Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Puntos de conexión de la puerta de enlace
Los puntos de conexión de VPC de puerta de enlace proporcionan conectividad fiable a Amazon S3 y DynamoDB sin necesidad de una puerta de enlace de Internet o un dispositivo NAT para su VPC. Los puntos finales de puerta de enlace no utilizan AWS PrivateLink, a diferencia de otros tipos de puntos finales de VPC.
Amazon S3 y DynamoDB admiten puntos de enlace de puerta de enlace y puntos de enlace de interfaz. Para ver una comparación de las opciones, consulte lo siguiente:
Precios
El uso de puntos de enlace de gateway no supone ningún cargo adicional.
Contenido
Información general
Puede acceder a Amazon S3 y DynamoDB a través de sus puntos de conexión de servicio públicos o mediante puntos de conexión de la puerta de enlace. Esta descripción general compara estos métodos.
Acceso mediante una puerta de enlace de Internet
En el siguiente diagrama, se muestra cómo las instancias acceden a Amazon S3 y DynamoDB mediante sus puntos de conexión de servicio públicos. El tráfico a Amazon S3 o DynamoDB desde una instancia en una subred pública se dirige a la puerta de enlace de Internet de la VPC y, a continuación, al servicio. Las instancias en una subred privada no pueden enviar tráfico a Amazon S3 o DynamoDB, porque, por definición, las subredes privadas no tienen rutas a una puerta de enlace de Internet. Para permitir que las instancias de la subred privada envíen tráfico a Amazon S3 o DynamoDB, agregue un dispositivo NAT a la subred pública y dirija el tráfico de la subred privada al dispositivo NAT. Si bien el tráfico a Amazon S3 o DynamoDB atraviesa la puerta de enlace de Internet, no sale de la red. AWS
Acceso a través de un punto de conexión de la puerta de enlace
En el siguiente diagrama, se muestra cómo las instancias acceden a Amazon S3 y DynamoDB mediante un punto de conexión de la puerta de enlace. El tráfico desde su VPC hasta Amazon S3 o DynamoDB se dirige al punto de conexión de la puerta de enlace. Cada tabla de enrutamiento de subred debe tener una ruta que envíe el tráfico destinado al servicio al punto de conexión de la puerta de enlace mediante la lista de prefijos del servicio. Para obtener más información, consulte la lista de prefijos administrados de AWS en la Guía del usuario de Amazon VPC.
Enrutamiento
Cuando se crea un punto de conexión de la puerta de enlace, se seleccionan las tablas de enrutamiento de la VPC para las subredes que habilita. La siguiente ruta se agregará de forma automática a cada tabla de enrutamiento que seleccione. El destino es una lista de prefijos del servicio propiedad de AWS y el destino es el punto final de la puerta de enlace.
| Destino | Objetivo |
|---|---|
prefix_list_id |
gateway_endpoint_id |
Consideraciones
-
Puede revisar las rutas del punto de conexión que agregamos a su tabla de enrutamiento, pero no puede modificarlas ni eliminarlas. Para agregar una ruta de punto de conexión a una tabla de enrutamiento, asóciela con el punto de conexión de la puerta de enlace. Eliminamos la ruta del punto de conexión cuando desasocia la tabla de enrutamiento del punto de conexión de la puerta de enlace o cuando elimina el punto de conexión de la puerta de enlace.
-
Todas las instancias en las subredes asociadas con una tabla de enrutamiento asociada con un punto de conexión de la puerta de enlace utilizan de forma automática el punto de conexión de la puerta de enlace para acceder al servicio. Las instancias en las subredes que no están asociadas a estas tablas de enrutamiento utilizan el punto de conexión de servicio público, no el punto de conexión de la puerta de enlace.
-
Una tabla de enrutamiento puede tener tanto una ruta de punto de conexión a Amazon S3 como una ruta de punto de conexión a DynamoDB. Puede tener rutas de punto de conexión al mismo servicio (Amazon S3 o DynamoDB) en varias tablas de enrutamiento. No puede tener varias rutas de punto de conexión al mismo servicio (Amazon S3 o DynamoDB) en una sola tabla de enrutamiento.
-
Para determinar cómo dirigir tráfico, se usa la ruta más específica que coincida con el tráfico en cuestión (coincidencia del prefijo más largo). Para las tablas de enrutamiento con una ruta de punto de conexión, esto significa lo siguiente:
-
Si hay una ruta que envía todo el tráfico de Internet (0.0.0.0/0) a una puerta de enlace de Internet, la ruta del punto de conexión tiene prioridad sobre el tráfico destinado para el servicio (Amazon S3 o DynamoDB) en la región actual. El tráfico destinado a un destino diferente Servicio de AWS utiliza la pasarela de Internet.
-
El tráfico destinado al servicio (Amazon S3 o DynamoDB) en una región diferente va a la puerta de enlace de Internet porque las listas de prefijos son específicas de una región.
-
Si hay una ruta que especifica el intervalo exacto de direcciones IP para el servicio (Amazon S3 o DynamoDB) en la misma región, esa ruta tiene prioridad sobre la ruta del punto de conexión.
-
Seguridad
Cuando sus instancias acceden a Amazon S3 o a DynamoDB a través de un punto de conexión de la puerta de enlace, acceden al servicio mediante su punto de conexión público. Los grupos de seguridad de estas instancias deben permitir el tráfico hacia y el servicio. A continuación, se muestra un ejemplo de una regla de salida. Hace referencia al ID de la lista de prefijos para el servicio.
| Destino | Protocolo | Rango de puerto |
|---|---|---|
prefix_list_id |
TCP | 443 |
Las ACL de la red de las subredes de estas instancias también deben permitir el tráfico hacia y desde el servicio. A continuación, se muestra un ejemplo de una regla de salida. No se puede hacer referencia a las listas de prefijos en las reglas de ACL de la red, pero se pueden obtener los rangos de direcciones IP del servicio desde su lista de prefijos.
| Destino | Protocolo | Rango de puerto |
|---|---|---|
service_cidr_block_1 |
TCP | 443 |
service_cidr_block_2 |
TCP | 443 |
service_cidr_block_3 |
TCP | 443 |
