Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Recursos de VPC en Amazon VPC Lattice
Puede compartir los recursos de VPC con otros equipos de su organización o con socios proveedores de software independientes (ISV) externos. Un recurso de VPC puede ser un recurso AWS nativo, como una base de datos de Amazon RDS, un nombre de dominio o una dirección IP. El recurso puede estar en tu VPC o en una red local y no es necesario que tenga un equilibrio de carga. Se utiliza AWS RAM para especificar los principales que pueden acceder al recurso. Usted crea una puerta de enlace de recursos a través de la cual se puede acceder a su recurso. También puede crear una configuración de recursos que represente el recurso o un grupo de recursos que desee compartir.
Los principales con los que comparte el recurso pueden acceder a estos recursos de forma privada mediante puntos de conexión de VPC. Pueden usar un punto de enlace de VPC de recursos para acceder a un recurso o agrupar varios recursos en una red de servicios de VPC Lattice y acceder a la red de servicios mediante un punto de enlace de VPC de red de servicio.
En las siguientes secciones, se explica cómo crear y administrar los recursos de VPC en VPC Lattice:
**Topics**
+ [Puertas de enlace de recursos](resource-gateway.md)
+ [Configuraciones de recursos](resource-configuration.md)
# Puertas de enlace de recursos en VPC Lattice
Una *puerta de enlace de recursos* es el punto que recibe el tráfico hacia la VPC en la que reside un recurso. Se extiende en varias zonas de disponibilidad
Una VPC debe tener una puerta de enlace de recursos si planea hacer que los recursos de la VPC sean accesibles desde otras cuentas o cuentas. VPCs Cada recurso que se comparte está asociado a una puerta de enlace de recursos. Cuando los clientes de otras VPCs cuentas acceden a un recurso de su VPC, el recurso ve el tráfico que proviene localmente de la puerta de enlace de recursos de esa VPC. La dirección IP de origen del tráfico es la dirección IP de la puerta de enlace de recursos en una zona de disponibilidad. Se pueden adjuntar varias configuraciones de recursos, cada una con varios recursos, a una puerta de enlace de recursos.
El siguiente diagrama muestra cómo un cliente accede a un recurso a través de la puerta de enlace de recursos:
![\[El cliente accede al recurso a través de la puerta de enlace de recursos.\]](http://docs.aws.amazon.com/es_es/vpc-lattice/latest/ug/images/resource-gateway-to-resource.png)
**Topics**
+ [Consideraciones](#resource-gateway-considerations)
+ [Grupos de seguridad](#resource-gateway-security-groups)
+ [Tipos de direcciones IP](#resource-gateway-ip-address-type)
+ [IPv4 direcciones por ENI](#ipv4-address-type-per-eni)
+ [Creación de una puerta de enlace de recursos](create-resource-gateway.md)
+ [Eliminar una puerta de enlace de recursos](delete-resource-gateway.md)
## Consideraciones
Las siguientes consideraciones se aplican a las puertas de enlace de recursos:
+ Para que se pueda acceder a su recurso desde todas [las zonas de disponibilidad](https://aws.amazon.com/about-aws/global-infrastructure/regions_az/), se deben crear las puertas de enlace de recursos para abarcar tantas zonas de disponibilidad como sea posible.
+ Deben superponerse al menos una zona de disponibilidad del punto de conexión de VPC y la puerta de enlace de recursos.
+ Una VPC puede tener un máximo de 100 puertas de enlace de recursos. Para obtener más información, consulte [Cuotas de VPC Lattice](https://docs.aws.amazon.com/vpc-lattice/latest/ug/quotas.html).
+ VPC Lattice podría añadir nuevos elementos ENIs a su puerta de enlace de recursos.
+ Puertas de enlace de recursos con subredes de VPC compartidas:
+ Solo la cuenta propietaria de la VPC puede implementar una puerta de enlace de recursos en una subred de VPC compartida.
+ Solo la cuenta propietaria de la puerta de enlace de recursos puede crear una configuración de recursos para una puerta de enlace de recursos.
## Grupos de seguridad
Puede adjuntar grupos de seguridad a una puerta de enlace de recursos. Las reglas de los grupos de seguridad para las puertas de enlace de recursos controlan el tráfico saliente desde la puerta de enlace de recursos hacia los recursos.
**Reglas de salida recomendadas para el tráfico que fluye desde una puerta de enlace de recursos hasta un recurso de base de datos**
Para que el tráfico fluya desde una puerta de enlace de recursos a un recurso, debe crear reglas de salida para los protocolos de oyente y los rangos de puertos aceptados por el recurso.
| Destino | Protocolo | Intervalo de puertos | Comment |
| --- | --- | --- | --- |
| CIDR range for resource | TCP | 3306 | Permite el tráfico desde la puerta de enlace de recursos a las bases de datos. |
## Tipos de direcciones IP
Una puerta de enlace de recursos puede tener IPv4 direcciones de pila doble IPv6 o doble. El tipo de dirección IP de una puerta de enlace debe ser compatible con las subredes de la puerta de enlace de recursos y con el tipo de dirección IP del recurso, tal como se describe a continuación:
+ **IPv4**— Asigne IPv4 direcciones a las interfaces de red de su puerta de enlace de recursos. Esta opción solo se admite si todas las subredes seleccionadas tienen rangos de IPv4 direcciones y el recurso también tiene una IPv4 dirección. Al usar esta opción, puede configurar el número de IPv4 direcciones por ENI de la puerta de enlace de recursos.
