Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Información general sobre AWS Control Tower y VPCs
<a name="vpc-concepts"></a>

Estos son algunos datos esenciales sobre la Torre de Control de AWS VPCs:
+ La VPC creada por AWS Control Tower al aprovisionar una cuenta en Account Factory no es la misma que la AWS VPC predeterminada.
+ Cuando AWS Control Tower configura una nueva cuenta en una AWS región compatible, AWS Control Tower elimina automáticamente la AWS VPC predeterminada y configura una nueva VPC configurada por AWS Control Tower.
+ A cada cuenta de AWS Control Tower se le permite una VPC creada por AWS Control Tower. Una cuenta puede tener más AWS VPCs dentro del límite de la cuenta.
+ Cada VPC de AWS Control Tower tiene tres zonas de disponibilidad en todas las regiones, excepto en la región del Oeste de EE. UU. (Norte de California), `us-west-1`, y dos zonas de disponibilidad en `us-west-1`. De forma predeterminada, a cada zona de disponibilidad se le asigna una subred pública y dos subredes privadas. Por lo tanto, en las regiones, excepto el Oeste de EE. UU. (Norte de California), cada VPC de AWS Control Tower contiene nueve subredes de forma predeterminada, divididas en tres zonas de disponibilidad. En el Oeste de EE. UU. (Norte de California), seis subredes se dividen en dos zonas de disponibilidad.
+ A cada una de las subredes de la VPC de AWS Control Tower se le asigna un rango único, de igual tamaño.
+ El número de subredes de una VPC se puede configurar. Para obtener más información acerca de cómo cambiar la configuración de la subred de VPC, consulte [el tema Account Factory](https://docs.aws.amazon.com//controltower/latest/userguide/account-factory.html).
+ Dado que las direcciones IP no se solapan, las seis o nueve subredes de su VPC de AWS Control Tower pueden comunicarse entre sí de manera ilimitada.

Cuando se trabaja con VPCs AWS Control Tower no se hace ninguna distinción a nivel regional. Cada subred se asigna desde el rango de CIDR exacto que especifique. Las subredes de VPC pueden existir en cualquier región.

**Notas**

**Administración de los costes de la VPC**  
Si establece la configuración de VPC del generador de cuentas para que las subredes públicas estén habilitadas al aprovisionar una cuenta nueva, el generador de cuentas configura la VPC para crear una gateway NAT. Amazon VPC le facturará por su uso.

**Configuración de control y VPC**  
Si aprovisiona cuentas del generador de cuentas con la configuración de acceso a Internet de la VPC habilitada, esa configuración del generador de cuentas invalida el control [No permitir el acceso a Internet para una instancia de Amazon VPC administrada por un cliente](https://docs.aws.amazon.com//controltower/latest/controlreference/data-residency-controls.html#disallow-vpc-internet-access). Para evitar habilitar el acceso a Internet para las cuentas recién aprovisionadas, debe cambiar la configuración en el generador de cuentas. Para obtener más información, consulte [Walkthrough: Configure AWS Control Tower Without a VPC](https://docs.aws.amazon.com//controltower/latest/userguide/configure-without-vpc.html).

# CIDR e interconexión para VPC y AWS Control Tower
<a name="vpc-ct-cidr"></a>

Esta sección está destinada principalmente a los administradores de red. El administrador de red de su empresa suele ser la persona que selecciona el rango de CIDR general para su organización de AWS Control Tower. A continuación, el administrador de red asigna subredes dentro de ese rango para fines específicos.

Cuando elige un rango de CIDR para la VPC, AWS Control Tower valida los rangos de direcciones IP de acuerdo con la especificación RFC 1918. El generador de cuentas permite un bloque de CIDR de hasta `/16` en los siguientes rangos: 
+ `10.0.0.0/8`
+ `172.16.0.0/12`
+ `192.168.0.0/16`
+ `100.64.0.0/10` (solo si su proveedor de Internet permite el uso de este rango)

El delimitador `/16` permite hasta 65 536 direcciones IP distintas.

Puede asignar cualquier dirección IP válida de los siguientes rangos:
+ `10.0.x.x to 10.255.x.x`
+ `172.16.x.x – 172.31.x.x`
+ `192.168.0.0 – 192.168.255.255`(no IPs fuera del `192.168` rango)

Si el rango especificado está fuera de estos rangos, AWS Control Tower proporciona un mensaje de error.

El rango de CIDR predeterminado es `172.31.0.0/16`.

Cuando AWS Control Tower crea una VPC con el rango de CIDR que ha seleccionado, asigna el rango de CIDR idéntico a *cada VPC* para cada cuenta que cree dentro de la unidad organizativa (OU). Debido a la superposición predeterminada de las direcciones IP, esta implementación inicialmente no permite la interconexión entre ninguna de las torres de control de AWS de VPCs la OU.

**Subredes**

Dentro de cada VPC, AWS Control Tower divide el rango de CIDR especificado de manera uniforme en nueve subredes (excepto en el oeste de EE. UU. (norte de California), donde hay seis subredes). Ninguna de las subredes de una VPC se solapan. Por lo tanto, todos pueden comunicarse entre sí dentro de la VPC

En resumen, de forma predeterminada, la comunicación de subred dentro de la VPC no está restringida. La práctica recomendada para controlar la comunicación entre las subredes de VPC, si es necesario, consiste en configurar listas de control de acceso con reglas que definan el flujo de tráfico permitido. Utilice grupos de seguridad para controlar el tráfico entre instancias específicas. Para obtener más información sobre la configuración de grupos de seguridad y firewalls en AWS Control Tower, consulte [Tutorial: Configurar grupos de seguridad en AWS Control Tower con AWS Firewall Manager](https://docs.aws.amazon.com//controltower/latest/userguide/firewall-setup-walkthrough.html).

**Intercambio de tráfico**

AWS Control Tower no restringe la VPC-to-VPC interconexión para la comunicación entre múltiples VPCs. Sin embargo, de forma predeterminada, todas las torres de control de AWS VPCs tienen el mismo rango de CIDR predeterminado. Para admitir la interconexión, puede modificar el rango de CIDR en la configuración del generador de cuentas para que las direcciones IP no se superpongan.

Si cambia el rango de CIDR en la configuración del generador de cuentas, a todas las cuentas nuevas creadas posteriormente por AWS Control Tower (utilizando el generador de cuentas) se les asigna el nuevo rango de CIDR. Las cuentas antiguas no se actualizan. Por ejemplo, puede crear una cuenta y, a continuación, cambiar el rango de CIDR y crear una cuenta nueva, y lo VPCs asignado a esas dos cuentas se puede emparejar. La interconexión es posible porque sus rangos de direcciones IP no son idénticos.