Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Servicios en VPC Lattice
Un servicio en VPC Lattice es una unidad de software que se puede implementar de forma independiente y que ofrece una tarea o función específica. Un servicio puede ejecutarse en instancias, contenedores o funciones sin servidor dentro de una cuenta o nube privada virtual (VPC). Un servicio tiene un oyente que utiliza reglas, denominadas reglas del oyente, que usted puede configurar para ayudar a dirigir el tráfico a sus destinos. Los tipos de destino compatibles incluyen EC2 instancias, direcciones IP, funciones Lambda, balanceadores de carga de aplicaciones, tareas de Amazon ECS y pods de Kubernetes. Para obtener más información, consulte [Grupos de destino en VPC Lattice](target-groups.md). Puede asociar un servicio a varias redes de servicios. En el siguiente diagrama se muestran los componentes principales de un servicio típico de VPC Lattice.
![\[Un servicio con un oyente, reglas del oyente y dos grupos de destino.\]](http://docs.aws.amazon.com/es_es/vpc-lattice/latest/ug/images/service.png)
Puede crear un servicio dándole un nombre y una descripción. Sin embargo, para controlar y monitorear el tráfico a su servicio, es importante que incluya la configuración de acceso y los detalles de supervisión. Para enviar el tráfico desde su servicio a sus destinos, debe configurar un oyente y las reglas. Para permitir que el tráfico fluya de la red de servicios a su servicio, debe asociar su servicio a la red de servicios.
Hay un tiempo de inactividad y un tiempo de espera de la conexión general para las conexiones a los destinos. El tiempo de espera de conexión inactiva es de 1 minuto, después del cual cerramos la conexión. La duración máxima es de 10 minutos, después de los cuales no permitimos nuevas transmisiones a través de la conexión y comenzamos el proceso de cierre de las transmisiones existentes.
**Topics**
+ [Paso 1: crear un servicio de VPC Lattice](#create-service)
+ [Paso 2: definir el enrutamiento](#define-routing)
+ [Paso 3: crear asociaciones de red](#associate-to-networks)
+ [Paso 4: Revisar y crear](#review-and-create)
+ [Gestión de asociaciones](service-associations.md)
+ [Edición de la configuración de acceso](service-access.md)
+ [Editición de detalles de monitoreo](service-monitoring.md)
+ [Administración de etiquetas](service-tags.md)
+ [Configuración de un nombre de dominio personalizado](service-custom-domain-name.md)
+ [BYOC](service-byoc.md)
+ [Eliminación de un servicio](delete-service.md)
## Paso 1: crear un servicio de VPC Lattice
Cree un servicio básico de VPC Lattice con la configuración de acceso y los detalles de monitoreo. Sin embargo, el servicio no es del todo funcional hasta que defina su configuración de enrutamiento y lo asocie a una red de servicios.
**Creación de un servicio básico mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, en **VPC Lattice**, elija **Servicios**.
1. Elija **Crear servicio**.
1. Para los **identificadores**, haga lo siguiente:
1. Escriba un nombre para el servicio. El nombre debe tener entre 3 y 40 caracteres e incluir letras minúsculas, números y guiones. Debe comenzar y terminar con un número o una letra. No utilice guiones dobles.
1. (Opcional) Escriba una descripción para la red de servicios. Puede establecer o cambiar la descripción durante o después de la creación. La descripción puede tener hasta 256 caracteres.
1. Para especificar un nombre de dominio personalizado para su servicio, seleccione **Especificar una configuración de dominio personalizada e introduzca el nombre de dominio personalizado**.
Para los oyentes de HTTPS, puede seleccionar el certificado que utilizará VPC Lattice para realizar la terminación de TLS. Si no selecciona un certificado ahora, puede seleccionarlo al crear un agente de escucha HTTPS para el servicio.
En el caso de los agentes de escucha TCP, debe especificar un nombre de dominio personalizado para su servicio. Si especifica un certificado, no se utilizará. En su lugar, realiza la terminación de TLS en su aplicación.