+ **IPv6**— Asigne IPv6 direcciones a las interfaces de red de su puerta de enlace de recursos. Esta opción solo se admite si todas las subredes seleccionadas son IPv6 solo subredes y el recurso también tiene una IPv6 dirección. Al usar esta opción, IPv6 las direcciones se asignan automáticamente y no es necesario administrarlas.
+ **Dualstack**: IPv4 asigne ambas IPv6 direcciones a las interfaces de red de la puerta de enlace de recursos. Esta opción solo se admite si todas las subredes seleccionadas tienen ambos rangos de IPv6 direcciones IPv4 y el recurso tiene una IPv4 dirección o. IPv6 Al usar esta opción, puede configurar el número de IPv4 direcciones por ENI de la puerta de enlace de recursos.
El tipo de dirección IP de la puerta de enlace de recursos es independiente del tipo de dirección IP del cliente o del punto de conexión de VPC a través del cual se accede al recurso.
## IPv4 direcciones por ENI
Si su puerta de enlace de recursos tiene un tipo de dirección IP de pila doble IPv4 o doble, puede configurar el número de IPv4 direcciones asignadas a cada ENI de su puerta de enlace de recursos. Al crear una puerta de enlace de recursos, puede elegir entre 1 y 62 IPv4 direcciones. Una vez que haya establecido el número de IPv4 direcciones, el valor no se puede cambiar.
Las IPv4 direcciones se utilizan para la traducción de direcciones de red y determinan el número máximo de IPv4 conexiones simultáneas a un recurso. Cada IPv4 dirección puede admitir hasta 55 000 conexiones simultáneas por IP de destino. De forma predeterminada, a todas las puertas de enlace de recursos se les asignan 16 IPv4 direcciones por ENI.
Si la puerta de enlace de recursos usa el tipo de IPv6 dirección, la puerta de enlace de recursos recibe automáticamente un CIDR de /80 por ENI. Este valor no se puede cambiar. La unidad de transmisión (MTU) máxima por conexión es de 8500 bytes.
# Creación de una puerta de enlace de recursos en VPC Lattice
Use la consola para crear una puerta de enlace de recursos.
**Para crear una puerta de enlace de recursos mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. **En el panel de navegación, en **Lattice**, elija Resource Gateways. PrivateLink **
1. Seleccione **Crear una puerta de enlace de recursos**.
1. En el **nombre de Resource Gateway**, introduzca un nombre que sea único en su AWS cuenta.
1. En **Tipo de dirección IP**, elija el tipo de dirección IP para la puerta de enlace de recursos
1. Si **IPv4**seleccionó **Dualstack** como **tipo de dirección IP**, puede introducir el número de IPv4 direcciones por ENI para su puerta de enlace de recursos.
El valor predeterminado es 16 IPv4 direcciones por ENI. Este es un número adecuado IPs para establecer conexiones con sus recursos de backend.
1. En el **caso de la VPC**, elija la VPC y las subredes en las que desee crear la puerta de enlace de recursos.
1. Para **los grupos de seguridad**, elija hasta cinco grupos de seguridad para controlar el tráfico entrante desde la VPC a la red de servicio.
1. (Opcional) Para agregar una etiqueta, elija **Agregar etiqueta nueva** e ingrese la clave y el valor de la etiqueta.
1. Seleccione **Crear una puerta de enlace de recursos**.
**Para crear una puerta de enlace de recursos mediante AWS CLI**
Utilice el comando [create-resource-gateway](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/create-resource-gateway.html).
# Eliminación de una puerta de enlace de recursos en VPC Lattice
Use la consola para eliminar una puerta de enlace de recursos.
**Para eliminar una puerta de enlace de recursos con la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, en **Lattice**, elija **Resource Gateways**. PrivateLink
1. Seleccione la casilla de verificación de la puerta de enlace de recursos que desee eliminar y elija **Acciones**, **Eliminar**. Cuando le pidan confirmación, escriba **confirm** y elija **Eliminar**.
**Para eliminar una puerta de enlace de recursos mediante el AWS CLI**
Utilice el comando [delete-resource-gateway](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/delete-resource-gateway.html).
# Configuraciones de recursos para recursos de VPC
Una configuración de recursos representa un recurso o un grupo de recursos a los que quieres que estén accesibles a los clientes de otras cuentas VPCs y cuentas. Al definir una configuración de recursos, puede permitir la conectividad de red unidireccional, segura y privada a los recursos de su VPC desde clientes de VPCs otras cuentas. Una configuración de recursos está asociada a una puerta de enlace de recursos a través de la cual recibe el tráfico. Para que se pueda acceder a un recurso desde otra VPC, debe tener una configuración de recursos.
