Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Puntos de conexión de la puerta de enlace
Los puntos de conexión de VPC de puerta de enlace proporcionan conectividad fiable a Amazon S3 y DynamoDB sin necesidad de una puerta de enlace de Internet o un dispositivo NAT para su VPC. Los puntos finales de puerta de enlace no utilizan AWS PrivateLink, a diferencia de otros tipos de puntos finales de VPC.
Amazon S3 y DynamoDB admiten tanto puntos de conexión de puerta de enlace como puntos de conexión de interfaz. Para comparar las opciones, consulte lo siguiente:
+ [Tipos de puntos de conexión de VPC para Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/privatelink-interface-endpoints.html#types-of-vpc-endpoints-for-s3)
+ [Tipos de puntos de conexión de VPC para Amazon DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/privatelink-interface-endpoints.html#types-of-vpc-endpoints-for-ddb)
**Precios**
El uso de puntos de conexión de puerta de enlace no supone ningún cargo adicional.
**Topics**
+ [Descripción general de](#gateway-endpoint-overview)
+ [Enrutamiento](#gateway-endpoint-routing)
+ [Seguridad](#gateway-endpoint-security)
+ [Tipo de dirección IP](#gateway-endpoint-ip-address-type)
+ [Tipo de IP de registro de DNS](#gateway-endpoint-dns-record-ip-type)
+ [Puntos de conexión para Amazon S3](vpc-endpoints-s3.md)
+ [Puntos de conexión para DynamoDB](vpc-endpoints-ddb.md)
## Descripción general de
Puede acceder a Amazon S3 y DynamoDB a través de sus puntos de conexión de servicio públicos o mediante puntos de conexión de la puerta de enlace. Esta descripción general compara estos métodos.
**Acceso mediante una puerta de enlace de Internet**
En el siguiente diagrama, se muestra cómo las instancias acceden a Amazon S3 y DynamoDB mediante sus puntos de conexión de servicio públicos. El tráfico a Amazon S3 o DynamoDB desde una instancia en una subred pública se dirige a la puerta de enlace de Internet de la VPC y, a continuación, al servicio. Las instancias en una subred privada no pueden enviar tráfico a Amazon S3 o DynamoDB, porque, por definición, las subredes privadas no tienen rutas a una puerta de enlace de Internet. Para permitir que las instancias de la subred privada envíen tráfico a Amazon S3 o DynamoDB, agregue un dispositivo NAT a la subred pública y dirija el tráfico de la subred privada al dispositivo NAT. Si bien el tráfico a Amazon S3 o DynamoDB atraviesa la puerta de enlace de Internet, no sale de la red. AWS
![\[El tráfico sale de la VPC a través de una puerta de enlace a Internet, pero permanece en la AWS red.\]](http://docs.aws.amazon.com/es_es/vpc/latest/privatelink/images/without-gateway-endpoints.png)
**Acceso a través de un punto de conexión de la puerta de enlace**
En el siguiente diagrama, se muestra cómo las instancias acceden a Amazon S3 y DynamoDB mediante un punto de conexión de la puerta de enlace. El tráfico desde su VPC hasta Amazon S3 o DynamoDB se dirige al punto de conexión de la puerta de enlace. Cada tabla de enrutamiento de subred debe tener una ruta que envíe el tráfico destinado al servicio al punto de conexión de la puerta de enlace mediante la lista de prefijos del servicio. Para obtener más información, consulte [la lista de prefijos administrados de AWS](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-aws-managed-prefix-lists.html) en la *Guía del usuario de Amazon VPC*.