1. Para el **acceso al servicio**, seleccione **Ninguno** si desea que los clientes de la red VPCs asociada a la red de servicio accedan a su servicio. Para aplicar una [política de autenticación](auth-policies.md) para controlar el acceso al servicio, elija **AWS IAM**. Para aplicar una política de recursos al servicio, realice una de las siguientes acciones para la **política de autenticación**:
+ Escriba una política en el campo de entrada. Para ver políticas de ejemplo que puede copiar y pegar, elija **Ejemplos de políticas**.
+ Elija **Aplicar la plantilla de política** y seleccione la plantilla **Permitir el acceso autenticado y no autenticado**. Esta plantilla permite a un cliente de otra cuenta acceder al servicio ya sea firmando la solicitud (es decir, autenticada) o de forma anónima (es decir, no autenticada).
+ Elija **Aplicar la plantilla de política** y seleccione la plantilla **Permitir solo el acceso autenticado**. Esta plantilla permite a un cliente de otra cuenta acceder al servicio solo firmando la solicitud (es decir, autenticada).
1. (Opcional) Para habilitar los [registros de acceso](monitoring-access-logs.md), active el conmutador de **registros de acceso** y especifique un destino para los registros de acceso de la siguiente manera:
+ Seleccione **Grupo de CloudWatch registros** y elija un grupo de CloudWatch registros. Para crear un grupo de registros, elija **Crear un grupo de registros en CloudWatch**.
+ Seleccione **Bucket de S3** e introduzca la ruta del bucket de S3, incluido cualquier prefijo. Para buscar sus buckets de S3, elija **Explorar S3**.
+ Seleccione **Flujo de entrega de Kinesis Data Firehose** y elija un flujo de entrega. Para crear un flujo de entrega, elija **Crear un flujo de entrega en Kinesis**.
1. (Opcional) Para [compartir tu servicio](sharing.md) con otras cuentas, selecciona un AWS RAM recurso compartido de entre **Recursos compartidos**. Para crear un recurso compartido, elija **Crear un recurso compartido en la consola RAM**.
1. Para revisar la configuración y crear el servicio, elija **Omitir para revisar y crear**. De lo contrario, elija **Siguiente** para definir la configuración de enrutamiento de su servicio.
## Paso 2: definir el enrutamiento
Defina la configuración de enrutamiento mediante oyentes para que su servicio pueda enviar tráfico a los destinos que usted especifique.
**Requisito previo**
Para poder agregar un oyente, debe crear un grupo de destino de VPC Lattice. Para obtener más información, consulte [Creación de un grupo de destino de VPC Lattice](create-target-group.md).
**Cómo definir el enrutamiento de su servicio utilizando la consola**
1. Elija **Añadir oyente**.
1. Para el **nombre del oyente**, puede proporcionar un nombre de oyente personalizado o utilizar el protocolo y el puerto del oyente como nombre del oyente. El nombre personalizado que especifique puede tener hasta 63 caracteres y debe ser único para cada servicio de su cuenta. Los caracteres válidos son a-z, 0-9 y guiones (-). No puede usar un guion como primer o último carácter, ni inmediatamente después de otro guion. No puede cambiar el nombre de un oyente después de crearlo.
1. Elija un protocolo y, a continuación, introduzca un número de puerto.
1. En **Acción predeterminada**, elija el grupo de destino de VPC Lattice que recibirá el tráfico y elija el peso que desee asignar a este grupo de destino. Si lo desea, puede añadir otro grupo de destino para la acción predeterminada. Elija **Añadir acción** y, a continuación, elija otro grupo de destino y especifique su peso.
1. (Opcional) Para añadir otra regla, elija **Añadir regla** y, luego, introduzca un nombre, una prioridad, una condición y una acción para la regla.
Puede asignar a cada regla un número de prioridad entre 1 y 100. Un oyente no puede tener varias reglas con la misma prioridad. Las reglas se evalúan por orden de prioridad, desde el valor más bajo hasta el valor más alto. La regla predeterminada se evalúa en último lugar.
