: !Ref VPCBPAKeyPair
NetworkInterfaces:
- DeviceIndex: '0'
GroupSet:
- !Ref VPCBPAInstancesSecurityGroup
SubnetId: !Ref VPCBPAPrivateSubnetC
Ipv6AddressCount: 1
Tags:
- Key: Name
Value: VPC BPA Instance D
# Flow Logs IAM Role
VPCBPAFlowLogRole:
Type: AWS::IAM::Role
Properties:
AssumeRolePolicyDocument:
Version: '2012-10-17'
Statement:
- Effect: Allow
Principal:
Service: vpc-flow-logs.amazonaws.com
Action: 'sts:AssumeRole'
Tags:
- Key: Name
Value: VPC BPA Flow Logs Role
VPCBPAFlowLogPolicy:
Type: AWS::IAM::Policy
Properties:
PolicyName: VPC-BPA-FlowLogsPolicy
PolicyDocument:
Version: '2012-10-17'
Statement:
- Effect: Allow
Action:
- 'logs:CreateLogGroup'
- 'logs:CreateLogStream'
- 'logs:PutLogEvents'
- 'logs:DescribeLogGroups'
- 'logs:DescribeLogStreams'
Resource: '*'
Roles:
- !Ref VPCBPAFlowLogRole
# Flow Logs
VPCBPAFlowLog:
Type: AWS::EC2::FlowLog
Properties:
ResourceId: !Ref VPCBPA
ResourceType: VPC
TrafficType: ALL
LogDestinationType: cloud-watch-logs
LogGroupName: /aws/vpc-flow-logs/VPC-BPA
DeliverLogsPermissionArn: !GetAtt VPCBPAFlowLogRole.Arn
LogFormat: '${version} ${account-id} ${interface-id} ${srcaddr} ${dstaddr} ${srcport} ${dstport} ${protocol} ${packets} ${bytes} ${start} ${end} ${action} ${log-status} ${vpc-id} ${subnet-id} ${instance-id} ${tcp-flags} ${type} ${pkt-srcaddr} ${pkt-dstaddr} ${region} ${az-id} ${sublocation-type} ${sublocation-id} ${pkt-src-aws-service} ${pkt-dst-aws-service} ${flow-direction} ${traffic-path} ${reject-reason}'
Tags:
- Key: Name
Value: VPC BPA Flow Logs
# EC2 Instance Connect Endpoint
VPCBPAEC2InstanceConnectEndpoint:
Type: AWS::EC2::InstanceConnectEndpoint
Properties:
SecurityGroupIds:
- !Ref VPCBPAInstancesSecurityGroup
SubnetId: !Ref VPCBPAPublicSubnetB
Outputs:
VPCBPAVPCId:
Description: A reference to the created VPC
Value: !Ref VPCBPA
Export:
Name: vpc-id
VPCBPAPublicSubnetAId:
Description: The ID of the public subnet A
Value: !Ref VPCBPAPublicSubnetA
VPCBPAPublicSubnetAName:
Description: The name of the public subnet A
Value: VPC BPA Public Subnet A
VPCBPAPublicSubnetBId:
Description: The ID of the public subnet B
Value: !Ref VPCBPAPublicSubnetB
VPCBPAPublicSubnetBName:
Description: The name of the public subnet B
Value: VPC BPA Public Subnet B
VPCBPAPrivateSubnetCId:
Description: The ID of the private subnet C
Value: !Ref VPCBPAPrivateSubnetC
VPCBPAPrivateSubnetCName:
Description: The name of the private subnet C
Value: VPC BPA Private Subnet C
VPCBPAInstanceAId:
Description: The ID of instance A
Value: !Ref VPCBPAInstanceA
VPCBPAInstanceBId:
Description: The ID of instance B
Value: !Ref VPCBPAInstanceB
VPCBPAInstanceCId:
Description: The ID of instance C
Value: !Ref VPCBPAInstanceC
VPCBPAInstanceDId:
Description: The ID of instance D
Value: !Ref VPCBPAInstanceD
```
------
#### [ Consola de administración de AWS ]
1. Abra la consola de CloudFormation en [https://console.aws.amazon.com/cloudformation/](https://console.aws.amazon.com/cloudformation/).
1. Seleccione **Crear pila** y cargue el archivo de plantilla .yaml.
1. Siga los pasos para usar la plantilla. Deberá introducir un [ID de imagen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/finding-an-ami.html) y un [tipo de instancia](https://aws.amazon.com/ec2/instance-types/) (como t2.micro). También tendrá que permitir que CloudFormation cree un rol de IAM para crear el registro de flujo y obtener permiso para iniciar sesión en CloudWatch.
1. Una vez que haya lanzado la pila, consulte la pestaña **Eventos** para ver el progreso y asegurarse de que la pila se complete antes de continuar.
------
#### [ AWS CLI ]
1. Para crear una pila de CloudFormation, ejecute el siguiente comando:
```
aws cloudformation create-stack --stack-name VPC-BPA-stack --template-body file://sampletemplate.yaml --capabilities CAPABILITY_IAM --region us-east-2
```
Salida:
```
{
"StackId": "arn:aws:cloudformation:us-east-2:470889052923:stack/VPC-BPA-stack/8a7a2cc0-8001-11ef-b196-06386a84b72f"
}
```
1. Consulte el progreso y asegúrese de que la pila se complete antes de continuar:
```
aws cloudformation describe-stack-events --stack-name VPC-BPA-stack --region us-east-2
```
------
## Ver el impacto del BPA de la VPC con el analizador de acceso a la red
En esta sección, utilizará el analizador de acceso a la red para ver los recursos de su cuenta que utilizan la puerta de enlace de Internet. Utilice este análisis para comprender el impacto de activar el BPA de la VPC en su cuenta y bloquear el tráfico.
Para obtener información sobre la disponibilidad regional del analizador de acceso a la red, consulte [Limitaciones](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/how-network-access-analyzer-works.html#analyzer-limitations) en la *Guía del analizador de acceso a la red*.
------
#### [ Consola de administración de AWS ]
1. Abra la consola de AWS Network Insights en [https://console.aws.amazon.com/networkinsights/](https://console.aws.amazon.com/networkinsights/).
1. Seleccione **Analizador de acceso a la red**.
1. Seleccione **Crear alcance de acceso a la red**.
1. Seleccione **Evaluar el impacto del bloqueo de acceso público de la VPC** y, a continuación, **Siguiente**.
1. La plantilla ya está configurada para analizar el tráfico hacia y desde las puertas de enlace de Internet de su cuenta. Puede verlo en **Origen** y **Destino.**
1. Elija **Siguiente**.
1. Seleccione **Crear alcance de acceso a la red**.
1. Elija el alcance que acaba de crear y seleccione **Analizar**.
1. Espere a que el análisis finalice.
1. Visualice los resultados del análisis. Cada fila de la sección **Resultados** muestra la ruta de red que un paquete puede recorrer en una red hacia o desde una puerta de enlace de Internet de su cuenta. En este caso, si activa el BPA de la VPC y ninguna de las VPC ni subredes que aparecen en estos resultados está configurada como exclusión del BPA de la VPC, se restringirá el tráfico a esas VPC y subredes.
1. Analice cada resultado para comprender el impacto del BPA de la VPC en los recursos de sus VPC.
El análisis de impacto está completo.
