Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Impedir el acceso a Internet de las cuentas mediante una política de control de servicios
<a name="prevent-internet-access-at-the-account-level-by-using-a-service-control-policy"></a>

*Sergiy Shevchenko, Sean O'Sullivan y Victor Mazeo Whitaker, Amazon Web Services*

## Resumen
<a name="prevent-internet-access-at-the-account-level-by-using-a-service-control-policy-summary"></a>

Con frecuencia, las organizaciones quieren limitar el acceso a Internet para los recursos de las cuentas que deben permanecer privados. En estas cuentas, los recursos de las nubes privadas virtuales (VPCs) no deberían acceder a Internet de ninguna manera. Muchas organizaciones eligen una [arquitectura de inspección centralizada](https://aws.amazon.com/blogs/networking-and-content-delivery/centralized-inspection-architecture-with-aws-gateway-load-balancer-and-aws-transit-gateway/). En el caso del tráfico este-oeste (de VPC a VPC) en una arquitectura de inspección centralizada, debe asegurarse de que las cuentas radiales y sus recursos no tengan acceso a Internet. En el caso del tráfico norte-sur (salida a Internet y entornos en las instalaciones), se recomienda permitir el acceso a Internet únicamente a través de la VPC de inspección.

Este patrón utiliza una [política de control de servicios (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) para evitar el acceso a Internet. Puede aplicar esta SCP a las cuentas o a las unidades organizativas (UO). La SCP limita la conectividad a Internet al impedir lo siguiente:
+ Crear o adjuntar una puerta de [enlace IPv6 a Internet IPv4 o una puerta de enlace](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html) que permita el acceso directo a Internet a la VPC
+ Crear o aceptar una [conexión de emparejamiento de VPC](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html) que pueda permitir el acceso indirecto a Internet a través de otra VPC
+ Crear o actualizar una configuración de [AWS Global Accelerator](https://docs.aws.amazon.com/global-accelerator/latest/dg/what-is-global-accelerator.html) que pueda permitir que los recursos de la VPC tengan acceso directo a Internet.

## Requisitos previos y limitaciones
<a name="prevent-internet-access-at-the-account-level-by-using-a-service-control-policy-prereqs"></a>

**Requisitos previos **
+ Una o varias Cuentas de AWS administradas como una organización en. AWS Organizations
+ [Todas las funciones están habilitadas](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html) en AWS Organizations.
+ [SCPs están habilitadas](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_enable-disable.html) en la organización.
+ Permisos para:
  + Acceda a la cuenta de administración de su organization.
  + Crear SCPs. Para obtener más información sobre los permisos mínimos, consulte [Creating an SCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_create.html#create-an-scp).
  + Adjunta el SCP a las cuentas o unidades organizativas de destino (OUs). Para obtener más información sobre los permisos mínimos, consulte [Attaching and detaching service control policies](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_attach.html).

**Limitaciones**
+ SCPs no afectan a los usuarios ni a las funciones de la cuenta de administración. Afectan solo a las cuentas de miembro de su organización.
+ SCPs afectan únicamente a los usuarios y roles AWS Identity and Access Management (de IAM) gestionados por las cuentas que forman parte de la organización. Para más información, consulte [Efectos de las SCP en los permisos](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html#scp-effects-on-permissions).

## Tools (Herramientas)
<a name="prevent-internet-access-at-the-account-level-by-using-a-service-control-policy-tools"></a>

**Servicios de AWS**
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)es un servicio de administración de cuentas que le ayuda a consolidar múltiples cuentas Cuentas de AWS en una organización que puede crear y administrar de forma centralizada. En este patrón, se utilizan [las políticas de control de servicios (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) en AWS Organizations.
+ [Amazon Virtual Private Cloud (Amazon VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) le ayuda a lanzar AWS recursos en una red virtual que haya definido. Esa red virtual es similar a la red tradicional que utiliza en su propio centro de datos, con los beneficios de usar la infraestructura escalable de AWS.

## Prácticas recomendadas
<a name="prevent-internet-access-at-the-account-level-by-using-a-service-control-policy-best-practices"></a>

Tras establecer este SCP en su organización, asegúrese de actualizarlo con frecuencia para abordar cualquier novedad Servicios de AWS o función que pueda afectar al acceso a Internet.

## Epics
<a name="prevent-internet-access-at-the-account-level-by-using-a-service-control-policy-epics"></a>

### Creación y conexión de la SCP
<a name="create-and-attach-the-scp"></a>


| Tarea | Descripción | Habilidades requeridas | 
| --- | --- | --- | 
| Cree la SCP. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/prevent-internet-access-at-the-account-level-by-using-a-service-control-policy.html) | Administrador de AWS | 
| Adjunte la SCP. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/prevent-internet-access-at-the-account-level-by-using-a-service-control-policy.html) | Administrador de AWS | 

## Recursos relacionados
<a name="prevent-internet-access-at-the-account-level-by-using-a-service-control-policy-resources"></a>
+ [AWS Organizations documentación](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)
+ [Políticas de control de servicios (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)
+ [Arquitectura de inspección centralizada con AWS Gateway Load Balancer y AWS Transit Gateway](https://aws.amazon.com/blogs/networking-and-content-delivery/centralized-inspection-architecture-with-aws-gateway-load-balancer-and-aws-transit-gateway/) (entrada del AWS blog)