En **Condición**, introduzca un patrón de ruta para la condición de coincidencia de ruta. El tamaño máximo de cada cadena es de 200 caracteres. La comparación no distingue entre mayúsculas y minúsculas.
1. (Opcional) Para agregar etiquetas, expanda **Etiquetas del oyente**, elija **Agregar etiqueta nueva** e ingrese una clave y un valor de etiqueta.
1. Para revisar la configuración y crear el servicio, elija **Omitir para revisar y crear**. De lo contrario, elija **Siguiente** para asociar el servicio a una red de servicios.
## Paso 3: crear asociaciones de red
Asocie su servicio a una red de servicios para que los clientes puedan comunicarse con ella.
**Cómo asociar un servicio a una red de servicios mediante la consola**
1. Para las **redes de servicios de VPC Lattice**, seleccione la red de servicios. Para crear una red de servicios, elija **Crear una red de VPC Lattice**. Puede asociar un servicio a varias redes de servicios.
1. (Opcional) Para agregar una etiqueta, expanda **Etiquetas de asociación de red de servicios**, elija **Agregar etiqueta nueva** e ingrese una clave y un valor de etiqueta.
1. Elija **Siguiente**.
## Paso 4: Revisar y crear
**Cómo revisar la configuración y crear el servicio mediante la consola**
1. Revise la configuración de su servicio.
1. Elija **Editar** si necesita modificar alguna parte de la configuración del servicio.
1. Cuando haya terminado de revisar o editar la configuración, elija **Crear servicio de VPC Lattice**.
1. Si especificó un nombre de dominio personalizado para el servicio, debe configurar el enrutamiento de DNS una vez creado el servicio. Para obtener más información, consulte [Configure un nombre de dominio personalizado para su servicio VPC Lattice](service-custom-domain-name.md).
# Gestión de asociaciones para un servicio de VPC Lattice
Al asociar un servicio a la red de servicios, los clientes (recursos de una VPC asociada a la red de servicios) pueden realizar solicitudes a este servicio. Puede asociar los servicios que están en su cuenta o los servicios que se comparten con usted desde diferentes cuentas. Este paso es opcional al crear el servicio. Sin embargo, después de la creación, el servicio no podrá comunicarse con otros servicios hasta que lo asocie a una red de servicios. Los propietarios de los servicios pueden asociar sus servicios a la red de servicios si su cuenta tiene el acceso necesario. Para obtener más información, consulte [Cómo funciona VPC Lattice](how-it-works.md).
**Gestión de asociaciones a una red de servicios mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, en **VPC Lattice**, elija **Servicios**.
1. Seleccione el nombre del servicio para abrir la página de detalles.
1. Elija la pestaña **Asociaciones de redes de servicios**.
1. Para crear una asociación, realice lo siguiente:
1. Elija **Crear asociaciones**.
1. Seleccione una red de servicios en **Red de servicios de VPC Lattice**. Para crear una red de servicios, elija **Crear una red de VPC Lattice**.
1. (Opcional) Para agregar una etiqueta, expanda **Etiquetas de asociación de servicios**, elija **Agregar etiqueta nueva** e ingrese una clave y un valor de etiqueta.
1. Elija **Guardar cambios**.
1. Para eliminar una asociación, seleccione la casilla de verificación de la asociación y, luego, elija **Acciones**, **Eliminar asociaciones de red**. Cuando se le pida confirmación, ingrese **confirm** y elija **Eliminar**.
**Para crear una asociación de red de servicios mediante el AWS CLI**
Utilice el comando [create-service-network-service-association](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/create-service-network-service-association.html).
**Para eliminar una asociación de red de servicios mediante el AWS CLI**
Utilice el comando [delete-service-network-service-association](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/delete-service-network-service-association.html).