**Topics**
+ [Tipos de configuraciones de recursos](#resource-configuration-types)
+ [Protocolo](#resource-configuration-protocol)
+ [Puerta de enlace de recursos](#resource-gateway)
+ [Nombres de dominio personalizados para proveedores de recursos](#custom-domain-name-resource-providers)
+ [Nombres de dominio personalizados para los consumidores de recursos](#custom-domain-name-resource-consumers)
+ [Nombres de dominio personalizados para los propietarios de la red de servicios](#resource-configuration-custom-domain-name-service-network-owners)
+ [Definición del recurso](#resource-definition)
+ [Intervalos de puertos](#resource-configuration-port)
+ [Acceso a recursos de](#resource-configuration-accessing)
+ [Asociación con el tipo de red de servicio](#resource-configuration-service-network-association)
+ [Tipos de redes de servicio](#service-network-types)
+ [Compartir configuraciones de recursos mediante AWS RAM](#sharing-resource-configuration-ram)
+ [Supervisión](#resource-configuration-monitoring)
+ [Crea y verifica un dominio](create-and-verify.md)
+ [Crear una configuración de recursos](create-resource-configuration.md)
+ [Gestión de asociaciones](resource-configuration-associations.md)
## Tipos de configuraciones de recursos
Una configuración de recursos puede ser de varios tipos. Los distintos tipos ayudan a representar distintos tipos de recursos. Los tipos son:
+ **Configuración de recurso único**: representa una dirección IP o un nombre de dominio. Se puede compartir de forma independiente.
+ **Configuración de recursos de grupo**: es un conjunto de configuraciones de recursos secundarios. Se puede usar para representar un grupo de puntos finales de direcciones IP y DNS.
+ **Configuración de recursos secundarios**: es miembro de una configuración de recursos de grupo. Representa una dirección IP o un nombre de dominio. No se puede compartir de forma independiente; solo se puede compartir como parte de un grupo. Se puede añadir y quitar de un grupo. Cuando se agrega, quienes pueden acceder al grupo tienen acceso automático a este.
+ **Configuración de recursos del ARN**: representa un tipo de recurso compatible aprovisionado por un servicio. AWS Cualquier relación grupo-hijo se gestiona automáticamente.
La siguiente imagen muestra una configuración de recursos individual, secundaria y grupal:
![\[Configuraciones de recursos individuales, secundarios y grupales.\]](http://docs.aws.amazon.com/es_es/vpc-lattice/latest/ug/images/resource-config-types.png)
## Protocolo
Al crear una configuración de recursos, puede definir los protocolos que admitirá el recurso. En la actualidad solo se admite el protocolo de TCP.
## Puerta de enlace de recursos
Una configuración de recursos está asociada a una puerta de enlace de recursos. Una puerta de enlace de recursos es un conjunto ENIs que sirve como punto de entrada a la VPC en la que se encuentra el recurso. Se pueden asociar varias configuraciones con la misma puerta de enlace de recursos. Cuando los clientes de otras VPCs cuentas acceden a un recurso de su VPC, el recurso ve el tráfico que proviene localmente de las direcciones IP de la puerta de enlace de recursos en esa VPC.
## Nombres de dominio personalizados para proveedores de recursos
Los proveedores de recursos pueden adjuntar un nombre de dominio personalizado a una configuración de recursos, por ejemplo`example.com`, qué recursos pueden usar los consumidores para acceder a la configuración de recursos. El nombre de dominio personalizado puede ser propiedad del proveedor de recursos y estar verificado por él, o puede ser un AWS dominio o un tercero. Los proveedores de recursos pueden usar las configuraciones de recursos para compartir clústeres de caché y clústeres de Kafka, aplicaciones basadas en TLS u otros AWS recursos.
Las siguientes consideraciones se aplican a los proveedores de configuraciones de recursos:
+ Una configuración de recursos solo puede tener un dominio personalizado.
+ El nombre de dominio personalizado de una configuración de recursos no se puede cambiar.
+ El nombre de dominio personalizado está visible para todos los consumidores de configuraciones de recursos.
+ Puedes verificar tu nombre de dominio personalizado mediante el proceso de verificación del nombre de dominio de VPC Lattice. Para obtener más información Para obtener más información, consulte. [Crea y verifica un dominio](create-and-verify.md)
+ Para las configuraciones de recursos de tipo grupo e hijo, primero debe especificar un dominio de grupo en la configuración de recursos del grupo. Después, las configuraciones de recursos secundarios pueden tener dominios personalizados que sean subdominios del dominio del grupo. Si el grupo no tiene un dominio de grupo, puedes usar cualquier nombre de dominio personalizado para el elemento secundario, pero VPC Lattice no aprovisionará ninguna zona alojada para los nombres de dominio secundarios en la VPC del consumidor de recursos.