![\[El tráfico desde su VPC se dirige al punto de conexión de la puerta de enlace.\]](http://docs.aws.amazon.com/es_es/vpc/latest/privatelink/images/gateway-endpoints.png)
## Enrutamiento
Cuando se crea un punto de conexión de la puerta de enlace, se seleccionan las tablas de enrutamiento de la VPC para las subredes que habilita. La siguiente ruta se agregará de forma automática a cada tabla de enrutamiento que seleccione. El destino es una lista de prefijos del servicio propiedad de AWS y el destino es el punto final de la puerta de enlace.
| Destino | Target |
| --- | --- |
| prefix\$1list\$1id | gateway\$1endpoint\$1id |
**Consideraciones**
+ Puede revisar las rutas del punto de conexión que agregamos a su tabla de enrutamiento, pero no puede modificarlas ni eliminarlas. Para agregar una ruta de punto de conexión a una tabla de enrutamiento, asóciela con el punto de conexión de la puerta de enlace. Eliminamos la ruta del punto de conexión cuando desasocia la tabla de enrutamiento del punto de conexión de la puerta de enlace o cuando elimina el punto de conexión de la puerta de enlace.
+ Todas las instancias en las subredes asociadas con una tabla de enrutamiento asociada con un punto de conexión de la puerta de enlace utilizan de forma automática el punto de conexión de la puerta de enlace para acceder al servicio. Las instancias en las subredes que no están asociadas a estas tablas de enrutamiento utilizan el punto de conexión de servicio público, no el punto de conexión de la puerta de enlace.
+ Una tabla de enrutamiento puede tener tanto una ruta de punto de conexión a Amazon S3 como una ruta de punto de conexión a DynamoDB. Puede tener rutas de punto de conexión al mismo servicio (Amazon S3 o DynamoDB) en varias tablas de enrutamiento. No puede tener varias rutas de punto de conexión al mismo servicio (Amazon S3 o DynamoDB) en una sola tabla de enrutamiento.
+ Para determinar cómo dirigir tráfico, se usa la ruta más específica que coincida con el tráfico en cuestión (coincidencia del prefijo más largo). Para las tablas de enrutamiento con una ruta de punto de conexión, esto significa lo siguiente:
+ Si hay una ruta que envía todo el tráfico de Internet (0.0.0.0/0) a una puerta de enlace de Internet, la ruta del punto de conexión tiene prioridad sobre el tráfico destinado para el servicio (Amazon S3 o DynamoDB) en la región actual. El tráfico destinado a un destino diferente Servicio de AWS utiliza la puerta de enlace de Internet.
+ El tráfico destinado al servicio (Amazon S3 o DynamoDB) en una región diferente va a la puerta de enlace de Internet porque las listas de prefijos son específicas de una región.
+ Si hay una ruta que especifica el intervalo exacto de direcciones IP para el servicio (Amazon S3 o DynamoDB) en la misma región, esa ruta tiene prioridad sobre la ruta del punto de conexión.
## Seguridad
Cuando sus instancias acceden a Amazon S3 o a DynamoDB a través de un punto de conexión de la puerta de enlace, acceden al servicio mediante su punto de conexión público. Los grupos de seguridad de estas instancias deben permitir el tráfico hacia y el servicio. A continuación, se muestra un ejemplo de una regla de salida. Hace referencia al ID de la [lista de prefijos](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-aws-managed-prefix-lists.html) para el servicio.
| Destino | Protocolo | Intervalo de puertos |
| --- | --- | --- |
| prefix\$1list\$1id | TCP | 443 |
La red ACLs de las subredes de estas instancias también debe permitir el tráfico hacia y desde el servicio. A continuación, se muestra un ejemplo de una regla de salida. No se puede hacer referencia a las listas de prefijos en las reglas de ACL de la red, pero se pueden obtener los rangos de direcciones IP del servicio desde su lista de prefijos.
| Destino | Protocolo | Intervalo de puertos |
| --- | --- | --- |
| service\$1cidr\$1block\$11 | TCP | 443 |
| service\$1cidr\$1block\$12 | TCP | 443 |
| service\$1cidr\$1block\$13 | TCP | 443 |
## Tipo de dirección IP
El tipo de dirección IP determina qué lista de prefijos está asociada a la tabla de enrutamiento.
**Requisitos para habilitar un punto IPv6 final de puerta de enlace**
+ El tipo de dirección IP de un punto de conexión de puerta de enlace debe ser compatible con las subredes del punto de conexión de carga de puerta de enlace, como se describe a continuación:
+ **IPv4**— Agregue la lista de IPv4 prefijos del servicio a su tabla de rutas.