# Edición de la configuración de acceso de un servicio de VPC Lattice
La configuración de acceso le permite configurar y administrar el acceso de los clientes a un servicio. La configuración de acceso incluye el *tipo de autenticación* y las *políticas de autenticación*. Las políticas de autenticación lo ayudan a autenticar y autorizar el tráfico que fluye a los servicios de VPC Lattice.
Puede aplicar políticas de autenticación a nivel de red de servicio, nivel de servicio o ambos. A nivel de servicio, los propietarios del servicio pueden aplicar controles detallados, que pueden ser más restrictivos. Por lo general, las políticas de autenticación las aplican los propietarios de la red o los administradores de la nube. Pueden implementar una autorización específica, por ejemplo, que permita realizar llamadas autenticadas desde dentro de la organización o permitir solicitudes GET anónimas que cumplan una condición determinada. Para obtener más información, consulte [Controle el acceso a los servicios de VPC Lattice mediante políticas de autenticación](auth-policies.md).
**Para añadir o actualizar políticas de acceso mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, en **VPC Lattice**, elija **Servicios**.
1. Seleccione el nombre del servicio para abrir la página de detalles.
1. Elija la pestaña **Acceso** para comprobar la configuración de acceso actual.
1. Para actualizar la configuración de acceso, elija **Editar la configuración de acceso**.
1. Si desea que los clientes de la red VPCs de servicios asociada accedan a su servicio, elija **Ninguno** como tipo de **autenticación**.
1. Para aplicar una política de recursos para controlar el acceso al servicio, elija **AWS IAM** como **tipo de autenticación** y siga uno de estos procedimientos para la **política de autenticación**:
+ Escriba una política en el campo de entrada. Para ver políticas de ejemplo que puede copiar y pegar, elija **Ejemplos de políticas**.
+ Elija **Aplicar la plantilla de política** y seleccione la plantilla **Permitir el acceso autenticado y no autenticado**. Esta plantilla permite a un cliente de otra cuenta acceder al servicio ya sea firmando la solicitud (es decir, autenticada) o de forma anónima (es decir, no autenticada).
+ Elija **Aplicar la plantilla de política** y seleccione la plantilla **Permitir solo el acceso autenticado**. Esta plantilla permite a un cliente de otra cuenta acceder al servicio solo firmando la solicitud (es decir, autenticada).
1. Seleccione **Save changes (Guardar cambios)**.
**Para añadir o actualizar una política de acceso mediante el AWS CLI**
Utilice el comando [put-auth-policy](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/put-auth-policy.html).
# Edición de detalles de monitoreo de un servicio de VPC Lattice
VPC Lattice genera métricas y registros para cada solicitud y respuesta, lo que hace que sea más eficiente monitorear y solucionar problemas de las aplicaciones.
Puede habilitar los registros de acceso y especificar el recurso de destino para sus registros. VPC Lattice puede enviar registros a los siguientes recursos: grupos de CloudWatch registros, flujos de entrega de Firehose y depósitos de S3.
**Cómo habilitar los registros de acceso o actualizar el destino de un registro mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, en **VPC Lattice**, elija **Servicios**.
1. Seleccione el nombre del servicio para abrir la página de detalles.
1. Elija la pestaña **Monitoreo** y, a continuación, seleccione **Registros**. Compruebe los **registros de acceso** para ver si los registros de acceso están habilitados.
1. Para activar o desactivar los registros de acceso, elija **Editar registros de acceso** y, a continuación, active o desactive el conmutador **Registros de acceso**.
1. Al habilitar los registros de acceso, debe seleccionar el tipo de destino de entrega y, a continuación, crear o elegir el destino de los registros de acceso. También puede cambiar el destino de entrega en cualquier momento. Por ejemplo:
+ Seleccione un grupo de **CloudWatch registros y elija un grupo** de registros. CloudWatch Para crear un grupo de registros, elija **Crear un grupo de registros en CloudWatch**.
+ Seleccione **Bucket de S3** e introduzca la ruta del bucket de S3, incluido cualquier prefijo. Para buscar sus buckets de S3, elija **Explorar S3**.