## Nombres de dominio personalizados para los consumidores de recursos
Cuando los consumidores de recursos habilitan la conectividad a una configuración de recursos que tiene un nombre de dominio personalizado, pueden permitir que VPC Lattice administre una zona alojada privada de Route 53 en su VPC. Los consumidores de recursos tienen opciones detalladas para los dominios en los que desean permitir que VPC Lattice administre las zonas alojadas privadas.
Los consumidores de recursos pueden establecer el `private-dns-enabled` parámetro al habilitar la conectividad con las configuraciones de recursos a través de un punto final de recursos, un punto final de red de servicio o una asociación de VPC de red de servicio. Junto con el `private-dns-enabled` parámetro, los consumidores pueden usar las opciones de DNS para especificar en qué dominios quieren que VPC Lattice administre las zonas alojadas privadas. Los consumidores pueden elegir entre las siguientes preferencias de DNS privado:
**`ALL_DOMAINS`**
VPC Lattice proporciona zonas alojadas privadas para todos los nombres de dominio personalizados.
**`VERIFIED_DOMAINS_ONLY`**
VPC Lattice aprovisiona una zona alojada privada solo si el proveedor ha verificado el nombre de dominio personalizado.
**`VERIFIED_DOMAINS_AND_SPECIFIED_DOMAINS`**
VPC Lattice aprovisiona zonas alojadas privadas para todos los nombres de dominio personalizados verificados y otros nombres de dominio que especifique el consumidor de recursos. El consumidor de recursos especifica los nombres de dominio en el `private DNS specified domains` parámetro.
**`SPECIFIED_DOMAINS_ONLY`**
VPC Lattice proporciona una zona alojada privada para los nombres de dominio especificados por el consumidor de recursos. El consumidor de recursos especifica los nombres de dominio en el `private DNS specified domains ` parámetro.
Al habilitar el DNS privado, VPC Lattice crea una zona alojada privada en la VPC para el nombre de dominio personalizado asociado a la configuración de recursos. De forma predeterminada, la preferencia de DNS privado está establecida en. `VERIFIED_DOMAINS_ONLY` Esto significa que las zonas alojadas privadas se crean solo si el proveedor de recursos ha verificado el nombre de dominio personalizado. Si estableces tu preferencia de DNS privado en `ALL_DOMAINS` o`SPECIFIED_DOMAINS_ONLY`, a continuación, VPC Lattice crea zonas alojadas privadas independientemente del estado de verificación del nombre de dominio personalizado. Cuando se crea una zona alojada privada para un dominio determinado, todo el tráfico a ese dominio desde la VPC se enruta a través de VPC Lattice. Le recomendamos que utilice las `SPECIFIED_DOMAINS_ONLY` preferencias `ALL_DOMAINS``VERIFIED_DOMAINS_AND_SPECIFIED_DOMAINS`, o solo cuando desee que el tráfico a estos nombres de dominio personalizados pase por VPC Lattice.
Recomendamos que los consumidores de recursos establezcan sus preferencias de DNS privado en. `VERIFIED_DOMAINS_ONLY` Esto permite a los consumidores reforzar su perímetro de seguridad al permitir que VPC Lattice solo aprovisione zonas alojadas privadas para dominios verificados en la cuenta del consumidor de recursos.
Para seleccionar dominios en los dominios especificados por el DNS privado, los consumidores de recursos pueden introducir un nombre de dominio completo, como por ejemplo, `my.example.com` o utilizar un comodín como. `*.example.com`
Las siguientes consideraciones se aplican a los consumidores de configuraciones de recursos:
+ El parámetro de DNS privado habilitado no se puede cambiar.
+ El DNS privado debe estar habilitado en una asociación de recursos de red de servicio para que un alojamiento privado se cree en una VPC. Para una configuración de recursos, el estado habilitado para el DNS privado de la asociación de recursos de la red de servicio anula el estado habilitado para el DNS privado del punto final de la red de servicio o de la asociación de VPC de la red de servicio.
## Nombres de dominio personalizados para los propietarios de la red de servicios
La propiedad habilitada para el DNS privado de la asociación de recursos de la red de servicio anula la propiedad habilitada para el DNS privado del punto final de la red de servicio y la asociación de VPC de la red de servicio.
Si el propietario de una red de servicios crea una asociación de recursos de red de servicios y no habilita el DNS privado, VPC Lattice no aprovisionará zonas alojadas privadas para esa configuración de recursos en ninguna de las zonas a las VPCs que esté conectada la red de servicio, aunque el DNS privado esté habilitado en el punto final de la red de servicio o en las asociaciones de VPC de la red de servicio.
Para las configuraciones de recursos de tipo ARN, el indicador de DNS privado es verdadero e inmutable.
## Definición del recurso
En la configuración del recurso, identifique el recurso de una de las siguientes formas:
+ Mediante un **nombre de recurso de Amazon (ARN)**: los tipos de recursos admitidos que aprovisionan los AWS servicios se pueden identificar por su ARN. Solo se admiten las bases de datos de Amazon RDS. No se puede crear una configuración de recursos para un clúster de acceso público.