+ **IPv6**— Agregue la lista de IPv6 prefijos del servicio a su tabla de rutas. Esta opción solo se admite si todas las subredes seleccionadas son IPv6 solo subredes.
+ **Dualstack**: agregue la lista de IPv4 prefijos del servicio a la tabla de rutas y agregue la lista de prefijos del servicio a la tabla de IPv6 rutas. Esta opción solo se admite si todas las subredes seleccionadas tienen ambos rangos de direcciones. IPv4 IPv6
## Tipo de IP de registro de DNS
De forma predeterminada, el punto final de una puerta de enlace devuelve los registros de DNS en función del punto final del servicio al que se llame. Si crea el punto de enlace mediante el punto de enlace del IPv4 servicio, por ejemplo`s3.us-east-2.amazonaws.com`, Amazon S3 devuelve los registros A a sus clientes y todas las subredes de la tabla de enrutamiento los utilizan IPv4.
Por el contrario, si crea su punto de enlace de puerta de enlace mediante el punto de enlace del servicio de doble pila`s3.dualstack.us-east-2.amazonaws.com`, por ejemplo, Amazon S3 devuelve los registros A y AAAA a sus clientes, y las subredes de su tabla de rutas utilizan y. IPv4 IPv6
**nota**
En el caso de los buckets de directorio, o S3 Express One Zone, los puntos de enlace de la puerta de enlace para el plano de datos serían y, respectivamente. `s3express-use2-az1.us-east-2.amazonaws.com` `s3express-use2-az1.dualstack.us-east-2.amazonaws.com`
El tipo de IP del registro DNS afecta a la forma en que se enruta el tráfico a sus clientes. Si crea un punto de enlace mediante el punto de enlace del IPv4 servicio y, a continuación, llama al punto de enlace del servicio de doble pila, el tráfico que utiliza registros AAAA no se enrutará a través del punto de enlace de la puerta de enlace. El tráfico se interrumpirá o se enrutará a través de una ruta IPv6 compatible, si existe alguna. Si utilizas un tipo de IP de registro DNS definido por el servicio, asegúrate de que tu servicio pueda gestionar llamadas variables desde varios puntos de conexión del servicio.
En lugar del tipo de IP de registro DNS predeterminado [definido por el servicio](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DnsOptionsSpecification.html), puedes personalizar el tipo de IP del registro DNS para elegir qué registros se devuelven para un punto final específico. En la siguiente tabla se muestran los tipos de IP de registro de DNS admitidos y los tipos de registro devueltos:
| Tipo de IP de registro de DNS | Tipos de registros devueltos |
| --- | --- |
| IPv4 | A |
| IPv6 | AAAA |
| Pila doble | A y AAAA |
| definido por el servicio | Los registros dependen del punto final del servicio |
Para elegir un tipo de IP de registro DNS, debe usar un tipo de dirección IP compatible para el servicio de punto final. En la siguiente tabla se muestra el tipo de IP de registro DNS compatible para cada tipo de dirección IP de los puntos de enlace de puerta de enlace:
| Tipo de dirección IP | Tipos de IP de registros de DNS admitidos |
| --- | --- |
| IPv4 | IPv4, definido por el servicio\$1 |
| IPv6 | IPv6, definido por el servicio\$1 |
| Pila doble | IPv4, IPv6 Dualstack, definido por el servicio\$1 |
\$1 Representa el tipo de IP del registro de DNS predeterminado.
**nota**
Para usar tipos de IP de registro de DNS distintos de los definidos por el servicio para su punto de enlace de puerta de enlace, debe permitir `enableDnsSupport` y `enableDnsHostnames` atribuir atributos en la configuración de la VPC.
No puede cambiar el tipo de IP del registro DNS de un punto final de puerta de enlace de DynamoDB. DynamoDB solo admite el tipo de IP de registro DNS definido por el servicio.
El comportamiento del tipo de IP del registro de DNS es diferente en los puntos de conexión de interfaz. Para obtener más información, consulte el [tipo de IP del registro de DNS para los puntos de conexión de interfaz.](privatelink-access-aws-services.md#aws-services-dns-record-ip-type)
# Puntos de conexión de puerta de enlace para Amazon S3
Puede acceder a Amazon S3 desde la VPC mediante los puntos de conexión de VPC de la puerta de enlace. Después de crear el punto de conexión de la puerta de enlace, puede agregarlo como destino en la tabla de enrutamiento para el tráfico destinado desde la VPC a Amazon S3.