+ Seleccione **Flujo de entrega de Kinesis Data Firehose** y elija un flujo de entrega. Para crear un flujo de entrega, elija **Crear un flujo de entrega en Kinesis**.
1. Seleccione **Save changes (Guardar cambios)**.
**Para habilitar los registros de acceso mediante el AWS CLI**
Utilice el comando [create-access-log-subscription](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/create-access-log-subscription.html).
**Para actualizar el destino del registro mediante el AWS CLI**
Utilice el comando [update-access-log-subscription](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/update-access-log-subscription.html).
**Para deshabilitar los registros de acceso mediante el AWS CLI**
Utilice el comando [delete-access-log-subscription](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/delete-access-log-subscription.html).
# Administración de etiquetas de un servicio de VPC Lattice
Las etiquetas lo ayudan a clasificar su servicio de diferentes maneras, por ejemplo, según su finalidad, propietario o entorno.
Puede añadir varias etiquetas a cada servicio. Las claves de etiquetas deben ser únicas para cada servicio. Si agregas una etiqueta con una clave que ya está asociada al servicio, se actualiza el valor de esa etiqueta. Puede utilizar caracteres como letras, espacios, números (en UTF-8) y los siguientes caracteres especiales: \$1 - =. \$1 : / @. No utilice espacios iniciales ni finales. Los valores de la etiqueta distinguen entre mayúsculas y minúsculas.
**Cómo añadir o eliminar etiquetas a través de la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, en **VPC Lattice**, elija **Servicios**.
1. Seleccione el nombre del servicio para abrir la página de detalles.
1. Elija la pestaña **Etiquetas**.
1. Para agregar una etiqueta, elija **Agregar etiquetas** e ingrese la clave y el valor de la etiqueta. Para agregar otra etiqueta, elija **Agregar nueva etiqueta**. Cuando haya terminado de añadir etiquetas, elija **Guardar cambios**.
1. Para eliminar una etiqueta, active la casilla de verificación de la etiqueta y elija **Eliminar**. Cuando le pidan confirmación, escriba **confirm** y elija **Eliminar**.
**Para añadir o eliminar etiquetas mediante el AWS CLI**
Utilice los comandos [tag-resource](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/tag-resource.html) y [untag-resource](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/untag-resource.html).
# Configure un nombre de dominio personalizado para su servicio VPC Lattice
Al crear un servicio nuevo, VPC Lattice genera un nombre de dominio completo (FQDN) único para el servicio con la siguiente sintaxis.
```
service_name-service_id.partition_id.vpc-lattice-svcs.region.on.aws
```
Sin embargo, los nombres de dominio que proporciona VPC Lattice no son fáciles de recordar para sus usuarios. Los nombres de dominio personalizados son más simples e intuitivos URLs y puede proporcionarlos a sus usuarios. Si prefiere usar un nombre de dominio personalizado para su servicio, por ejemplo, `www.parking.example.com` en lugar del nombre del DNS generado por VPC Lattice, puede configurarlo al crear un servicio de VPC Lattice. Cuando un cliente realiza una solicitud utilizando su nombre de dominio personalizado, el servidor del DNS lo resuelve para hallar el nombre de dominio generado por VPC Lattice.
**Requisitos previos**
+ Debe tener un nombre de dominio registrado para su servicio. Si aún no tiene un nombre de dominio registrado, puede registrar uno a través de Amazon Route 53 o cualquier otro registrador comercial.
+ Para recibir solicitudes HTTPS, debe proporcionar su propio certificado en AWS Certificate Manager. VPC Lattice no admite un certificado predeterminado como alternativa. Por lo tanto, si no proporciona un SSL/TLS certificado correspondiente a su nombre de dominio personalizado, fallarán todas las conexiones HTTPS a su nombre de dominio personalizado. Para obtener más información, consulte [Traiga su propio certificado (BYOC) para VPC Lattice](service-byoc.md).