------
#### [ AWS CLI ]
1. Crear un alcance de acceso a la red:
```
aws ec2 create-network-insights-access-scope --match-paths "Source={ResourceStatement={ResourceTypes=["AWS::EC2::InternetGateway"]}}" "Destination={ResourceStatement={ResourceTypes=["AWS::EC2::InternetGateway"]}}" --region us-east-2
```
Salida:
```
{
"NetworkInsightsAccessScope": {
"NetworkInsightsAccessScopeId": "nis-04cad3c4b3a1d5e3e",
"NetworkInsightsAccessScopeArn": "arn:aws:ec2:us-east-2:470889052923:network-insights-access-scope/nis-04cad3c4b3a1d5e3e",
"CreatedDate": "2024-09-30T15:55:53.171000+00:00",
"UpdatedDate": "2024-09-30T15:55:53.171000+00:00"
},
"NetworkInsightsAccessScopeContent": {
"NetworkInsightsAccessScopeId": "nis-04cad3c4b3a1d5e3e",
"MatchPaths": [
{
"Source": {
"ResourceStatement": {
"ResourceTypes": [
"AWS::EC2::InternetGateway"
]
}
}
},
{
"Destination": {
"ResourceStatement": {
"ResourceTypes": [
"AWS::EC2::InternetGateway"
]
}
}
}
]
}
}
```
1. Comenzar el análisis del alcance:
```
aws ec2 start-network-insights-access-scope-analysis --network-insights-access-scope-id nis-04cad3c4b3a1d5e3e --region us-east-2
```
Salida:
```
{
"NetworkInsightsAccessScopeAnalysis": {
"NetworkInsightsAccessScopeAnalysisId": "nisa-0aa383a1938f94cd1",
"NetworkInsightsAccessScopeAnalysisArn": "arn:aws:ec2:us-east-2:470889052923:network-insights-access-scope-analysis/nisa-0aa383a1938f94cd",
"NetworkInsightsAccessScopeId": "nis-04cad3c4b3a1d5e3e",
"Status": "running",
"StartDate": "2024-09-30T15:56:59.109000+00:00",
"AnalyzedEniCount": 0
}
}
```
1. Obtener los resultados del análisis:
```
aws ec2 get-network-insights-access-scope-analysis-findings --network-insights-access-scope-analysis-id nisa-0aa383a1938f94cd1 --region us-east-2 --max-items 1
```
Salida:
```
{
"AnalysisFindings": [
{
"NetworkInsightsAccessScopeAnalysisId": "nisa-0aa383a1938f94cd1",
"NetworkInsightsAccessScopeId": "nis-04cad3c4b3a1d5e3e",
"FindingId": "AnalysisFinding-1",
"FindingComponents": [
{
"SequenceNumber": 1,
"Component": {
"Id": "igw-04a5344b4e30486f1",
"Arn": "arn:aws:ec2:us-east-2:470889052923:internet-gateway/igw-04a5344b4e30486f1",
"Name": "VPC BPA Internet Gateway"
},
"OutboundHeader": {
"DestinationAddresses": [
"10.0.1.85/32"
]
},
"InboundHeader": {
"DestinationAddresses": [
"10.0.1.85/32"
],
"DestinationPortRanges": [
{
"From": 22,
"To": 22
}
],
"Protocol": "6",
"SourceAddresses": [
"0.0.0.0/5",
"100.0.0.0/10",
"96.0.0.0/6"
],
"SourcePortRanges": [
{
"From": 0,
"To": 65535
}
]
},
"Vpc": {
"Id": "vpc-0762547ec48b6888d",
"Arn": "arn:aws:ec2:us-east-2:470889052923:vpc/vpc-0762547ec48b6888d",
"Name": "VPC BPA"
}
},
{
"SequenceNumber": 2,
"AclRule": {
"Cidr": "0.0.0.0/0",
"Egress": false,
"Protocol": "all",
"RuleAction": "allow",
"RuleNumber": 100
},
"Component": {
"Id": "acl-06194fc3a4a03040b",
"Arn": "arn:aws:ec2:us-east-2:470889052923:network-acl/acl-06194fc3a4a03040b"
}
},
{
"SequenceNumber": 3,
"Component": {
"Id": "sg-093dde06415d03924",
"Arn": "arn:aws:ec2:us-east-2:470889052923:security-group/sg-093dde06415d03924",
"Name": "VPC BPA Instances Security Group"
},
"SecurityGroupRule": {
"Cidr": "0.0.0.0/0",
"Direction": "ingress",
"PortRange": {
"From": 22,
"To": 22
},
"Protocol": "tcp"
}
},
{
"SequenceNumber": 4,
"AttachedTo": {
"Id": "i-058db34f9a0997895",
"Arn": "arn:aws:ec2:us-east-2:470889052923:instance/i-058db34f9a0997895",
"Name": "VPC BPA Instance A"
},
"Component": {
"Id": "eni-0fa23f2766f03b286",
"Arn": "arn:aws:ec2:us-east-2:470889052923:network-interface/eni-0fa23f2766f03b286"
},
"InboundHeader": {
"DestinationAddresses": [
"10.0.1.85/32"
],
"DestinationPortRanges": [
{
"From": 22,
"To": 22
}
],
"Protocol": "6",
"SourceAddresses": [
"0.0.0.0/5",
"100.0.0.0/10",
"96.0.0.0/6"
],
"SourcePortRanges": [
{
"From": 0,
"To": 65535
}
]
},
"Subnet": {
"Id": "subnet-035d235a762eeed04",
"Arn": "arn:aws:ec2:us-east-2:470889052923:subnet/subnet-035d235a762eeed04",
"Name": "VPC BPA Public Subnet A"
},
"Vpc": {
"Id": "vpc-0762547ec48b6888d",
"Arn": "arn:aws:ec2:us-east-2:470889052923:vpc/vpc-0762547ec48b6888d",
"Name": "VPC BPA"
}
}
]
}
],
"AnalysisStatus": "succeeded",
"NetworkInsightsAccessScopeAnalysisId": "nisa-0aa383a1938f94cd1",
"NextToken": "eyJOZXh0VG9rZW4iOiBudWxsLCAiYm90b190cnVuY2F0ZV9hbW91bnQiOiAxfQ=="
}
```
Los resultados muestran el tráfico hacia y desde las puertas de enlace de Internet en todas las VPC de su cuenta. Los resultados se organizan como “hallazgos”. “FindingID”: “AnalysisFinding-1” indica que este es el primer resultado del análisis. Tenga en cuenta que hay varios resultados y cada uno indica un flujo de tráfico que se verá afectado por la activación del BPA de la VPC. El primer resultado mostrará que el tráfico comenzó en una puerta de enlace de Internet (“SequenceNumber”: 1), pasó a una NACL (“SequenceNumber”: 2) a un grupo de seguridad (“SequenceNumber”: 3) y terminó en una instancia (“SequenceNumber”: 4).
1. Analice los resultados para comprender el impacto del BPA de la VPC en los recursos de sus VPC.
El análisis de impacto está completo.
------
## Escenario 1: conexión a instancias sin el BPA de la VPC activado
En esta sección, se puede acceder a las instancias de EC2 de las subredes públicas A y B desde Internet a través de la puerta de enlace de Internet, que permite el tráfico entrante y saliente. Las instancias C y D de la subred privada pueden iniciar el tráfico saliente a través de la puerta de enlace NAT o la puerta de enlace de Internet de solo salida, pero no se puede acceder a ellas directamente desde Internet. Esta configuración proporciona acceso a Internet a algunos recursos mientras protege otros. El objetivo de esta configuración es establecer una referencia y garantizar que, antes de activar el BPA de la VPC, se pueda acceder a todas las instancias y que se conectará a todas las instancias y hará ping a una dirección IP pública.
Diagrama de una VPC sin el BPA de la VPC activado:
![\[Diagrama donde se muestra una VPC sin el BPA activado.\]](http://docs.aws.amazon.com/es_es/vpc/latest/userguide/images/vpc-bpa-1.png)
### 1.1 Conexión a instancias
Complete esta sección para conectarse a sus instancias con el BPA de la VPC desactivado y asegurarse de que puede hacerlo sin problemas. Todas las instancias creadas con CloudFormation para este ejemplo tienen nombres como “Instancia A del BPA de la VPC”.
------
#### [ Consola de administración de AWS ]
1. Abra la consola de Amazon EC2 en [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Abra los detalles de la instancia A.
1. Conéctese a la instancia A mediante la opción **Conexión de instancia EC2** > **Conexión mediante el punto de conexión de EC2 Instance Connect**.
1. Elija **Conectar**. Una vez que se haya conectado correctamente a la instancia, haga ping a www.amazon.com para comprobar que puede enviar las solicitudes salientes a Internet.
1. Para conectarse a las instancia B, C y D, use el mismo método que usó para la A. Desde cada instancia, haga ping a www.amazon.com para verificar si puede enviar solicitudes salientes a Internet.
------
#### [ AWS CLI ]
1. Haga ping a la instancia A mediante la dirección IPv4 pública para comprobar el tráfico entrante:
```
ping 18.225.8.244
```
Salida:
```
Pinging 18.225.8.244 with 32 bytes of data:
Reply from 18.225.8.244: bytes=32 time=51ms TTL=110
Reply from 18.225.8.244: bytes=32 time=61ms TTL=110
```
Advierta que el ping se ha realizado correctamente y que el tráfico no está bloqueado.