El uso de puntos de conexión de puerta de enlace no supone ningún cargo adicional.
Amazon S3 admite puntos de conexión de gateway y puntos de conexión de interfaz. Con un punto de conexión de puerta de enlace, se puede acceder a Amazon S3 desde la VPC sin necesidad de una puerta de enlace de Internet ni de un dispositivo NAT para la VPC, y sin costo adicional. Sin embargo, los puntos de enlace no permiten el acceso desde redes locales, desde redes interconectadas VPCs en otras AWS regiones ni a través de una puerta de enlace de tránsito. Para esos escenarios, se debe utilizar un punto de conexión de interfaz, que está disponible por un costo adicional. Para obtener más información, consulte [Tipos de puntos de conexión para Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/privatelink-interface-endpoints.html#types-of-vpc-endpoints-for-s3) en la *Guía del usuario de Amazon S3*.
**Topics**
+ [Consideraciones](#gateway-endpoint-considerations-s3)
+ [DNS privado](#private-dns-s3)
+ [Creación de un punto de conexión de un gateway](#create-gateway-endpoint-s3)
+ [Control del acceso mediante políticas de bucket](#bucket-policies-s3)
+ [Asociación de tablas de enrutamiento](#associate-route-tables-s3)
+ [Edición de la política del punto de conexión de VPC](#edit-vpc-endpoint-policy-s3)
+ [Eliminación de un punto de conexión de la puerta de enlace](#delete-gateway-endpoint-s3)
## Consideraciones
+ Un punto de conexión de una puerta de enlace solo está disponible en la región donde se creó. Asegúrese de crear el punto de conexión de la puerta de enlace en la misma región que sus buckets de S3.
+ Si utiliza los servidores DNS de Amazon, debe habilitar tanto los [nombres de host DNS como la resolución de los DNS](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating) para la VPC. O bien, si utiliza su propio servidor DNS, asegúrese de que las solicitudes a Amazon S3 se resuelvan de manera correcta en las direcciones IP mantenidas por AWS.
+ Las reglas para los grupos de seguridad para las instancias que acceden a Amazon S3 a través del punto de conexión de la puerta de enlace deben permitir el tráfico a Amazon S3. Puede hacer referencia al ID de la [lista de prefijos](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-aws-managed-prefix-lists.html) de Amazon S3 en las reglas de los grupos de seguridad.
+ La ACL de la red para la subred para las instancias que acceden a Amazon S3 a través de un punto de conexión de la puerta de enlace debe permitir el tráfico hacia y desde Amazon S3. No se puede hacer referencia a las listas de prefijos en las reglas de ACL de la red, pero se pueden obtener los rangos de direcciones IP para Amazon S3 de la [lista de prefijos](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-aws-managed-prefix-lists.html) para Amazon S3.
+ Compruebe si está utilizando una Servicio de AWS que requiera acceso a un bucket de S3. Por ejemplo, un servicio puede requerir acceso a buckets que contienen archivos de registro o puede requerir que descargue controladores o agentes a sus instancias de EC2. Si es así, asegúrese de que su política de puntos finales permita que el recurso Servicio de AWS o el recurso accedan a estos depósitos mediante la `s3:GetObject` acción.
+ No puedes usar la condición `aws:SourceIp` en una política de identidad o una política de bucket para las solicitudes a Amazon S3 que atraviesan un punto de conexión de VPC. Como alternativa, utilice la clave de condición `aws:VpcSourceIp`. O bien, puede usar tablas de enrutamiento para controlar qué instancias de EC2 pueden acceder a Amazon S3 a través del punto de conexión de VPC.