+ Por un **objetivo de nombre de dominio: puede utilizar cualquier nombre** de dominio que se pueda resolver públicamente. Si el nombre de dominio apunta a una IP que está fuera de la VPC, debe tener una puerta de enlace NAT en la VPC.
+ Por una **dirección IP**: para especificar una IP privada de los siguientes rangos: 10.0.0.0/8 IPv4, 100.64.0.0/10, 172.16.0.0/12, 192.168.0.0/16. Para IPv6, especifique una IP de la VPC. IPs No se admiten las públicas.
## Intervalos de puertos
Al crear una configuración de recursos, se pueden definir los puertos en los que aceptará las solicitudes. No se permitirá el acceso del cliente a otros puertos.
## Acceso a recursos de
Los consumidores pueden acceder a configuraciones de recursos directamente desde su VPC mediante un punto de conexión de VPC o a través de una red de servicio. Como consumidor, puede habilitar el acceso desde su VPC a una configuración de recursos que esté en su cuenta o que se haya compartido con usted desde otra cuenta a través de AWS RAM.
+ *Acceso directo a una configuración de recursos*
Puede crear un punto de enlace de AWS PrivateLink VPC de tipo recurso (punto de enlace de recurso) en su VPC para acceder a una configuración de recursos de forma privada desde su VPC. Para obtener más información sobre cómo crear un punto de conexión de recursos, consulte [Accessing VPC resources](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-resources.html) en la *Guía del usuario de AWS PrivateLink*.
+ *Acceso a una configuración de recursos a través de una red de servicios*
Se puede asociar una configuración de recursos a una red de servicio y conectar su VPC a la red de servicio. Puede conectar la VPC a la red de servicio mediante una asociación o mediante un punto final de VPC de la AWS PrivateLink red de servicio.
Para obtener más información sobre las asociaciones de red de servicios, consulte [Manage the associations for a VPC Lattice service network](https://docs.aws.amazon.com/vpc-lattice/latest/ug/service-network-associations.html).
Para obtener más información sobre los puntos de conexión de VPC de la red de servicio, consulte [Access service networks](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-service-networks.html) en la *Guía del usuario de AWS PrivateLink *.
Cuando el DNS privado está habilitado para la VPC, no se puede crear un punto de conexión de recursos y un punto de conexión de red de servicios para la misma configuración de recursos.
## Asociación con el tipo de red de servicio
Al compartir una configuración de recursos con una cuenta de consumidor, por ejemplo, la cuenta B, la cuenta B puede acceder a la configuración de recursos directamente a través AWS RAM de un punto final de VPC de recursos o a través de una red de servicios.
Para acceder a una configuración de recursos a través de una red de servicios, la cuenta B tendría que asociar la configuración de recursos a una red de servicios. Las redes de servicios se pueden compartir entre cuentas. Por lo tanto, la cuenta B puede compartir su red de servicios (a la que está asociada la configuración de recursos) con la cuenta C, lo que permite acceder al recurso desde la cuenta C.
Para evitar este uso compartido transitivo, se puede especificar que la configuración de recursos no se pueda agregar a las redes de servicios que se puedan compartir entre cuentas. Si se especifica esto, la cuenta B no podrá agregar su configuración de recursos a las redes de servicios que se comparten o se pueden compartir con otra cuenta en el futuro.
## Tipos de redes de servicio
Cuando compartes una configuración de recursos con otra cuenta, por ejemplo, la Cuenta B, la Cuenta B puede acceder a AWS RAM los recursos especificados en la configuración de recursos de una de estas tres maneras:
+ Uso de un punto de conexión de VPC de tipo *recurso* (punto de conexión de VPC de recurso).
+ Uso de un punto de conexión de VPC de tipo *red de servicios* (punto de conexión de VPC de red de servicio).
+ Uso de una asociación de VPC de red de servicio.
Cuando utilizas una asociación de red de servicio, a cada recurso se le asigna una IP por subred del bloque 129.224.0.0/17, que es propia y no se puede enrutar. AWS Esto se suma a la [lista de prefijos administrados](security-groups.md#managed-prefix-list) que VPC Lattice usa para enrutar el tráfico a los servicios a través de la red de VPC Lattice. Ambos IPs se actualizan en la tabla de enrutamiento de la VPC.
Para el punto final de la VPC de la red de servicio y la asociación de VPC de la red de servicio, la configuración de recursos tendría que estar asociada a una red de servicio en la cuenta B. Las redes de servicio se pueden compartir entre cuentas. Por lo tanto, la cuenta B puede compartir su red de servicios (que contiene la configuración de recursos) con la cuenta C, lo que permite acceder al recurso desde la cuenta C. Para evitar que se comparta de forma transitiva, se puede impedir que su configuración de recursos se agregue a las redes de servicio que se pueden compartir entre cuentas. Si no se permite, la cuenta B no podrá agregar su configuración de recursos a una red de servicios que esté compartida o que pueda compartirse con otra cuenta.
