Configuración de un servicio de punto de conexión

Después de crear un servicio de punto de conexión, puede actualizar su configuración.

Administración de permisos

La combinación de los ajustes de permisos y aceptación le ayuda a controlar qué consumidores de servicios (AWS principales) pueden acceder a su servicio de punto final. Por ejemplo, puede conceder permisos a entidades principales específicas de confianza y aceptar de forma automática todas las solicitudes de conexión, o puede conceder permisos a un grupo más amplio de entidades principales y aceptar de forma manual únicamente las solicitudes de conexión específicas en las que confíe.

De forma predeterminada, el servicio de punto de conexión no está disponible para los consumidores del servicio. Debe agregar permisos que permitan a entidades AWS principales específicas crear un punto final de VPC de interfaz para conectarse a su servicio de punto final. Para añadir permisos a una entidad AWS principal, necesita su nombre de recurso de Amazon (ARN). La siguiente lista incluye las ARN de entidades principales de AWS .

ARN para los directores AWS

Cuenta de AWS (incluye todos los principales de la cuenta)

arn:aws:iam::account_id:root

Rol

arn:aws:iam::account_id:role/role_name

Usuario

arn:aws:iam::account_id:user/user_name

Todos los directores en total Cuentas de AWS

*

Consideraciones

• Si concede permiso a todos los usuarios para que accedan al servicio de punto de conexión y configura el servicio de punto de conexión para que acepte todas las solicitudes, el equilibrador de carga será público incluso si no tiene una dirección IP pública.

• Si elimina los permisos, no afectará a las conexiones existentes entre el punto final y el servicio que se aceptaron anteriormente.

Para administrar los permisos de su servicio de punto de conexión utilizando la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

2. En el panel de navegación, elija Endpoint Services (Servicios de punto de conexión).

3. Seleccione el servicio de punto de conexión y elija la pestaña Allow principals (Permitir entidades principales).

4. Para agregar permisos, elija Allow principals (Permitir entidades principales). En Principals to add (Entidades principales a agregar), ingrese el ARN de la entidad principal. Para agregar más entidades principales, elija Add principal (Agregar entidad principal). Cuando haya terminado de agregar las entidades principales, elija Allow principals (Permitir entidades principales).

5. Para eliminar permisos, seleccione la entidad principal y elija Actions(Acciones), Delete (Eliminar). Cuando le pidan confirmación, escriba delete y elija Eliminar.

Para agregar permisos para el servicio de punto de conexión con la línea de comandos

• modify-vpc-endpoint-service-permissions (AWS CLI)

• Edit-EC2EndpointServicePermission(Herramientas para Windows PowerShell)

Aceptación o rechazo de solicitudes de conexión

La combinación de los ajustes de permisos y aceptación le ayuda a controlar qué consumidores de servicios (AWS principales) pueden acceder a su servicio de punto final. Por ejemplo, puede conceder permisos a entidades principales específicas de confianza y aceptar de forma automática todas las solicitudes de conexión, o puede conceder permisos a un grupo más amplio de entidades principales y aceptar de forma manual únicamente las solicitudes de conexión específicas en las que confíe.

Puede configurar su servicio de punto de conexión para que acepte solicitudes de conexión de forma automática. De lo contrario, debe aceptarlas o rechazarlas de forma manual. Si no acepta una solicitud de conexión, el consumidor del servicio no podrá acceder al servicio de punto de conexión.

Puede recibir una notificación cuando se acepte o se rechace una solicitud de conexión. Para obtener más información, consulte Reciba alertas de los eventos del servicio de punto de conexión.

Consideraciones

• Si concede permiso a todos los usuarios para que accedan al servicio de punto de conexión y configura el servicio de punto de conexión para que acepte todas las solicitudes, el equilibrador de carga será público incluso si no tiene una dirección IP pública.

• Si rechaza una solicitud que ya se ha aceptado, esto no afecta a la conexión entre el punto final y el servicio.

Para modificar la opción de aceptación con la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

2. En el panel de navegación, elija Endpoint Services (Servicios de punto de conexión).

3. Seleccione el servicio de punto de conexión.

4. Elija Actions, Modify endpoint acceptance setting.

5. Seleccione o desactive Acceptance required (Aceptación necesaria).

6. Seleccione Save changes (Guardar cambios)

Para modificar la configuración de aceptación con la línea de comandos

• modify-vpc-endpoint-service-configuration (AWS CLI)

• Edit-EC2VpcEndpointServiceConfiguration(Herramientas para Windows PowerShell)

Para aceptar o rechazar una solicitud de conexión con la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

2. En el panel de navegación, elija Endpoint Services (Servicios de punto de conexión).

3. Seleccione el servicio de punto de conexión.

4. En la pestaña Endpoint connections (Conexiones del punto de conexión), seleccione la conexión del punto de conexión.

5. Para aceptar la solicitud de conexión, elija Actions (Acciones), Accept endpoint connection request (Aceptar solicitud de conexión del punto de conexión). Cuando se le solicite confirmación, ingrese accept y luego, elija Accept (Aceptar).