+ La fuente IPv4 o IPv6 las direcciones de las instancias de las subredes afectadas, tal como las recibe Amazon S3, pasan de ser direcciones públicas a direcciones privadas en su VPC. Un punto de conexión cambia las rutas de red y desconecta las conexiones TCP abiertas. Las conexiones anteriores que utilizaban direcciones públicas no se reanudan. Se recomienda no tener ninguna tarea importante en ejecución al crear o modificar un punto de enlace o asegurarse de que el software se puede volver conectar automáticamente a Amazon S3 después de la interrupción de la conexión.
+ Las conexiones de punto de conexión no se pueden ampliar más allá de la VPC. Los recursos del otro lado de una conexión VPN, una conexión de emparejamiento de VPC, una puerta de enlace de tránsito o Direct Connect una conexión de su VPC no pueden usar un punto de enlace de puerta de enlace para comunicarse con Amazon S3.
+ Su cuenta tiene una cuota predeterminada de 20 puntos de conexión de puerta de enlace por región, este número puede ajustarse. Hay un límite de 255 puntos de conexión de la puerta de enlace por VPC.
## DNS privado
Puede configurar el DNS privado para optimizar los costos cuando cree tanto un punto de conexión de puerta de enlace como un punto de conexión de interfaz para Amazon S3.
**Route 53 Resolver**
Amazon proporciona un servidor DNS, denominado [Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html), para la VPC. Route 53 Resolver resuelve automáticamente los nombres de dominio y registros de VPC locales de zonas alojadas privadas. No obstante, no se puede utilizar Route 53 Resolver desde fuera de la VPC. Route 53 proporciona puntos de conexión y reglas de Resolver para que se pueda utilizar Route 53 Resolver desde fuera de la VPC. Un *punto de conexión de Resolver entrante* reenvía las consultas de DNS desde la red local a Route 53 Resolver. Un *punto de conexión de Resolver saliente* reenvía las consultas de DNS desde Route 53 Resolver a la red local.
Cuando se configura el punto de conexión de interfaz para Amazon S3 para que utilice el DNS privado solo para el punto de conexión de Resolver entrante, creamos un punto de conexión de Resolver entrante. El punto de conexión de Resolver entrante resuelve las consultas de DNS a Amazon S3 desde las instalaciones locales a las direcciones IP privadas del punto de conexión de interfaz. Además, agregamos registros ALIAS de Route 53 Resolver a la zona alojada pública para Amazon S3, de modo que las consultas de DNS de la VPC se resuelvan en las direcciones IP públicas de Amazon S3, que enruta el tráfico al punto de conexión de puerta de enlace.
**DNS privado**
Si se configura el DNS privado para el punto de conexión de interfaz para Amazon S3 pero no se configura el DNS privado solo para el punto de conexión de Resolver entrante, las solicitudes procedentes de la red local y la VPC utilizan el punto de conexión de interfaz para acceder a Amazon S3. Por lo tanto, se debe pagar para utilizar el punto de conexión de interfaz para el tráfico procedente de la VPC, en lugar de utilizar el punto de conexión de puerta de enlace, que no tiene costo adicional.
![\[Amazon S3 solicita el direccionamiento con ambos tipos de puntos de conexión.\]](http://docs.aws.amazon.com/es_es/vpc/latest/privatelink/images/s3-private-dns-default.png)
**DNS privado solo para el punto de conexión de Resolver entrante**
Si se configura el DNS privado solo para el punto de conexión de Resolver entrante, las solicitudes procedentes de la red local utilizan el punto de conexión de interfaz para acceder a Amazon S3, mientras que las solicitudes procedentes de la VPC emplean el punto de conexión de puerta de enlace para ello. Por lo tanto, se optimizan los costos, ya que se paga por utilizar el punto de conexión de interfaz solo para el tráfico que no puede usar el punto de conexión de puerta de enlace.
Para configurarlo, el tipo de IP del registro DNS del punto de enlace debe coincidir con el punto de enlace de la interfaz o ser el mismo. `service-defined` AWS PrivateLink no admite ninguna otra combinación. Para obtener más información, consulte [Tipo de IP de registro de DNS](gateway-endpoints.md#gateway-endpoint-dns-record-ip-type).