1. Utilice la dirección IPv4 privada para conectarse y comprobar el tráfico saliente:
```
aws ec2-instance-connect ssh --instance-id i-058db34f9a0997895 --region us-east-2 --connection-type eice
```
Salida:
```
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, #_ ~_ ####_ Amazon Linux 2023
~~ _#####\ ~~ ###|
~~ #/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~._. _/
/ /
/m/'
Last login: Fri Sep 27 18:27:57 2024 from 3.16.146.5
[ec2-user@ip-10-0-1-85 ~]$ ping www.amazon.com
PING www-amazon-com.customer.fastly.net (18.65.233.187) 56(84) bytes of data.
64 bytes from 18.65.233.187 (18.65.233.187): icmp_seq=15 ttl=58 time=2.06 ms
64 bytes from 18.65.233.187 (18.65.233.187): icmp_seq=16 ttl=58 time=2.26 ms
```
Advierta que el ping se ha realizado correctamente y que el tráfico no está bloqueado.
1. Haga ping a la instancia B mediante la dirección IPv4 pública para comprobar el tráfico entrante:
```
ping 3.18.106.198
```
Salida:
```
Pinging 3.18.106.198 with 32 bytes of data:
Reply from 3.18.106.198: bytes=32 time=83ms TTL=110
Reply from 3.18.106.198: bytes=32 time=54ms TTL=110
```
Advierta que el ping se ha realizado correctamente y que el tráfico no está bloqueado.
1. Utilice la dirección IPv4 privada para conectarse y comprobar el tráfico saliente:
```
aws ec2-instance-connect ssh --instance-id i-08552a0774b5c8f72 --region us-east-2 --connection-type eice
```
Salida:
```
A newer release of "Amazon Linux" is available.
Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, # ~_ #### Amazon Linux 2023
~~ _#####\ ~~ ###|
~~ #/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~.. _/
/ /
/m/'
Last login: Fri Sep 27 18:12:27 2024 from 3.16.146.5
[ec2-user@ip-10-0-2-98 ~]$ ping www.amazon.com
PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
64 bytes from server-3-160-24-126.cmh68.r.cloudfront.net (18.65.233.187): icmp_seq=1 ttl=249 time=1.55 ms
64 bytes from server-3-160-24-126.cmh68.r.cloudfront.net (18.65.233.187): icmp_seq=2 ttl=249 time=1.67 ms
```
Advierta que el ping se ha realizado correctamente y que el tráfico no está bloqueado.
1. Conéctese a la instancia C. Como no hay una dirección IP pública a la que hacer ping, utilice EC2 Instance Connect para conectarse y, a continuación, haga ping a una IP pública desde la instancia para comprobar el tráfico saliente:
```
aws ec2-instance-connect ssh --instance-id i-04eca55f2a482b2c4 --region us-east-2 --connection-type eice
```
Salida:
```
A newer release of "Amazon Linux" is available.
Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, # ~_ #### Amazon Linux 2023
~~ _#####\ ~~ ###|
~~ #/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~.. _/
/ /
/m/'
Last login: Thu Sep 19 20:31:26 2024 from 10.0.2.86
[ec2-user@ip-10-0-3-180 ~]$ ping www.amazon.com
PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
64 bytes from server-3-160-24-126.cmh68.r.cloudfront.net (18.65.233.187): icmp_seq=1 ttl=248 time=1.75 ms
64 bytes from server-3-160-24-126.cmh68.r.cloudfront.net (18.65.233.187): icmp_seq=2 ttl=248 time=1.97 ms
64 bytes from server-3-160-24-26.cmh68.r.cloudfront.net (18.65.233.187): icmp_seq=3 ttl=248 time=1.08 ms
```
Advierta que el ping se ha realizado correctamente y que el tráfico no está bloqueado.
1. Conéctese a la instancia D. Como no hay una dirección IP pública a la que hacer ping, utilice EC2 Instance Connect para conectarse y, a continuación, haga ping a una IP pública desde la instancia para comprobar el tráfico saliente:
```
aws ec2-instance-connect ssh --instance-id i-05f9e6a9cfac1dba0 --region us-east-2 --connection-type eice
```
Salida:
```
The authenticity of host '10.0.3.59 can't be established.
ECDSA key fingerprint is SHA256:c4naBCqbC61/cExDyccEproNU+1HHSpMSzl2J6cOtIZA8g.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added '10.0.3.59' (ECDSA) to the list of known hosts.
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, # ~_ #### Amazon Linux 2023
~~ _#####\ ~~ ###|
~~ #/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~.. _/
_/ _/
_/m/'
[ec2-user@ip-10-0-3-59 ~]$ ping www.amazon.com
PING www.amazon.com(2600:9000:25f3:ee00:7:49a5:5fd4:b121 (2600:9000:25f3:ee00:7:49a5:5fd4:b121)) 56 data bytes
64 bytes from 2600:9000:25f3:ee00:7:49a5:5fd4:b121 (2600:9000:25f3:ee00:7:49a5:5fd4:b121): icmp_seq=1 ttl=58 time=1.19 ms
64 bytes from 2600:9000:25f3:ee00:7:49a5:5fd4:b121 (2600:9000:25f3:ee00:7:49a5:5fd4:b121): icmp_seq=2 ttl=58 time=1.38 ms
```
Advierta que el ping se ha realizado correctamente y que el tráfico no está bloqueado.
------
## Escenario 2: activación del BPA de la VPC en modo bidireccional
En esta sección, activará el BPA de la VPC y bloqueará el tráfico hacia y desde las puertas de enlace de Internet de su cuenta.
Diagrama donde se muestra el modo bidireccional del BPA de la VPC activado:
![\[Diagrama donde se muestra la VPC con el BPA bidireccional activado.\]](http://docs.aws.amazon.com/es_es/vpc/latest/userguide/images/vpc-bpa-2.png)
### 2.1 Activación del modo bidireccional del BPA de la VPC
Complete esta sección para habilitar el BPA de la VPC. El modo bidireccional del BPA de la VPC bloquea todo el tráfico hacia y desde las puertas de enlace de Internet y las puertas de enlace de Internet de solo salida en esta región (excepto las VPC y las subredes excluidas).
------
#### [ Consola de administración de AWS ]
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación izquierdo, elija **Configuración**.
1. Elija **Editar la configuración del acceso público**.
1. Seleccione **Activar el bloqueo del acceso público** y **Bidireccional** y, a continuación, seleccione **Guardar cambios**.
1. Espere a que el **Estado** cambie a **Activado**. La aplicación de las configuraciones del BPA de la VPC y la actualización del estado pueden tardar unos minutos.
El BPA de la VPC ya está activado.
------
#### [ AWS CLI ]
1. Use el comando modify-vpc-block-public-access-options para activar el BPA de la VPC:
```
aws ec2 --region us-east-2 modify-vpc-block-public-access-options --internet-gateway-block-mode block-bidirectional
```
La aplicación de las configuraciones del BPA de la VPC y la actualización del estado pueden tardar unos minutos.
1. Ver el estado del BPA de la VPC:
```
aws ec2 --region us-east-2 describe-vpc-block-public-access-options
```
------
### 2.2 Conexión a instancias
Complete esta sección para conectarse a sus instancias.
------
#### [ Consola de administración de AWS ]
1. Haga ping a la dirección IPv4 pública de las instancias A y B, tal y como hizo en el escenario 1. Advierta que el tráfico está bloqueado.
1. Conéctese a la instancia A mediante la opción **Conexión de instancia EC2** > **Conexión mediante el punto de conexión de EC2 Instance Connect**, como lo hizo en el escenario 1. Asegúrese de utilizar la opción de punto de conexión.
1. Elija **Conectar**. Una vez que se haya conectado correctamente a la instancia, haga ping a www.amazon.com. Advierta que todo el tráfico de salida está bloqueado.
1. Para conectarse a las instancia B, C y D, use el mismo método que usó para la A, y luego verifique las solicitudes salientes a Internet. Advierta que todo el tráfico de salida está bloqueado.
------
#### [ AWS CLI ]
1. Haga ping a la instancia A mediante la dirección IPv4 pública para comprobar el tráfico entrante:
```
ping 18.225.8.244
```
Salida:
```
Pinging 18.225.8.244 with 32 bytes of data:
Request timed out.
```
Advierta que el ping falla y el tráfico está bloqueado.
1. Utilice la dirección IPv4 privada para conectarse y comprobar el tráfico saliente:
```
aws ec2-instance-connect ssh --instance-id i-058db34f9a0997895 --region us-east-2 --connection-type eice
```
Salida:
```
The authenticity of host '10.0.1.85' can't be established.
ECDSA key fingerprint is SHA256:3zo/gSss+HAZ+7eTyWlOB/Ke04IM+hadjsoLJeRTWBk.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added '10.0.1.85' (ECDSA) to the list of known hosts.