## Compartir configuraciones de recursos mediante AWS RAM
Las configuraciones de recursos están integradas con AWS Resource Access Manager. También se puede compartir la configuración con otra cuenta mediante AWS RAM. Cuando compartes una configuración de recursos con una AWS cuenta, los clientes de esa cuenta pueden acceder al recurso de forma privada. Puede compartir una configuración de recursos, con un [recurso compartido](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing.html) en AWS RAM.
Utilice la AWS RAM consola para ver los recursos compartidos a los que se le ha agregado, los recursos compartidos a los que puede acceder y las AWS cuentas que han compartido recursos con usted. Para obtener más información, consulte [Resources shared with you](https://docs.aws.amazon.com/ram/latest/userguide/working-with-shared.html) en la *Guía del usuario de AWS RAM *.
Para acceder a un recurso desde otra VPC de la misma cuenta que la configuración de recursos, no es necesario compartir la configuración de recursos a través de ella. AWS RAM
## Supervisión
Se pueden habilitar los registros de supervisión en la configuración de sus recursos. Se puede elegir un destino al que enviar los registros.
# Crea y verifica un dominio
La verificación de un nombre de dominio es una entidad que te permite demostrar que eres propietario de un dominio determinado. Como proveedor de recursos, puedes usar el dominio y sus subdominios como nombres de dominio personalizados para las configuraciones de tus recursos. Los consumidores de recursos pueden ver el estado de verificación de tu nombre de dominio personalizado cuando describen la configuración de los recursos.
## Inicie la verificación del dominio
La verificación del nombre de dominio se inicia mediante VPC Lattice y, a continuación, se utiliza la zona DNS para completar el proceso.
------
#### [ Consola de administración de AWS ]
**Para iniciar la verificación del nombre de dominio**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, en **PrivateLink Lattice**, selecciona Verificaciones de **dominio**
1. Selecciona **Iniciar la verificación del dominio**.
1. En **Nombre de dominio**, introduce un nombre de dominio que te pertenezca.
1. (Opcional) Para agregar una etiqueta, elija **Agregar etiqueta nueva** e ingrese la clave y el valor de la etiqueta.
1. Selecciona **Iniciar la verificación del nombre de dominio**.
Tras el inicio exitoso de la verificación de su nombre de dominio, VPC Lattice devuelve el y el`Id`. `txtMethodConfig` Utiliza el `txtMethodConfig` para completar la verificación de su nombre de dominio.
------
#### [ AWS CLI ]
El siguiente `start-domain-verification` comando inicia una verificación del nombre de dominio:
```
aws vpc-lattice start-domain-verification \
--domain-name example.com
```
El resultado es similar al siguiente:
```
{
"id": "dv-aaaa0000000111111",
"arn": "arn:aws:vpc-lattice:us-west-2:111122223333:domainverification/dv-aaaa0000000111111",
"domainName": "example.com",
"status": "PENDING",
"txtMethodConfig": {
"value": "vpc-lattice:1111aaaaaaa",
"name": "_11111aaaaaaaaa"
}
}
```
VPC Lattice devuelve el y el`Id`. `txtMethodConfig` Utiliza el `txtMethodConfig` para completar la verificación de su nombre de dominio. En este ejemplo, el `txtMethodConfig` es el siguiente:
```
txtMethodConfig": {
"value": "vpc-lattice:1111aaaaaaa",
"name": "_11111aaaaaaaaa"
}
```
------
## Complete la verificación del nombre de dominio
Para completar la verificación del nombre de dominio, añada un registro TXT en su zona DNS. Si usas Route 53, usa la zona alojada de tu nombre de dominio. Al verificar un nombre de dominio, también se verifican todos los subdominios. Por ejemplo, si lo verifica`example.com`, puede asociar una configuración de recursos con `alpha.example.com` y `beta.example.com` sin realizar ninguna verificación adicional.
Para crear un registro TXT mediante el Consola de administración de AWS, consulte [Creación de registros mediante la consola de Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resource-record-sets-creating.html).