**Limitaciones y consideraciones**
+ No puede tener más de un nombre de dominio personalizado para un servicio.
+ No puede modificar el nombre de dominio personalizado después de crear el servicio.
+ El nombre de dominio personalizado debe ser único en una red de servicios. Esto significa que no se puede crear un servicio con un nombre de dominio personalizado que ya exista (para otro servicio) en la misma red de servicios.
El siguiente procedimiento muestra cómo configurar un nombre de dominio personalizado para tu servicio.
------
#### [ Consola de administración de AWS ]
**Para configurar un nombre de dominio personalizado para su servicio**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, en **VPC Lattice**, elija **Servicio**.
1. Elija **Crear servicio**. Acceda al **Paso 1: crear un servicio**.
1. En la sección **Configuración de dominio personalizado**, elija **Especificar una configuración de dominio personalizado**.
1. Introduzca su nombre de dominio personalizado.
1. Para atender las solicitudes HTTPS, seleccione el SSL/TLS certificado que coincida con su nombre de dominio personalizado en ** SSL/TLS Certificado personalizado**. Si aún no tiene un certificado o no quiere añadir uno ahora, puede añadir uno al crear su oyente HTTPS. Sin embargo, sin un certificado, su nombre de dominio personalizado no podrá atender las solicitudes HTTPS. Para obtener más información, consulte [Adición de un oyente HTTPS](https-listeners.md#add-https-listener).
1. Cuando haya terminado de añadir el resto de la información para crear el servicio, elija **Crear**.
------
#### [ AWS CLI ]
**Para configurar un nombre de dominio personalizado para tu servicio**
Utilice el comando [create-service](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/create-service.html).
```
aws vpc-lattice create-service --name service_name --custom-domain-name your_custom_domain_name --type https --certificate-arn arn:aws:acm:us-east-1:123456789012:certificate/12345678-1234-1234-1234-123456789012
```
En el comando anterior, para `--name`, introduzca un nombre para el servicio. Para `--custom-domain-name`, introduzca el nombre de dominio de su servicio, como `parking.example.com`. Para `--certificate-arn`, introduzca el ARN de su certificado en ACM. El ARN del certificado está disponible en su cuenta en AWS Certificate Manager.
------
## Asocie un nombre de dominio personalizado a su servicio
En primer lugar, si aún no lo ha hecho, registre su nombre de dominio personalizado. La Internet Corporation for Assigned Names and Numbers (ICANN, Corporación de Internet para la Asignación de Nombres y Números) administra los nombres de dominios de Internet. Los nombres de dominios se registran mediante un *registrador de nombres de dominio*, una organización acreditada por la ICANN que administra el registro de los nombres de dominios. En el sitio web de su registrador, se detallarán las instrucciones y la información sobre los precios del registro del nombre de dominio. Para obtener más información, consulte los siguientes recursos:
+ Para registrar el nombre de un dominio mediante Amazon Route 53, consulte [Registro de nombres de dominio mediante Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/registrar.html) en la *Guía para desarrolladores de Amazon Route 53*.
+ Para obtener una lista de registradores acreditados, consulte el [Accredited Registrar Directory](http://www.internic.net/regist.html).
A continuación, usa tu servicio de DNS, como el registrador de dominios, para crear un registro que dirija las consultas a tu servicio. Para obtener más información, consulte la documentación de su servicio de DNS. También puede usar Route 53 como su servicio DNS.
Si usas Route 53, puedes usar un registro de alias o un registro CNAME para enrutar las consultas a tu servicio. Le recomendamos que utilice un registro de alias, ya que puede crear un registro de alias en el nodo superior de un espacio de nombres DNS, también conocido como vértice de zona.