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, #_ ~_ ####_ Amazon Linux 2023
~~ _#####\ ~~ ###|
~~ #/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~._. _/
/ /
/m/'
Last login: Fri Sep 27 14:16:53 2024 from 3.16.146.5
[ec2-user@ip-10-0-1-85 ~]$ ping www.amazon.com
PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
```
Advierta que el ping falla y el tráfico está bloqueado.
1. Haga ping a la instancia B mediante la dirección IPv4 pública para comprobar el tráfico entrante:
```
ping 3.18.106.198
```
Salida:
```
Pinging 3.18.106.198 with 32 bytes of data:
Request timed out.
```
Advierta que el ping falla y el tráfico está bloqueado.
1. Utilice la dirección IPv4 privada para conectarse y comprobar el tráfico saliente:
```
aws ec2-instance-connect ssh --instance-id i-08552a0774b5c8f72 --region us-east-2 --connection-type eice
```
Salida:
```
The authenticity of host '10.0.2.98' can't be established.
ECDSA key fingerprint is SHA256:0IjXKKyVlDthcCfI0IPIJMUiItAOLYKRNLGTYURnFXo.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added '10.0.2.98' (ECDSA) to the list of known hosts.
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, # ~_ #### Amazon Linux 2023
~~ _#####\ ~~ ###|
~~ #/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~.. _/
/ /
/m/'
Last login: Fri Sep 27 14:18:16 2024 from 3.16.146.5
[ec2-user@ip-10-0-2-98 ~]$ ping www.amazon.com
PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
```
Advierta que el ping falla y el tráfico está bloqueado.
1. Conéctese a la instancia C. Como no hay una dirección IP pública a la que hacer ping, utilice EC2 Instance Connect para conectarse y, a continuación, haga ping a una IP pública desde la instancia para comprobar el tráfico saliente:
```
aws ec2-instance-connect ssh --instance-id i-04eca55f2a482b2c4 --region us-east-2 --connection-type eice
```
Salida:
```
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, # ~_ #### Amazon Linux 2023
~~ _#####\ ~~ ###|
~~ #/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~.. _/
/ /
/m/'
Last login: Tue Sep 24 15:17:56 2024 from 10.0.2.86
[ec2-user@ip-10-0-3-180 ~]$ ping www.amazon.com
PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
```
Advierta que el ping falla y el tráfico está bloqueado.
1. Conéctese a la instancia D. Como no hay una dirección IP pública a la que hacer ping, utilice EC2 Instance Connect para conectarse y, a continuación, haga ping a una IP pública desde la instancia para comprobar el tráfico saliente:
```
aws ec2-instance-connect ssh --instance-id i-05f9e6a9cfac1dba0 --region us-east-2 --connection-type eice
```
Salida:
```
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, # ~_ #### Amazon Linux 2023
~~ _#####\ ~~ ###|
~~ #/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~.. _/
_/ _/
_/m/'
Last login: Fri Sep 27 16:42:01 2024 from 3.16.146.5
[ec2-user@ip-10-0-3-59 ~]$ ping www.amazon.com
PING www.amazon.com(2600:9000:25f3:8200:7:49a5:5fd4:b121 (2600:9000:25f3:8200:7:49a5:5fd4:b121)) 56 data bytes
```
Advierta que el ping falla y el tráfico está bloqueado.
------
### 2.3: Opcional: Verificar que la conectividad esté bloqueada con el analizador de accesibilidad
El [analizador de accesibilidad de la VPC](https://docs.aws.amazon.com/vpc/latest/reachability/what-is-reachability-analyzer.html) se puede utilizar para comprender si se puede acceder o no a determinadas rutas de red según la configuración de la red, incluida la configuración del BPA de la VPC. En este ejemplo, analizará la misma ruta de red que se intentó anteriormente para confirmar que el BPA de la VPC es el motivo por el que falla la conectividad.
------
#### [ Consola de administración de AWS ]
1. Vaya a la consola de Network Insights en [https://console.aws.amazon.com/networkinsights/home#ReachabilityAnalyzer](https://console.aws.amazon.com/networkinsights/home#ReachabilityAnalyzer).
1. Haga clic en **Crear y analizar la ruta**.
1. En **Tipo de origen**, elija **Puertas de enlace de internet** y seleccione la puerta de enlace de Internet etiquetada **Puerta de enlace de internet del BPA de la VPC** en el menú desplegable **Origen**.
1. En **Tipo de destino**, elija **Instancias** y seleccione la instancia etiquetada como **Instancia A del BPA de la VPC** en el menú desplegable **Destino**.
1. Haga clic en **Crear y analizar la ruta**.
1. Espere a que el análisis finalice. Puede demorar unos minutos.
1. Una vez completado, verá que el **Estado de accesibilidad** es **No alcanzable** y que los **Detalles de la ruta** muestran que `VPC_BLOCK_PUBLIC_ACCESS_ENABLED` es la causa.
------
#### [ AWS CLI ]
1. Cree una ruta de red con el ID de la puerta de enlace de Internet con la etiqueta Puerta de enlace de internet del BPA de la VPC y el ID de la instancia con la etiqueta Instancia A del BPA de la VPC:
```
aws ec2 --region us-east-2 create-network-insights-path --source igw-id --destination instance-id --protocol TCP
```
1. Iniciar un análisis de la ruta de la red:
```
aws ec2 --region us-east-2 start-network-insights-analysis --network-insights-path-id nip-id
```
1. Recuperar los resultados del análisis:
```
aws ec2 --region us-east-2 describe-network-insights-analyses --network-insights-analysis-ids nia-id
```
1. Compruebe que `VPC_BLOCK_PUBLIC_ACCESS_ENABLED` es el `ExplanationCode` por la falta de accesibilidad.
------
Tenga en cuenta que también puede hacer un [Monitoreo del impacto del BPA de la VPC con registros de flujo](security-vpc-bpa-assess-impact-main.md#security-vpc-bpa-fl).
## Escenario 3: cambio del BPA de la VPC al modo de solo entrada
En esta sección, cambiará la dirección del tráfico del BPA de la VPC y permitirá solo el tráfico que utilice una puerta de enlace NAT o una puerta de enlace de Internet de solo salida. No se podrá acceder a las instancias de EC2 A y B de las subredes públicas desde Internet porque el BPA bloquea el tráfico entrante a través de la puerta de enlace de Internet. Las instancias C y D de la subred privada seguirán pudiendo iniciar el tráfico saliente a través de la puerta de enlace NAT y la puerta de enlace de Internet de solo salida y, por lo tanto, podrán seguir accediendo a Internet.
Diagrama del modo de solo ingreso del BPA de la VPC activado:
![\[Diagrama donde se muestra una VPC con el BPA de solo entrada activado.\]](http://docs.aws.amazon.com/es_es/vpc/latest/userguide/images/vpc-bpa-3.png)
### 3.1 Cambiar el modo al de solo entrada
Complete esta sección para cambiar el modo.
------
#### [ Consola de administración de AWS ]
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación izquierdo, elija **Configuración**.
1. En la pestaña **Bloqueo de acceso público**, seleccione **Editar la configuración del acceso público**.
1. Modifique la configuración de acceso público en la consola de la VPC y cambie la dirección a **Solo entrada**.
1. Guarde los cambios y espere a que se actualice el estado. La aplicación de las configuraciones del BPA de la VPC y la actualización del estado pueden tardar unos minutos.
------
#### [ AWS CLI ]
1. Modifique el modo del BPA de la VPC:
```
aws ec2 --region us-east-2 modify-vpc-block-public-access-options --internet-gateway-block-mode block-ingress
```
La aplicación de las configuraciones del BPA de la VPC y la actualización del estado pueden tardar unos minutos.
1. Ver el estado del BPA de la VPC:
```
aws ec2 --region us-east-2 describe-vpc-block-public-access-options
```
------
### 3.2 Conexión a instancias
Complete esta sección para conectarse a las instancias.
------
#### [ Consola de administración de AWS ]
1. Haga ping a la dirección IPv4 pública de las instancias A y B, tal y como hizo en el escenario 1. Advierta que el tráfico está bloqueado.
1. Conéctese a las instancias A y B mediante EC2 Instance Connect como lo hizo en el escenario 1 y haga ping a www.amazon.com desde allí. Advierta que no puede hacer ping a un sitio público de Internet desde las instancias A o B, ya que el tráfico está bloqueado.