6. Para rechazar la solicitud de conexión, elija Actions (Acciones), Reject endpoint connection request (Rechazar solicitud de conexión del punto de enlace). Cuando se le solicite confirmación, ingrese reject y luego, elija Reject (Rechazar).

Para aceptar o rechazar una solicitud de conexión con la línea de comandos

• accept-vpc-endpoint-connections o reject-vpc-endpoint-connections (AWS CLI)

• Approve-EC2EndpointConnectiono Deny-EC2EndpointConnection(Herramientas para Windows PowerShell)

Administra los balanceadores de carga

Puede administrar los equilibradores de carga que están asociados a su servicio de punto final. No es posible desasociar un equilibrador de carga cuando hay puntos de conexión conectados al servicio de punto de conexión.

Si habilita otra zona de disponibilidad para un Network Load Balancer, también puede habilitar la zona de disponibilidad para su servicio de punto final. Tras habilitar una zona de disponibilidad para el servicio de puntos finales, los consumidores del servicio pueden añadir una subred de esa zona de disponibilidad a los puntos finales de la VPC de su interfaz.

Para administrar los balanceadores de carga de su servicio de punto final mediante la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

2. En el panel de navegación, elija Endpoint Services (Servicios de punto de conexión).

3. Seleccione el servicio de punto de conexión.

4. Elija Actions (Acciones), Associate or disassociate load balancers (Asociar o desasociar equilibradores de carga).

5. Cambie la configuración del servicio de puntos finales según sea necesario. Por ejemplo:

   • Seleccione la casilla de verificación de un equilibrador de carga para asociarlo al servicio de puntos finales.

   • Desactive la casilla de verificación de un balanceador de cargas para desasociarlo del servicio de punto final. Debe mantener seleccionado al menos un equilibrador de carga.

   • Si has activado recientemente otra zona de disponibilidad para tu balanceador de cargas, aparecerá en Zonas de disponibilidad incluidas. Si guardas los cambios en el siguiente paso, se habilita el servicio de punto final para la nueva zona de disponibilidad.

6. Seleccione Save changes (Guardar cambios)

Para administrar los equilibradores de carga de su servicio de puntos finales mediante la línea de comandos

• modify-vpc-endpoint-service-configuration (AWS CLI)

• Edit-EC2VpcEndpointServiceConfiguration(Herramientas para Windows PowerShell)

Para habilitar el servicio de punto final en una zona de disponibilidad que se habilitó recientemente para el balanceador de cargas, simplemente ejecute el comando con el ID del servicio de punto final.

Asociación de un nombre de DNS privado

Puede asociar un nombre de DNS privado a su servicio de punto de conexión. Después de asociar un nombre de DNS privado, debe actualizar la entrada del dominio en su servidor DNS. Antes de que los consumidores del servicio puedan utilizar el nombre de DNS privado, el proveedor del servicio debe comprobar que es propietario del dominio. Para obtener más información, consulte Administración de nombres de DNS.

Para modificar un nombre de DNS privado de un servicio de punto de enlace mediante la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

2. En el panel de navegación, elija Endpoint Services (Servicios de punto de conexión).

3. Seleccione el servicio de punto de conexión.

4. Elija Actions (Acciones), Modify private DNS name (Modificar nombre de DNS privado).

5. Seleccione Associate a private DNS name with the service (Asociar un nombre de DNS privado al servicio) e ingrese el nombre de DNS privado.

   • Los nombres de dominio deben estar en minúsculas.

   • Puede utilizar comodines en los nombres de dominio (por ejemplo, *.myexampleservice.com).

6. Seleccione Save changes (Guardar cambios).

7. El nombre de DNS privado está listo para que lo utilicen los consumidores del servicio cuando el estado de verificación es verified (verificado). Si el estado de verificación cambia, se rechazan las solicitudes de conexión nuevas, pero las conexiones existentes no se ven afectadas.

Para modificar el nombre de DNS privado de un servicio de punto de conexión con la línea de comandos

• modify-vpc-endpoint-service-configuration (AWS CLI)

• Edit-EC2VpcEndpointServiceConfiguration(Herramientas para Windows PowerShell)

Para iniciar el proceso de verificación de dominio con la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

2. En el panel de navegación, elija Endpoint Services (Servicios de punto de conexión).

3. Seleccione el servicio de punto de conexión.

4. Elija Actions (Acciones), Verify domain ownership for private DNS name (Verificar la propiedad del dominio para el nombre de DNS privado).