Si utiliza Route 53, primero debe crear una *zona alojada*, que contiene información sobre cómo dirigir el tráfico en Internet para el dominio. Después de crear la zona alojada privada o pública, cree un registro de modo que su nombre de dominio personalizado, por ejemplo`parking.example.com`, se asigne al nombre de dominio generado automáticamente por VPC Lattice, por ejemplo,. `my-service-02031c045478f6ddf1.7d67968.vpc-lattice-svcs.us-west-2.on.aws` Sin esta asignación, el nombre de dominio personalizado no funcionará en VPC Lattice.
Los siguientes procedimientos muestran cómo crear una zona alojada pública o privada mediante Route 53
------
#### [ Consola de administración de AWS ]
Para crear un registro de alias que dirija las consultas a su servicio mediante Route 53, consulte [Enrutamiento del tráfico al punto final del dominio del servicio Amazon VPC Lattice](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/routing-to-vpc-lattice-service.html).
**Utilice el nombre de dominio generado por VPC Lattice para su servicio, por ejemplo, para Value`my-service-02031c045478f6ddf1.7d67968.vpc-lattice-svcs.us-west-2.on.aws`.** Puedes encontrar este nombre de dominio generado automáticamente en la consola de VPC Lattice, en tu página de servicio.
------
#### [ AWS CLI ]
**Para crear un registro de alias en tu zona alojada**
1. Obtenga el nombre de dominio generado por VPC Lattice para su servicio (por ejemplo,). `my-service-02031c045478f6ddf1.7d67968.vpc-lattice-svcs.us-west-2.on.aws`
1. Para establecer el alias, utilice el siguiente comando.
```
aws route53 change-resource-record-sets --hosted-zone-id your-hosted-zone-ID --change-batch file://~/Desktop/change-set.json
```
Para el archivo `change-set.json`, cree un archivo JSON con el contenido del siguiente ejemplo de JSON y guárdelo en su máquina local. Sustituya *file://\$1/Desktop/change-set.json* el comando anterior por la ruta del archivo JSON guardado en su máquina local. Tenga en cuenta que el término “Tipo” en el siguiente JSON puede ser un tipo de registro A o AAAA.
```
{
"Comment": "my-custom-domain-name.com alias",
"Changes": [
{
"Action": "CREATE",
"ResourceRecordSet": {
"Name": "my-custom-domain-name.com",
"Type": "alias-record-type",
"AliasTarget": {
"HostedZoneId": "your-hosted-zone-ID",
"DNSName": "lattice-generated-domain-name",
"EvaluateTargetHealth": true
}
}
}
]
}
```
------
# Traiga su propio certificado (BYOC) para VPC Lattice
Para atender las solicitudes HTTPS, debes tener tu propio SSL/TLS certificado listo AWS Certificate Manager (ACM) antes de configurar un nombre de dominio personalizado. Estos certificados deben tener un nombre alternativo del sujeto (SAN) o un nombre común (CN) que coincida con el nombre de dominio personalizado de su servicio. Si el SAN está presente, comprobamos si solo hay una coincidencia en la lista de SAN. Si el SAN está ausente, comprobamos si hay alguna coincidencia en el CN.
VPC Lattice atiende las solicitudes HTTPS mediante el uso de la indicación de nombre de servidor (SNI). El DNS enruta la solicitud HTTPS a su servicio de VPC Lattice en función del nombre de dominio personalizado y el certificado que coincide con este nombre de dominio. *Para solicitar un SSL/TLS certificado para un nombre de dominio en ACM o importar uno a ACM, consulte [Emisión y administración de certificados e [importación de certificados](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate.html)](https://docs.aws.amazon.com/acm/latest/userguide/gs.html) en la Guía del AWS Certificate Manager usuario.* Si no puede solicitar o importar su propio certificado en ACM, utilice el nombre de dominio y el certificado generados por VPC Lattice.
VPC Lattice solo acepta un certificado personalizado por servicio. Sin embargo, puede usar un certificado personalizado para varios dominios personalizados. Esto significa que puede usar el mismo certificado para todos los servicios de VPC Lattice que cree con un nombre de dominio personalizado.
