Conexión a las instancias mediante el punto de conexión de EC2 Instance Connect
El punto de conexión de EC2 Instance Connect le permite conectarse de forma segura a una instancia desde Internet, sin utilizar un host bastión ni requerir que su nube privada virtual (VPC) tenga conectividad directa a Internet.
Ventajas
-
Ahora puede conectarse a sus instancias sin que estas tengan una dirección IPv4 pública. AWS cobra por todas las direcciones IPv4 públicas, incluidas las direcciones IPv4 públicas asociadas a las instancias en ejecución y las direcciones IP elásticas. Para obtener más información, consulte la pestaña Dirección IPv4 pública en la página Precios de Amazon VPC
. -
Puede conectarse a las instancias desde Internet sin necesidad de que su VPC tenga conectividad directa a Internet mediante una puerta de enlace de Internet.
-
Puede controlar el acceso a la creación y el uso de los puntos de conexión de EC2 Instance Connect para conectarse a las instancias con permisos y políticas de IAM.
-
Todos los intentos de conexión a las instancias, tanto los correctos como los que producen errores, se registran en CloudTrail.
Precios
El uso de los puntos de conexión de EC2 Instance Connect no conlleva ningún costo adicional. Si utiliza un punto de conexión de EC2 Instance Connect para conectarse a una instancia que se encuentra en una zona de disponibilidad diferente, se aplica un cargo adicional por transferencia de datos
Contenido
Funcionamiento
El punto de conexión de EC2 Instance Connect es un proxy TCP que reconoce la identidad. El servicio de punto de conexión de EC2 Instance Connect establece un túnel privado desde el equipo hasta el punto final mediante las credenciales de la entidad de IAM. El tráfico se autentica y autoriza antes de que llegue a la VPC.
Puede configurar reglas de grupos de seguridad adicionales para restringir el tráfico entrante a las instancias. Por ejemplo, puede usar reglas de entrada en las instancias para permitir únicamente el tráfico en los puertos de administración desde el punto de conexión de EC2 Instance Connect.
Puede configurar las reglas de la tabla de enrutamiento para permitir que el punto de conexión se conecte a cualquier instancia de cualquier subred de la VPC.
En el siguiente diagrama, se muestra cómo un usuario puede conectarse a las instancias desde Internet mediante un punto de conexión de EC2 Instance Connect. En primer lugar, cree un punto de conexión de EC2 Instance Connect en la subred A. Creamos una interfaz de red para el punto de conexión en la subred, que sirve como punto de entrada para el tráfico destinado a las instancias de la VPC. Si la tabla de enrutamiento de la subred B permite el tráfico de la subred A, puede usar el punto de conexión para llegar a las instancias de la subred B.
Consideraciones
Antes de comenzar, considere lo siguiente:
-
El punto de conexión de EC2 Instance Connect está diseñado específicamente para casos de uso de tráfico de administración y no para transferencias de datos de gran volumen. Las transferencias de datos de gran volumen están limitadas.
-
La instancia debe tener una dirección IPv4 (pública o privada). El punto de conexión de EC2 Instance Connect no admite la conexión a instancias mediante direcciones IPv6.
-
(Instancias de Linux) Si usa su propio par de claves, puede usar cualquier AMI de Linux. De lo contrario, la instancia debe tener instalado EC2 Instance Connect. Para obtener información sobre qué AMI incluyen EC2 Instance Connect y cómo instalarlo en otras AMI compatibles, consulte Instalación de EC2 Instance Connect.
-
Puede asignar un grupo de seguridad a un punto de conexión de EC2 Instance Connect cuando lo cree. De lo contrario, se usará el grupo de seguridad predeterminado para la VPC. El grupo de seguridad de un punto de conexión de EC2 Instance Connect debe permitir el tráfico saliente a las instancias de destino. Para obtener más información, consulte Grupos de seguridad para el punto de conexión de EC2 Instance Connect.
-
Puede configurar un punto de conexión de EC2 Instance Connect para mantener las direcciones IP de origen de los clientes al enrutar las solicitudes a las instancias. De lo contrario, la dirección IP de la interfaz de red pasará a ser la dirección IP del cliente para todo el tráfico entrante.
-
Si activa la conservación de la IP del cliente, los grupos de seguridad de las instancias deben permitir el tráfico procedente de los clientes. Además, las instancias deben estar en la misma VPC que el punto de conexión de EC2 Instance Connect.
-
Si desactiva la conservación de la IP del cliente, los grupos de seguridad de las instancias deben permitir el tráfico procedente de la VPC. Esta es la opción predeterminada.
-
Los siguientes tipos de instancia no admiten la preservación de IP de cliente: C1, CG1, CG2, G1, HI1, M1, M2, M3 y T1. Si activa la conservación de la IP del cliente e intenta conectarse a una instancia con uno de estos tipos de instancias mediante el punto de conexión de EC2 Instance Connect, se produce un error en la conexión.
-
No se admite la conservación de la IP del cliente cuando el tráfico se enruta a través de una puerta de enlace.
-
-
Cuando crea un punto de conexión de EC2 Instance Connect, se crea automáticamente un rol vinculado a un servicio de Amazon EC2 en AWS Identity and Access Management (IAM). Amazon EC2 utiliza el rol vinculado a un servicio para aprovisionar las interfaces de red de su cuenta, que son necesarias para crear puntos de conexión de instancia de EC2 Instance Connect. Para obtener más información, consulte Rol vinculado a un servicio del punto de conexión de EC2 Instance Connect.
-
Cada punto de conexión de EC2 Instance Connect puede admitir hasta 20 conexiones simultáneas.
-
La duración máxima de una conexión TCP establecida es de 1 hora (3600 segundos). Puede especificar la duración máxima permitida en una política de IAM, que puede ser de 3600 segundos o menos. Para obtener más información, consulte Permisos para usar el punto de conexión de EC2 Instance Connect para conectarse a instancias.