5. Cuando se le solicite confirmar, ingrese verify y, a continuación, elija Verify (Comprobar).

Para iniciar el proceso de verificación de dominio con la línea de comandos

• start-vpc-endpoint-service-private-dns-verification (AWS CLI)

• Start-EC2VpcEndpointServicePrivateDnsVerification(Herramientas para Windows PowerShell)

Modificación de los tipos de direcciones IP compatibles

Puede cambiar los tipos de direcciones IP que son compatibles con su servicio de punto de conexión.

Consideración

Para permitir que el servicio de punto de conexión acepte solicitudes de IPv6, los equilibradores de carga de red deben utilizar el tipo de dirección IP dualstack. No es necesario que los destinos admitan tráfico IPv6. Para obtener más información, consulte Tipo de dirección IP en la Guía del usuario de equilibradores de carga de red.

Para modificar los tipos de direcciones IP compatibles con la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

2. En el panel de navegación, elija Endpoint Services (Servicios de punto de conexión).

3. Seleccione el servicio de punto de conexión de VPC.

4. Elija Actions (Acciones), Modify supported IP address types (Modificar los tipos de direcciones IP admitidos).

5. En Supported IP address types (Tipos de direcciones IP compatibles), haga una de las siguientes acciones:

   • Seleccione IPv4: se habilita el servicio de punto de conexión para aceptar solicitudes de IPv4.

   • Seleccione IPv6: se habilita el servicio de punto de conexión para aceptar solicitudes de IPv6.

   • Seleccione IPv4 y IPv6: se habilita el servicio de punto de conexión para aceptar solicitudes de IPv4 y IPv6.

6. Seleccione Save changes (Guardar cambios).

Para modificar los tipos de direcciones IP compatibles con la línea de comandos

• modify-vpc-endpoint-service-configuration (AWS CLI)

• Edit-EC2VpcEndpointServiceConfiguration(Herramientas para Windows PowerShell)

Administración de etiquetas

Puede etiquetar sus recursos para ayudarle a identificarlos o clasificarlos según las necesidades de su organización.

Para administrar las etiquetas de su servicio de punto de conexión utilizando la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

2. En el panel de navegación, elija Endpoint Services (Servicios de punto de conexión).

3. Seleccione el servicio de punto de conexión de VPC.

4. Elija Actions (Acciones) y, a continuación, Manage tags (Administrar etiquetas).

5. Para cada etiqueta que desee agregar, elija Add new tag (Agregar etiqueta nueva) e ingrese la clave y el valor de la etiqueta.

6. Para eliminar una etiqueta, elija Remove (Eliminar) a la derecha de la clave y el valor de la etiqueta.

7. Seleccione Save (Guardar).

Para administrar las etiquetas de las conexiones de sus puntos de conexión mediante la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

2. En el panel de navegación, elija Endpoint Services (Servicios de punto de conexión).

3. Seleccione el servicio de punto de conexión de VPC y luego elija la pestaña Endpoint connections (Conexiones de punto de conexión).

4. Seleccione la conexión del punto de conexión, y luego elija Actions (Acciones), Manage tags (Administrar etiquetas).

5. Para cada etiqueta que desee agregar, elija Add new tag (Agregar etiqueta nueva) e ingrese la clave y el valor de la etiqueta.

6. Para eliminar una etiqueta, elija Remove (Eliminar) a la derecha de la clave y el valor de la etiqueta.

7. Seleccione Save (Guardar).

Para agregar permisos para el servicio de punto de conexión con la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

2. En el panel de navegación, elija Endpoint Services (Servicios de punto de conexión).

3. Seleccione el servicio de punto de conexión de VPC y, a continuación, elija la pestaña Allow principals (Permitir entidades principales).

4. Seleccione la entidad principal que desea etiquetar y, a continuación, elija Actions (Acciones), Manage tags (Administrar etiquetas).

5. Para cada etiqueta que desee agregar, elija Add new tag (Agregar etiqueta nueva) e ingrese la clave y el valor de la etiqueta.

6. Para eliminar una etiqueta, elija Remove (Eliminar) a la derecha de la clave y el valor de la etiqueta.

7. Seleccione Save (Guardar).

Para agregar y eliminar etiquetas con la línea de comandos

• create-tags y delete-tags (AWS CLI)

• New-EC2Tagy Remove-EC2Tag(Herramientas para Windows PowerShell)