**Para crear un registro TXT con Route 53 AWS CLI**
1. Utilice el [change-resource-record-sets](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/r53/change-resource-record-sets.html)comando con el siguiente `TXT-record.json` archivo de ejemplo:
```
{
"Changes": [
{
"Action": "CREATE",
"ResourceRecordSet": {
"Name": "_11111aaaaaaaaa",
"Type": "TXT",
"ResourceRecords": [
{
"value": "vpc-lattice:1111aaaaaaa"
}
]
}
}
]
}
```
1. Use el siguiente AWS CLI comando para agregar el registro TXT del paso anterior a una zona hospedada de Route 53:
```
aws route53 change-resource-record-sets \
--hosted-zone-id ABCD123456 \
--change-batch file://path/to/your/TXT-record.json
```
Reemplácelo por el `hosted-zone-id` ID de zona alojada de Route 53 de la zona alojada de su cuenta. El valor del parámetro change-batch apunta a un archivo JSON (txt-record.json) ubicado en una carpeta (). path/to/your
Para comprobar el estado de verificación de su nombre de dominio, puede utilizar la consola VPC Lattice o el comando. `get-domain-verification`
Una vez que verifiques tu nombre de dominio, permanecerá verificado hasta que lo elimines. Si eliminas el registro TXT de tu zona DNS, VPC Lattice lo eliminará `verification-id` y tendrás que volver a verificar el nombre de dominio. Si eliminas el registro TXT de tu zona DNS, VPC Lattice establece el estado de verificación de tu nombre de dominio en. `UNVERIFIED` Esto no afecta a ningún punto final de recursos, punto final de red de servicio o asociación de VPC de red de servicio existente con las configuraciones de recursos. Para volver a verificar tu nombre de dominio, vuelve a iniciar el proceso de verificación del nombre de dominio.
# Creación de una configuración de recursos en VPC Lattice
Cree una configuración de recursos.
------
#### [ Consola de administración de AWS ]
**Para crear una configuración de recursos mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, en Lattice **PrivateLink y Lattice**, elija **Configuraciones de recursos**.
1. Seleccione **Crear una configuración de recursos**.
1. Introduzca un nombre que sea único en su AWS cuenta. No se puede cambiar este nombre después de crear la configuración de los recursos.
1. En **Tipo de configuración**, elija **Recurso** para un recurso individual o secundario o **Grupo de recursos** para un grupo de recursos secundarios.
1. Elija una puerta de enlace de recursos que haya creado anteriormente o cree una ahora.
1. (Opcional) Para introducir un nombre de dominio personalizado, realiza una de las siguientes acciones:
+ Si tiene una configuración de recursos de tipo único, puede introducir un nombre de dominio personalizado. Los consumidores de recursos pueden usar este nombre de dominio para acceder a sus configuraciones de recursos.
+ Si tiene una configuración de recursos de tipo grupo y secundaria, primero debe especificar un dominio de grupo en la configuración de recursos de grupo. A continuación, las configuraciones de recursos secundarios pueden tener dominios personalizados que sean subdominios del dominio del grupo.
1. (Opcional) Introduzca el ID de verificación.
Proporciona un identificador de verificación si quieres que se verifique tu nombre de dominio. Esto permite a los consumidores de recursos saber que eres el propietario del nombre de dominio.
1. Elija el identificador del recurso que desea que represente esta configuración de recursos.
1. Elija los intervalos de puertos a través de los cuales desea compartir el recurso.
1. En **Configuración de asociación**, especifique si esta configuración de recursos se puede asociar a redes de servicios que se puedan compartir.
1. En la **configuración de recursos compartidos**, elija los recursos compartidos que identifiquen a las entidades principales que pueden acceder a este recurso.
1. (Opcional) Para el **monitoreo**, habilite **Registros de acceso a los recursos** y el destino de entrega si desea supervisar las solicitudes y las respuestas desde y hacia la configuración de recursos.
1. (Opcional) Para agregar una etiqueta, elija **Agregar etiqueta nueva** e ingrese la clave y el valor de la etiqueta.
1. Seleccione **Crear una configuración de recursos**.
------
#### [ AWS CLI ]
El siguiente [create-resource-configuration](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/vpc-lattice/create-resource-configuration.html)comando crea una configuración de recursos única y la asocia al nombre de dominio personalizado`example.com`.
```
aws vpc-lattice create-resource-configuration \
--name my-resource-config \
--type SINGLE \
--resource-gateway-identifier rgw-0bba03f3d56060135 \
--resource-configuration-definition 'ipResource={ipAddress=10.0.14.85}' \
--custom-domain-name example.com \
--verification-id dv-aaaa0000000111111
```
El siguiente [create-resource-configuration](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/vpc-lattice/create-resource-configuration.html)comando crea una configuración de recursos de grupo y la asocia al nombre de dominio personalizado`example.com`.
```
aws vpc-lattice-custom-dns create-resource-configuration \
--name my-custom-dns-resource-config-group \
--type GROUP \
--resource-gateway-identifier rgw-0bba03f3d56060135 \
--domain-verification-identifier dv-aaaa0000000111111
```
El siguiente [create-resource-configuration](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/vpc-lattice/create-resource-configuration.html)comando crea una configuración de recursos secundarios y la asocia al nombre de dominio personalizado`child.example.com`.
```
aws vpc-lattice-custom-dns create-resource-configuration \
--name my-custom-dns-resource-config-child \
--type CHILD \
--resource-configuration-definition 'dnsResource={domainName=my-alb-123456789.us-west-2.elb.amazonaws.com,ipAddressType=IPV4}' \
--resource-configuration-group-identifier rcfg-07129f3acded87626 \
--custom-domain-name child.example.com
```
------
# Administración de asociaciones para una configuración de recursos de VPC Lattice
Las cuentas de consumidor con las que comparte una configuración de recursos y los clientes de su cuenta pueden acceder a la configuración de recursos directamente mediante un punto de enlace de VPC de tipo recurso o a través de un punto de enlace de VPC de tipo service-network. Como resultado, la configuración de sus recursos tendrá asociaciones de puntos finales y asociaciones de redes de servicios.