1. Conéctese a las instancias C y D mediante EC2 Instance Connect como lo hizo en el escenario 1 y haga ping a www.amazon.com desde allí. Advierta que puede hacer ping a un sitio público de Internet desde la instancia C o D y que el tráfico está permitido.
------
#### [ AWS CLI ]
1. Haga ping a la instancia A mediante la dirección IPv4 pública para comprobar el tráfico entrante:
```
ping 18.225.8.244
```
Salida:
```
Pinging 18.225.8.244 with 32 bytes of data:
Request timed out.
```
Advierta que el ping falla y el tráfico está bloqueado.
1. Utilice la dirección IPv4 privada para conectarse y comprobar el tráfico saliente:
```
aws ec2-instance-connect ssh --instance-id i-058db34f9a0997895 --region us-east-2 --connection-type eice
```
Salida:
```
The authenticity of host '10.0.1.85' can't be established.
ECDSA key fingerprint is SHA256:3zo/gSss+HAZ+7eTyWlOB/Ke04IM+hadjsoLJeRTWBk.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added '10.0.1.85' (ECDSA) to the list of known hosts.
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, #_ ~_ ####_ Amazon Linux 2023
~~ _#####\ ~~ ###|
~~ #/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~._. _/
/ /
/m/'
Last login: Fri Sep 27 14:16:53 2024 from 3.16.146.5
[ec2-user@ip-10-0-1-85 ~]$ ping www.amazon.com
PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
```
Advierta que el ping falla y el tráfico está bloqueado.
1. Haga ping a la instancia B mediante la dirección IPv4 pública para comprobar el tráfico entrante:
```
ping 3.18.106.198
```
Salida:
```
Pinging 3.18.106.198 with 32 bytes of data:
Request timed out.
```
Advierta que el ping falla y el tráfico está bloqueado.
1. Utilice la dirección IPv4 privada para conectarse y comprobar el tráfico saliente:
```
aws ec2-instance-connect ssh --instance-id i-08552a0774b5c8f72 --region us-east-2 --connection-type eice
```
Salida:
```
The authenticity of host '10.0.2.98 ' can't be established.
ECDSA key fingerprint is SHA256:0IjXKKyVlDthcCfI0IPIJMUiItAOLYKRNLGTYURnFXo.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added '10.0.2.98' (ECDSA) to the list of known hosts.
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, # ~_ #### Amazon Linux 2023
~~ _#####\ ~~ ###|
~~ #/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~.. _/
_/ /
/m/'
Last login: Fri Sep 27 14:18:16 2024 from 3.16.146.5
[ec2-user@ip-10-0-2-98 ~]$ ping www.amazon.com
PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
```
Advierta que el ping falla y el tráfico está bloqueado.
1. Conéctese a la instancia C. Como no hay una dirección IP pública a la que hacer ping, utilice EC2 Instance Connect para conectarse y, a continuación, haga ping a una IP pública desde la instancia para comprobar el tráfico saliente:
```
aws ec2-instance-connect ssh --instance-id i-04eca55f2a482b2c4 --region us-east-2 --connection-type eice
```
Salida:
```
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, #_ ~\_ ####_ Amazon Linux 2023
~~ \_#####\ ~~ \###|
~~ \#/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~._. _/
_/ _/
_/m/'
Last login: Tue Sep 24 15:28:09 2024 from 10.0.2.86
[ec2-user@ip-10-0-3-180 ~]$ ping www.amazon.com
PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
64 bytes from server-3-160-24-126.cmh68.r.cloudfront.net (18.65.233.187): icmp_seq=1 ttl=248 time=1.84 ms
64 bytes from server-3-160-24-126.cmh68.r.cloudfront.net (18.65.233.187): icmp_seq=2 ttl=248 time=1.40 ms
```
Advierta que el ping se ha realizado correctamente y que el tráfico no está bloqueado.
1. Conéctese a la instancia D. Como no hay una dirección IP pública a la que hacer ping, utilice EC2 Instance Connect para conectarse y, a continuación, haga ping a una IP pública desde la instancia para comprobar el tráfico saliente:
```
aws ec2-instance-connect ssh --instance-id i-05f9e6a9cfac1dba0 --region us-east-2 --connection-type eice
```
Salida:
```
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, #_ ~\_ ####_ Amazon Linux 2023
~~ \_#####\ ~~ \###|
~~ \#/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~._. _/
_/ _/
_/m/'
Last login: Fri Sep 27 16:48:38 2024 from 3.16.146.5
[ec2-user@ip-10-0-3-59 ~]$ ping www.amazon.com
PING www.amazon.com(2600:9000:25f3:5800:7:49a5:5fd4:b121 (2600:9000:25f3:5800:7:49a5:5fd4:b121)) 56 data bytes
64 bytes from 2600:9000:25f3:5800:7:49a5:5fd4:b121 (2600:9000:25f3:5800:7:49a5:5fd4:b121): icmp_seq=14 ttl=58 time=1.47 ms
64 bytes from 2600:9000:25f3:5800:7:49a5:5fd4:b121 (2600:9000:25f3:5800:7:49a5:5fd4:b121): icmp_seq=16 ttl=58 time=1.59 ms
```
Advierta que el ping se ha realizado correctamente y que el tráfico no está bloqueado.
------
## Escenario 4: creación de una exclusión
En esta sección, creará una exclusión. En ese caso, el BPA de la VPC solo bloqueará el tráfico en las subredes que *no tengan* una exclusión. Una exclusión del BPA de la VPC es un modo que se puede aplicar a una sola VPC o subred y que la exime del modo BPA de la VPC de la cuenta y permitirá el acceso bidireccional o solo de salida. Puede crear exclusiones del BPA de la VPC para las VPC y las subredes incluso cuando el BPA de la VPC no esté habilitado en la cuenta para garantizar que no se interrumpa el tráfico en las exclusiones cuando se active el BPA de la VPC.
En este ejemplo, crearemos una exclusión para la subred A para mostrar cómo afecta el BPA de la VPC al tráfico a las exclusiones.
Diagrama del modo de solo entrada del BPA de la VPC activado y de la exclusión de la subred A con el modo bidireccional activado:
![\[Diagrama donde se muestra la VPC con el BPA en modo de solo entrada con una exclusión.\]](http://docs.aws.amazon.com/es_es/vpc/latest/userguide/images/vpc-bpa-4.png)
### 4.1 Crear una exclusión para la subred A
Complete esta sección para crear una exclusión. Una exclusión del BPA de la VPC es un modo que se puede aplicar a una sola VPC o subred y que la exime del modo BPA de la VPC de la cuenta y permitirá el acceso bidireccional o solo de salida. Puede crear exclusiones del BPA de la VPC para las VPC y las subredes incluso cuando el BPA de la VPC no esté habilitado en la cuenta para garantizar que no se interrumpa el tráfico en las exclusiones cuando se active el BPA de la VPC.
------
#### [ Consola de administración de AWS ]
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación izquierdo, elija **Configuración**.
1. En la pestaña **Bloquear el acceso público**, en **Exclusiones**, seleccione **Crear exclusiones**.
1. Seleccione **Subred pública A del BPA de la VPC**, asegúrese de que esté seleccionada la opción de dirección **Bidireccional** permitida y elija **Crear exclusiones**.
1. Espere a que el **Estado de exclusión** cambie a **Activo**. Puede que tenga que actualizar la tabla de exclusión para ver el cambio.
Se ha creado la exclusión.
------
#### [ AWS CLI ]
1. Modifique la dirección permitida de la exclusión:
```
aws ec2 --region us-east-2 create-vpc-block-public-access-exclusion --subnet-id subnet-id --internet-gateway-exclusion-mode allow-bidirectional
```
1. El estado de exclusión puede tardar un tiempo en actualizarse. Para ver el estado de la exclusión:
```
aws ec2 --region us-east-2 describe-vpc-block-public-access-exclusions --exclusion-ids exclusion-id
```
------
### 4.2 Conexión a instancias
Complete esta sección para conectarse a las instancias.
------
#### [ Consola de administración de AWS ]
1. Haga ping a la dirección IPv4 pública de la instancia A. Advierta que el tráfico está permitido.
1. Haga ping a la dirección IPv4 pública de la instancia B. Advierta que el tráfico está bloqueado.
1. Conéctese a la instancia A mediante EC2 Instance Connect como lo hizo en el escenario 1 y haga ping a www.amazon.com. Advierta que puede hacer ping a un sitio público de Internet desde la instancia A. El tráfico está permitido.
1. Conéctese a la instancia B mediante EC2 Instance Connect como lo hizo en el escenario 1 y haga ping a www.amazon.com desde allí. Advierta que no puede hacer ping a un sitio público de Internet desde la instancia B. El tráfico está bloqueado.