Para ver su certificado mediante la consola ACM, abra **Certificados** y seleccione el ID de su certificado. Debería ver el servicio de VPC Lattice que está asociado a ese certificado en **Recurso asociado**.
**Limitaciones y consideraciones**
+ VPC Lattice permite coincidencias con caracteres comodín que estén a un nivel de profundidad en el nombre alternativo del sujeto (SAN) o el nombre común (CN) del certificado asociado. Por ejemplo, si crea un servicio con el nombre de dominio personalizado `parking.example.com` y asocia su propio certificado al SAN `*.example.com`. Cuando se recibe una solicitud para `parking.example.com`, VPC Lattice hace coincidir el SAN con cualquier nombre de dominio con el dominio apex `example.com`. Sin embargo, si tiene el dominio personalizado `parking.different.example.com` y su certificado tiene el SAN `*.example.com`, la solicitud fallará.
+ VPC Lattice admite un nivel de coincidencia de dominios comodín. Esto significa que un comodín solo se puede usar como subdominio de primer nivel y que solo protege un nivel de subdominio. Por ejemplo, si el SAN de su certificado es `*.example.com`, entonces `parking.*.example.com` no es compatible.
+ VPC Lattice admite un comodín por nombre de dominio. Esto significa que `*.*.example.com` no es válido. Para obtener más información, consulte [Solicitud de un certificado público](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-public.html#request-public-console) en la *Guía del usuario de AWS Certificate Manager *.
+ VPC Lattice solo admite certificados con claves RSA de 2048 bits.
+ El SSL/TLS certificado de ACM debe estar en la misma región que el servicio VPC Lattice al que lo está asociando.
## Protección de la clave privada de su certificado
Cuando solicita un SSL/TLS certificado mediante ACM, ACM genera un public/private key pair. Cuando importa un certificado, es usted quien genera el par de claves. La clave pública pasa a formar parte del certificado. **Para almacenar la clave privada de forma segura, ACM crea otra clave AWS KMS, denominada clave KMS, con el alias aws/acm.** AWS KMS utiliza esta clave para cifrar la clave privada del certificado. Para obtener más información, consulte [Protección de datos en AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/data-protection.html) en la *Guía del usuario de AWS Certificate Manager *.
VPC Lattice usa AWS TLS Connection Manager, un servicio al que solo pueden acceder Servicios de AWS, para proteger y usar las claves privadas de su certificado. Cuando usa su certificado ACM para crear un servicio de VPC Lattice, VPC Lattice asocia su certificado con TLS Connection Manager. AWS Para ello, creamos una concesión en función de su clave gestionada. AWS KMS AWS Esta concesión permite que TLS Connection Manager lo utilice AWS KMS para descifrar la clave privada de su certificado. TLS Connection Manager utiliza el certificado y la clave privada descifrada (texto sin formato) para establecer una conexión segura (sesión SSL/TLS) con los clientes de los servicios de VPC Lattice. Cuando el certificado se desvincula de un servicio de VPC Lattice, la concesión se retira. Para obtener más información, consulte [Concesiones](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) en la *Guía para desarrolladores de AWS Key Management Service *.
Para obtener más información, consulte [Cifrado en reposo](data-protection.md#encryption-rest).
# Eliminar un servicio de VPC Lattice
Para eliminar un servicio de VPC Lattice, primero debe eliminar todas las asociaciones que el servicio pueda tener con cualquier red de servicios. Si elimina un servicio, también se eliminan todos los recursos relacionados con el servicio, como la política de recursos, la política de autenticación, los oyentes, las reglas de los oyentes y las suscripciones al registro de acceso.
**Cómo eliminar un servicio utilizando la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, en **VPC Lattice**, elija **Servicio**.
1. En la página **Servicios**, seleccione el servicio que desea eliminar y, a continuación, elija **Acciones**, **Eliminar servicio**.
1. Cuando se le pida confirmación, elija **Eliminar**.
**Para eliminar un servicio mediante el AWS CLI**
Utilice el comando [delete-service](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/delete-service.html).