## Gestione las asociaciones de recursos de la red de servicios
Cree o elimine una asociación de red de servicios.
**nota**
Si recibe un mensaje de acceso denegado al crear la asociación entre la red de servicio y la configuración de los recursos, compruebe la versión de su AWS RAM política y asegúrese de que sea la versión 2. Para obtener más información, consulte la guía del [AWS RAM usuario](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html).
**Para administrar una asociación a una red de servicios mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, en Lattice **PrivateLink y Lattice**, selecciona **Configuraciones de recursos**.
1. Elija el nombre de la configuración del recurso para abrir su página de detalles.
1. Seleccione la pestaña **Asociaciones de redes de servicios.**
1. Elija **Crear asociaciones**.
1. Seleccione una red de servicios en **Red de servicios de VPC Lattice**. Para crear una red de servicios, elija **Crear una red de VPC Lattice**.
1. (Opcional) Para agregar una etiqueta, expanda **Etiquetas de asociación de servicios**, elija **Agregar etiqueta nueva** e ingrese una clave y un valor de etiqueta.
1. (Opcional) Para habilitar los nombres DNS privados para esta asociación de recursos de red de servicios, elija **habilitar el nombre DNS privado**. Para obtener más información, consulte [Nombres de dominio personalizados para los propietarios de la red de servicios](resource-configuration.md#resource-configuration-custom-domain-name-service-network-owners).
1. Elija **Save changes (Guardar cambios)**.
1. Para eliminar una asociación, seleccione la casilla de verificación de la asociación y, luego, elija **Acciones**, **Eliminar**. Cuando le pidan confirmación, escriba **confirm** y elija **Eliminar**.
**Para crear una asociación de red de servicios mediante el AWS CLI**
Utilice el comando [create-service-network-resource-association](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/create-service-network-resource-association.html).
**Para eliminar una asociación de red de servicios mediante el AWS CLI**
Utilice el comando [delete-service-network-resource-association](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/delete-service-network-resource-association.html).
## Gestione las asociaciones de puntos finales de VPC de recursos
Las cuentas de consumidores con acceso a su configuración de recursos o los clientes de su cuenta pueden acceder a la configuración de recursos mediante un punto final de VPC de recursos. Si la configuración de sus recursos tiene un nombre de dominio personalizado, puede usar Enable Private DNS para permitir que VPC Lattice aprovisione zonas alojadas privadas para su punto final de recursos o punto final de red de servicios. De este modo, los clientes pueden curvar directamente el nombre de dominio para acceder a la configuración de recursos. Para obtener más información, consulte [Nombres de dominio personalizados para los consumidores de recursos](resource-configuration.md#custom-domain-name-resource-consumers).
------
#### [ Consola de administración de AWS ]
1. **Para crear una nueva asociación de puntos de conexión, vaya a **PrivateLink Lattice** en el panel de navegación izquierdo y seleccione Puntos de conexión.**
1. Elija **Crear puntos de conexión**.
1. Seleccione la configuración de recursos que desee conectar a la VPC.
1. Seleccione la VPC, las subredes y los grupos de seguridad.
1. (Opcional) Para activar el DNS privado y configurar las opciones de DNS, selecciona **Habilitar el nombre DNS privado**.
1. (Opcional) Para etiquetar su punto de conexión de VPC, elija **Agregar etiqueta nueva** e ingrese una clave y un valor de etiqueta.
1. Seleccione **Crear punto de conexión**.
------
#### [ AWS CLI ]
El siguiente [create-vpc-endpoint](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/create-vpc-endpoint.html)comando crea un punto final de VPC que usa un DNS privado. Las preferencias de DNS privado están configuradas en `VERIFIED_AND_SELECTED` y los dominios seleccionados son `example.com` y`example.org`. VPC Lattice solo aprovisiona zonas alojadas privadas para cualquier dominio verificado o. `example.com` `example.org`
```
aws ec2 create-vpc-endpoint \
--vpc-endpoint-type Resource \
--vpc-id vpc-111122223333aabbc \
--subnet-ids subnet-0011aabbcc2233445 \
--resource-configuration-arn arn:aws:vpc-lattice:us-west-2:111122223333:resourceconfiguration/rcfg-07129f3acded87625 \
--private-dns-enabled \
--private-dns-preferences VERIFIED_DOMAINS_AND_SPECIFIED_DOMAINS \
--private-domains-set example.com, example.org
```
------
**Para crear una asociación de puntos de conexión de VPC mediante el AWS CLI**
Utilice el comando [create-vpc-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpc-endpoint.html).
**Para eliminar una asociación de puntos de conexión de VPC mediante el AWS CLI**
Utilice el comando [delete-vpc-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpc-endpoint.html).