1. Conéctese a las instancias C y D mediante EC2 Instance Connect como lo hizo en el escenario 1 y haga ping a www.amazon.com desde allí. Advierta que puede hacer ping a un sitio público de Internet desde la instancia C o D. El tráfico está permitido.
------
#### [ AWS CLI ]
1. Haga ping a la instancia A mediante la dirección IPv4 pública para comprobar el tráfico entrante:
```
ping 18.225.8.244
```
Salida:
```
Pinging 18.225.8.244 with 32 bytes of data:
Reply from 18.225.8.244: bytes=32 time=51ms TTL=110
Reply from 18.225.8.244: bytes=32 time=61ms TTL=110
```
Advierta que el ping se ha realizado correctamente y que el tráfico no está bloqueado.
1. Utilice la dirección IPv4 privada para conectarse y comprobar el tráfico saliente:
```
aws ec2-instance-connect ssh --instance-id i-058db34f9a0997895 --region us-east-2 --connection-type eice
```
Salida:
```
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, #_ ~_ ####_ Amazon Linux 2023
~~ _#####\ ~~ ###|
~~ #/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~._. _/
/ /
/m/'
Last login: Fri Sep 27 17:58:12 2024 from 3.16.146.5
[ec2-user@ip-10-0-1-85 ~]$ ping www.amazon.com
PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
64 bytes from server-3-160-24-126.cmh68.r.cloudfront.net (18.65.233.187): icmp_seq=1 ttl=249 time=1.03 ms
64 bytes from server-3-160-24-126.cmh68.r.cloudfront.net (18.65.233.187): icmp_seq=2 ttl=249 time=1.72 ms
```
Advierta que el ping se ha realizado correctamente y que el tráfico no está bloqueado.
1. Haga ping a la instancia B mediante la dirección IPv4 pública para comprobar el tráfico entrante:
```
ping 3.18.106.198
```
Salida:
```
Pinging 3.18.106.198 with 32 bytes of data:
Request timed out.
```
Advierta que el ping falla y el tráfico está bloqueado.
1. Utilice la dirección IPv4 privada para conectarse y comprobar el tráfico saliente:
```
aws ec2-instance-connect ssh --instance-id i-08552a0774b5c8f72 --region us-east-2 --connection-type eice
```
Salida:
```
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, # ~_ #### Amazon Linux 2023
~~ _#####\ ~~ ###|
~~ #/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~.. _/
_/ /
/m/'
Last login: Fri Sep 27 18:12:03 2024 from 3.16.146.5
[ec2-user@ip-10-0-2-98 ~]$ ping www.amazon.com
PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
```
Advierta que el ping falla y el tráfico está bloqueado.
1. Conéctese a la instancia C. Como no hay una dirección IP pública a la que hacer ping, utilice EC2 Instance Connect para conectarse y, a continuación, haga ping a una IP pública desde la instancia para comprobar el tráfico saliente:
```
aws ec2-instance-connect ssh --instance-id i-04eca55f2a482b2c4 --region us-east-2 --connection-type eice
```
Output
```
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, # ~_ #### Amazon Linux 2023
~~ _#####\ ~~ ###|
~~ #/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~.. _/
_/ /
/m/'
Last login: Tue Sep 24 15:28:09 2024 from 10.0.2.86
[ec2-user@ip-10-0-3-180 ~]$ ping www.amazon.com
PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
64 bytes from server-3-160-24-126.cmh68.r.cloudfront.net (18.65.233.187): icmp_seq=1 ttl=248 time=1.84 ms
64 bytes from server-3-160-24-126.cmh68.r.cloudfront.net (18.65.233.187): icmp_seq=2 ttl=248 time=1.40 ms
```
Advierta que el ping se ha realizado correctamente y que el tráfico no está bloqueado.
1. Conéctese a la instancia D. Como no hay una dirección IP pública a la que hacer ping, utilice EC2 Instance Connect para conectarse y, a continuación, haga ping a una IP pública desde la instancia para comprobar el tráfico saliente:
```
aws ec2-instance-connect ssh --instance-id i-05f9e6a9cfac1dba0 --region us-east-2 --connection-type eice
```
Output
```
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, #_ ~\_ ####_ Amazon Linux 2023
~~ \_#####\ ~~ \###|
~~ \#/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~._. _/
_/ _/
_/m/'
Last login: Fri Sep 27 18:00:52 2024 from 3.16.146.5
[ec2-user@ip-10-0-3-59 ~]$ ping www.amazon.com
PING www.amazon.com(g2600-141f-4000-059a-0000-0000-0000-3bd4.deploy.static.akamaitechnologies.com (2600:141f:4000:59a::3bd4)) 56 data bytes
64 bytes from g2600-141f-4000-059a-0000-0000-0000-3bd4.deploy.static.akamaitechnologies.com (2600:141f:4000:59a::3bd4): icmp_seq=1 ttl=48 time=15.9 ms
64 bytes from g2600-141f-4000-059a-0000-0000-0000-3bd4.deploy.static.akamaitechnologies.com (2600:141f:4000:59a::3bd4): icmp_seq=2 ttl=48 time=15.8 ms
```
Advierta que el ping se ha realizado correctamente y que el tráfico no está bloqueado.
------
### 4.3: Opcional: Verificar la conectividad con el analizador de accesibilidad
Con la misma ruta de red creada en el analizador de accesibilidad en el escenario 2, ahora puede ejecutar un nuevo análisis y confirmar que se puede acceder a la ruta ahora que se ha creado una exclusión para la subred pública A.
Para obtener información sobre la disponibilidad regional del Analizador de accesibilidad, consulte *Consideraciones* en la [Guía del Analizador de accesibilidad](https://docs.aws.amazon.com/vpc/latest/reachability/how-reachability-analyzer-works.html#considerations).
------
#### [ Consola de administración de AWS ]
1. En la ruta de red que creó anteriormente en la consola de Network Insights, haga clic en **Volver a ejecutar el análisis**.
1. Espere a que el análisis finalice. Esta operación puede tardar varios minutos.
1. Confirme que ahora la ruta está **Accesible**.
------
#### [ AWS CLI ]
1. Con el ID de ruta de red creado anteriormente, inicie un nuevo análisis:
```
aws ec2 --region us-east-2 start-network-insights-analysis --network-insights-path-id nip-id
```
1. Recuperar los resultados del análisis:
```
aws ec2 --region us-east-2 describe-network-insights-analyses --network-insights-analysis-ids nia-id
```
1. Confirme que el código de explicación `VPC_BLOCK_PUBLIC_ACCESS_ENABLED` ya no está presente.
------
## Escenario 5: modificación del modo de exclusión
En esta sección, cambiará la dirección del tráfico permitida en la exclusión para ver cómo afecta al BPA de la VPC.
**nota**
En este escenario, cambiará el modo de exclusión a solo salida. Tenga en cuenta que, cuando hace esto, la exclusión de solo salida en la subred A no permite el tráfico saliente, lo cual es contraintuitivo, ya que uno esperaría que permitiera el tráfico saliente. Sin embargo, dado que el BPA a nivel de cuenta es de solo entrada, se ignoran las exclusiones de solo salida y el BPA de la VPC restringe el enrutamiento de la subred A a una puerta de enlace de Internet, lo cual bloquea el tráfico saliente. Para habilitar el tráfico saliente en la subred A, tendría que cambiar el BPA de la VPC al modo bidireccional.
Diagrama del modo de solo entrada del BPA de la VPC activado y de la exclusión de la subred A con el modo de solo salida activado:
![\[Diagrama donde se muestra la VPC con el BPA en modo de solo entrada, lo que permite el tráfico saliente a través de la puerta de enlace NAT.\]](http://docs.aws.amazon.com/es_es/vpc/latest/userguide/images/vpc-bpa-5.png)
### 5.1 Cambiar la dirección permitida de la exclusión a solo salida
Complete esta sección para cambiar la dirección de la exclusión permitida.
------
#### [ Consola de administración de AWS ]
1. Edite la exclusión que creó en el escenario 4 y cambie la dirección permitida a **Solo salida.**
1. Seleccione **Save changes (Guardar cambios)**.
1. Espere a que el **Estado de exclusión** cambie a **Activo**. La aplicación de las configuraciones del BPA de la VPC y la actualización del estado pueden tardar unos minutos. Puede que tenga que actualizar la tabla de exclusión para ver el cambio.
------
#### [ AWS CLI ]
1. Modifique la dirección permitida de la exclusión:
```
aws ec2 --region us-east-2 modify-vpc-block-public-access-exclusion --exclusion-id exclusion-id --internet-gateway-exclusion-mode allow-egress
```
La aplicación de las configuraciones del BPA de la VPC y la actualización del estado pueden tardar unos minutos.
1. El estado de exclusión puede tardar un tiempo en actualizarse. Para ver el estado de la exclusión:
```
aws ec2 --region us-east-2 describe-vpc-block-public-access-exclusion
```
------
### 5.2 Conexión a instancias
Complete esta sección para conectarse a las instancias.
------
#### [ Consola de administración de AWS ]
1. Haga ping a la dirección IPv4 pública de las instancias A y B. Advierta que el tráfico está bloqueado.
1. Conéctese a la instancia A y B mediante EC2 Instance Connect como lo hizo en el escenario 1 y haga ping a www.amazon.com. Advierta que no puede hacer ping a un sitio público de Internet desde la instancia A o B. El tráfico está bloqueado.
1. Conéctese a las instancias C y D mediante EC2 Instance Connect como lo hizo en el escenario 1 y haga ping a www.amazon.com desde allí. Advierta que puede hacer ping a un sitio público de Internet desde la instancia C o D. El tráfico está permitido.
------
#### [ AWS CLI ]
1. Haga ping a la instancia A mediante la dirección IPv4 pública para comprobar el tráfico entrante:
```
ping 18.225.8.244
```
Salida:
```
Pinging 18.225.8.244 with 32 bytes of data:
Request timed out.
```
Advierta que el ping falla y el tráfico está bloqueado.
1. Utilice la dirección IPv4 privada para conectarse y comprobar el tráfico saliente:
```
aws ec2-instance-connect ssh --instance-id i-058db34f9a0997895 --region us-east-2 --connection-type eice
```
Salida:
```
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, #_ ~\_ ####_ Amazon Linux 2023
~~ \_#####\ ~~ \###|
~~ \#/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~._. _/
_/ _/
_/m/'
Last login: Fri Sep 27 18:09:55 2024 from 3.16.146.5
[ec2-user@ip-10-0-1-85 ~]$ ping www.amazon.com
PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
```
Advierta que el ping falla y el tráfico está bloqueado.
1. Haga ping a la instancia B mediante la dirección IPv4 pública para comprobar el tráfico entrante:
```
ping 3.18.106.198
```
Salida:
```
Pinging 3.18.106.198 with 32 bytes of data:
Request timed out.
```
Advierta que el ping falla y el tráfico está bloqueado.
1. Utilice la dirección IPv4 privada para conectarse y comprobar el tráfico saliente:
```
aws ec2-instance-connect ssh --instance-id i-058db34f9a0997895 --region us-east-2 --connection-type eice
```
Salida:
```
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, #_ ~\_ ####_ Amazon Linux 2023
~~ \_#####\ ~~ \###|
~~ \#/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~._. _/
_/ _/
_/m/'
Last login: Fri Sep 27 18:09:55 2024 from 3.16.146.5
[ec2-user@ip-10-0-1-85 ~]$ ping www.amazon.com
PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
```
Advierta que el ping falla y el tráfico está bloqueado.
1. Conéctese a la instancia C. Como no hay una dirección IP pública a la que hacer ping, utilice EC2 Instance Connect para conectarse y, a continuación, haga ping a una IP pública desde la instancia para comprobar el tráfico saliente:
```
aws ec2-instance-connect ssh --instance-id i-04eca55f2a482b2c4 --region us-east-2 --connection-type eice
```
Salida:
```
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, #_ ~\_ ####_ Amazon Linux 2023
~~ \_#####\ ~~ \###|
~~ \#/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~._. _/
_/ _/
_/m/'
Last login: Fri Sep 27 18:00:31 2024 from 3.16.146.5
[ec2-user@ip-10-0-3-180 ~]$ ping www.amazon.com
PING www.amazon.com(2600:9000:25f3:a600:7:49a5:5fd4:b121 (2600:9000:25f3:a600:7:49a5:5fd4:b121)) 56 data bytes
64 bytes from 2600:9000:25f3:a600:7:49a5:5fd4:b121 (2600:9000:25f3:a600:7:49a5:5fd4:b121): icmp_seq=1 ttl=58 time=1.51 ms
64 bytes from 2600:9000:25f3:a600:7:49a5:5fd4:b121 (2600:9000:25f3:a600:7:49a5:5fd4:b121): icmp_seq=2 ttl=58 time=1.49 ms
```
Advierta que el ping se ha realizado correctamente y que el tráfico no está bloqueado.
1. Conéctese a la instancia D. Como no hay una dirección IP pública a la que hacer ping, utilice EC2 Instance Connect para conectarse y, a continuación, haga ping a una IP pública desde la instancia para comprobar el tráfico saliente:
```
aws ec2-instance-connect ssh --instance-id i-05f9e6a9cfac1dba0 --region us-east-2 --connection-type eice
```
Salida:
```
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, #_ ~\_ ####_ Amazon Linux 2023
~~ \_#####\ ~~ \###|
~~ \#/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~._. _/
_/ _/
_/m/'
Last login: Fri Sep 27 18:13:55 2024 from 3.16.146.5
[ec2-user@ip-10-0-3-59 ~]$ ping www.amazon.com
PING www.amazon.com(2606:2cc0::374 (2606:2cc0::374)) 56 data bytes
64 bytes from 2606:2cc0::374 (2606:2cc0::374): icmp_seq=1 ttl=58 time=1.21 ms
64 bytes from 2606:2cc0::374 (2606:2cc0::374): icmp_seq=2 ttl=58 time=1.51 ms
```
Advierta que el ping se ha realizado correctamente y que el tráfico no está bloqueado.
------
## Escenario 6: modificación del modo del BPA de la VPC
En esta sección, cambiará la dirección del bloque de BPA de la VPC para ver cómo afecta al tráfico. En este escenario, el BPA de la VPC habilitado en modo bidireccional bloquea todo el tráfico igual que en el escenario 1. A menos que una exclusión tenga acceso a una puerta de enlace NAT o a una puerta de enlace de Internet de solo salida, el tráfico se bloquea.
Diagrama del modo bidireccional del BPA de la VPC activado y de la exclusión de subred A con el modo de solo salida activado:
![\[Diagrama donde se muestra la VPC con el BPA en modo de solo entrada, lo que permite el tráfico saliente a través de la puerta de enlace NAT\]](http://docs.aws.amazon.com/es_es/vpc/latest/userguide/images/vpc-bpa-6.png)
### 6.1 Cambiar el BPA de la VPC al modo bidireccional
Complete esta sección para cambiar el modo del BPA de la VPC.
------
#### [ Consola de administración de AWS ]
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación izquierdo, elija **Configuración**.
1. Elija **Editar la configuración del acceso público**.
1. Cambie la dirección del bloque a **Bidireccional** y, a continuación, seleccione **Guardar cambios**.
1. Espere a que el **Estado** cambie a **Activado**. La aplicación de las configuraciones del BPA de la VPC y la actualización del estado pueden tardar unos minutos.
------
#### [ AWS CLI ]
1. Modifique la dirección del bloqueo del BPA de la VPC:
```
aws ec2 --region us-east-2 modify-vpc-block-public-access-options --internet-gateway-block-mode block-bidirectional
```
La aplicación de las configuraciones del BPA de la VPC y la actualización del estado pueden tardar unos minutos.
1. Ver el estado del BPA de la VPC:
```
aws ec2 --region us-east-2 describe-vpc-block-public-access-options
```
------
### 6.2 Conexión a instancias
Complete esta sección para conectarse a las instancias.
------
#### [ Consola de administración de AWS ]
1. Haga ping a la dirección IPv4 pública de las instancias A y B. Advierta que el tráfico está bloqueado.
1. Conéctese a la instancia A y B mediante EC2 Instance Connect como lo hizo en el escenario 1 y haga ping a www.amazon.com. Advierta que no puede hacer ping a un sitio público de Internet desde la instancia A o B. El tráfico está bloqueado.
1. Conéctese a las instancias C y D mediante EC2 Instance Connect como lo hizo en el escenario 1 y haga ping a www.amazon.com desde allí. Advierta que no puede hacer ping a un sitio público de Internet desde la instancia C o D. El tráfico está bloqueado.
------
#### [ AWS CLI ]
1. Haga ping a la instancia A mediante la dirección IPv4 pública para comprobar el tráfico entrante:
```
ping 18.225.8.244
```
Salida:
```
Pinging 18.225.8.244 with 32 bytes of data:
Request timed out.
```
Advierta que el ping falla y el tráfico está bloqueado.
1. Utilice la dirección IPv4 privada para conectarse y comprobar el tráfico saliente:
```
aws ec2-instance-connect ssh --instance-id i-058db34f9a0997895 --region us-east-2 --connection-type eice
```
Salida:
```
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, #_ ~\_ ####_ Amazon Linux 2023
~~ \_#####\ ~~ \###|
~~ \#/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~._. _/
_/ _/
_/m/'
Last login: Fri Sep 27 18:17:44 2024 from 3.16.146.5
[ec2-user@ip-10-0-1-85 ~]$ ping www.amazon.com
PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
```
Advierta que el ping falla y el tráfico está bloqueado.
1. Haga ping a la instancia A mediante la dirección IPv4 pública para comprobar el tráfico entrante:
```
ping 3.18.106.198
```
Salida:
```
Pinging 3.18.106.198 with 32 bytes of data:
Request timed out.
```
Advierta que el ping falla y el tráfico está bloqueado.
1. Utilice la dirección IPv4 privada para conectarse y comprobar el tráfico saliente:
```
aws ec2-instance-connect ssh --instance-id i-058db34f9a0997895 --region us-east-2 --connection-type eice
```
Salida:
```
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, #_ ~\_ ####_ Amazon Linux 2023
~~ \_#####\ ~~ \###|
~~ \#/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~._. _/
_/ _/
_/m/'
Last login: Fri Sep 27 18:09:55 2024 from 3.16.146.5
[ec2-user@ip-10-0-1-85 ~]$ ping www.amazon.com
PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
```
Advierta que el ping falla y el tráfico está bloqueado.
1. Conéctese a la instancia C. Como no hay una dirección IP pública a la que hacer ping, utilice EC2 Instance Connect para conectarse y, a continuación, haga ping a una IP pública desde la instancia para comprobar el tráfico saliente:
```
aws ec2-instance-connect ssh --instance-id i-04eca55f2a482b2c4 --region us-east-2 --connection-type eice
```
Salida:
```
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, #_ ~\_ ####_ Amazon Linux 2023
~~ \_#####\ ~~ \###|
~~ \#/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~._. _/
_/ _/
_/m/'
Last login: Fri Sep 27 18:19:45 2024 from 3.16.146.5
[ec2-user@ip-10-0-3-180 ~]$ ping www.amazon.com
PING www.amazon.com(2600:9000:25f3:6200:7:49a5:5fd4:b121 (2600:9000:25f3:6200:7:49a5:5fd4:b121)) 56 data bytes
```
Advierta que el ping falla y el tráfico está bloqueado.
1. Conéctese a la instancia D. Como no hay una dirección IP pública a la que hacer ping, utilice EC2 Instance Connect para conectarse y, a continuación, haga ping a una IP pública desde la instancia para comprobar el tráfico saliente:
```
aws ec2-instance-connect ssh --instance-id i-05f9e6a9cfac1dba0 --region us-east-2 --connection-type eice
```
Salida:
```
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, #_ ~\_ ####_ Amazon Linux 2023
~~ \_#####\ ~~ \###|
~~ \#/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~._. _/
_/ _/
_/m/'
Last login: Fri Sep 27 18:20:58 2024 from 3.16.146.5
[ec2-user@ip-10-0-3-59 ~]$ ping www.amazon.com
PING www.amazon.com(2600:9000:25f3:b400:7:49a5:5fd4:b121 (2600:9000:25f3:b400:7:49a5:5fd4:b121)) 56 data bytes
```
Advierta que el ping falla y el tráfico está bloqueado.
------
## Eliminación
En esta sección, eliminará todos los recursos que ha creado para este ejemplo avanzado. Es importante limpiar los recursos para evitar cargos adicionales excesivos por los recursos creados en su cuenta.
### Eliminar los recursos de CloudFormation
Complete esta sección para eliminar los recursos que ha creado con la plantilla CloudFormation.
------
#### [ Consola de administración de AWS ]
1. Abra la consola de CloudFormation en [https://console.aws.amazon.com/cloudformation/](https://console.aws.amazon.com/cloudformation/).
1. Elija la pila del BPA de la VPC.
1. Elija **Eliminar**.
1. Cuando empiece a eliminar la pila, consulte la pestaña **Eventos** para ver el progreso y asegurarse de que la pila se haya eliminado. Puede que deba [forzar la eliminación de la pila](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-delete-stack.html) para que se elimine por completo.
------
#### [ AWS CLI ]
1. Crear la pila de CloudFormation. Puede que deba [forzar la eliminación de la pila](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-delete-stack.html) para que se elimine por completo.
```
aws cloudformation delete-stack --stack-name VPC-BPA-stack --region us-east-2
```
1. Verifique el progreso y asegúrese de que la pila se ha eliminado.
```
aws cloudformation describe-stack-events --stack-name VPC-BPA-stack --region us-east-2
```
------
### Seguimiento de la eliminación de exclusiones con CloudTrail
Complete esta sección para realizar un seguimiento de la eliminación de exclusiones con AWS CloudTrail. Las entradas de CloudTrail aparecen al eliminar una exclusión.
------
#### [ Consola de administración de AWS ]
Para ver las exclusiones eliminadas en el historial de eventos de CloudTrail, consulte **Tipo de recurso** > **AWS::EC2::VPCBlockPublicAccessExclusion** en la consola de AWSCloudTrail en [https://console.aws.amazon.com/cloudtrailv2/](https://console.aws.amazon.com/cloudtrailv2/).
------
#### [ AWS CLI ]
Puede usar el comando lookup-events para ver los eventos relacionados con la eliminación de exclusiones:
```
aws cloudtrail lookup-events --lookup-attributes AttributeKey=ResourceType,AttributeValue=AWS::EC2::VPCBlockPublicAccessExclusion
```
------
El ejemplo avanzado está completo.
# Prácticas recomendadas de seguridad de la VPC
Las siguientes prácticas recomendadas son directrices generales y no constituyen una solución de seguridad completa. Puesto que es posible que estas prácticas recomendadas no sean adecuadas o suficientes para el entorno, considérelas como consideraciones útiles en lugar de como normas.
+ Cuando agregue subredes a la VPC para alojar la aplicación, créelas en varias zonas de disponibilidad. Una zona de disponibilidad consiste en uno o varios centros de datos discretos con alimentación, redes y conectividad redundantes en una región de AWS. Usar varias zonas de disponibilidad permite que las aplicaciones de producción estén altamente disponibles, sean tolerantes a errores y tengan escalabilidad.
+ Utilice grupos de seguridad para controlar el acceso del tráfico a instancias EC2 en sus subredes. Para obtener más información, consulte [Grupos de seguridad](vpc-security-groups.md).
+ Use las ACL de red para controlar el tráfico entrante y saliente en el nivel de subred. Para obtener más información, consulte [Control del tráfico de la subred con listas de control de acceso a la red](vpc-network-acls.md).
+ Administre el acceso a los recursos de AWS de la VPC mediante federación de identidades, usuarios y roles de AWS Identity and Access Management (IAM). Para obtener más información, consulte [Identity and Access Management para Amazon VPC](security-iam.md).
+ Use VPC Flow Logs para supervisar el tráfico IP entrante y saliente de una VPC, subred o interfaz de red. Para obtener más información, consulte [Logs de flujo de VPC](flow-logs.md).
+ Utilice el Analizador de acceso a la red para identificar acceso no deseado a la red con destino a recursos de nuestras VPC. Para obtener más información, consulte la [Guía del usuario del Analizador de acceso a la red](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/).
+ Use AWS Network Firewall para supervisar y proteger su VPC mediante el filtrado de tráfico entrante y saliente. Para obtener más información, consulte la [Guía de AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/).
+ Utilice Amazon GuardDuty para detectar posibles amenazas en las cuentas, los contenedores, las cargas de trabajo y los datos dentro del entorno de AWS. La detección de amenazas fundacional incluye la supervisión de los registros de flujos de la VPC asociados a las instancias de Amazon EC2. Para más información, consulte [Registros de flujos de la VPC](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_data-sources.html#guardduty_vpc) en la *Guía del usuario de Amazon GuardDuty*.
Para obtener respuestas a las preguntas frecuentes relacionadas con la seguridad de las VPC, consulte *Seguridad y filtrado* en las [Preguntas frecuentes sobre Amazon VPC](https://aws.amazon.com/vpc/faqs/).