![\[Direccionamiento de solicitudes de Amazon S3 con DNS privado y un punto de conexión de Resolver entrante.\]](http://docs.aws.amazon.com/es_es/vpc/latest/privatelink/images/s3-private-dns-inbound-endpoint.png)
**Configurar DNS privado**
Se puede configurar el DNS privado para un punto de conexión de interfaz para Amazon S3 cuando se crea o bien después de crearlo. Para obtener más información, consulte [Crear un punto de conexión de VPC](create-interface-endpoint.md#create-interface-endpoint-aws) (configuración durante la creación) o [Habilitación de nombres de DNS privados](interface-endpoints.md#enable-private-dns-names) (configuración después de la creación).
## Creación de un punto de conexión de un gateway
Utilice el siguiente procedimiento para crear un punto de conexión de la puerta de enlace que se conecte a Amazon S3.
**Para crear un punto de enlace de gateway con la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Puntos de conexión**.
1. Elija **Crear punto de conexión**.
1. En **Categoría de servicios**, elija **Servicios de AWS**.
1. Para **los servicios**, añada el filtro **Type = Gateway**.
Si sus datos de Amazon S3 se almacenan en depósitos de uso general, seleccione **com.amazonaws**. *region***.s3.**
Si sus datos de Amazon S3 están almacenados en buckets de directorio, seleccione **com.amazonaws**. *region***.s3express**.
1. En **VPC**, seleccione la VPC en la que desea crear el punto de conexión.
1. En **Tipo de dirección IP**, elija entre las siguientes opciones:
+ **IPv4**— Asigne IPv4 direcciones a las interfaces de red de los puntos finales. Esta opción solo se admite si todas las subredes seleccionadas tienen rangos de IPv4 direcciones y el servicio acepta IPv4 solicitudes.
+ **IPv6**— Asigne IPv6 direcciones a las interfaces de red de los puntos finales. Esta opción solo se admite si todas las subredes seleccionadas son IPv6 solo subredes y el servicio acepta IPv6 solicitudes.
+ **Dualstack**: IPv4 asigne ambas IPv6 direcciones a las interfaces de red de los puntos finales. Esta opción solo se admite si todas las subredes seleccionadas tienen ambos rangos de IPv6 direcciones IPv4 y el servicio acepta ambos IPv4 tipos y solicitudes. IPv6
1. En **Route tables** (Tablas de enrutamiento), seleccione las tablas de enrutamiento que debe utilizar el punto de conexión. De forma automática, se agregará una ruta para dirigir el tráfico destinado al servicio a la interfaz de red del punto de conexión.
1. En **Policy** (Política), seleccione **Full access** (Acceso completo) para permitir todas las operaciones de todas las entidades principales en todos los recursos del punto de conexión de VPC. De lo contrario, seleccione **Custom** (Personalizar) para adjuntar una política de punto de conexión de VPC que controle los permisos que tienen las entidades principales para realizar acciones en los recursos a través del punto de conexión de VPC.
1. (Opcional) Para agregar una etiqueta, elija **Agregar etiqueta nueva** e ingrese la clave y el valor de la etiqueta.
1. Seleccione **Crear punto de conexión**.
**Para crear un punto de conexión de la puerta de enlace mediante la línea de comandos**
+ [create-vpc-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpc-endpoint.html) (AWS CLI)
+ [New-EC2VpcEndpoint](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2VpcEndpoint.html)(Herramientas para Windows PowerShell)
## Control del acceso mediante políticas de bucket
Puede usar políticas de bucket para controlar el acceso a los buckets desde puntos de conexión específicos VPCs, rangos de direcciones IP y. Cuentas de AWS En estos ejemplos se presupone que también hay instrucciones de política que permiten el acceso requerido para sus casos de uso.
**Example Ejemplo: restringir el acceso a un punto de conexión específico**
Puede crear una política de bucket para restringir el acceso a un punto de conexión específico mediante la clave de condición [aws:sourceVpce](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcevpce). La siguiente política deniega el acceso al bucket especificado utilizando las acciones especificadas a menos que se utilice el punto de conexión de puerta de enlace especificado. Tenga en cuenta que esta política bloquea el acceso al bucket especificado mediante las acciones especificadas a través de Consola de administración de AWS.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow-access-to-specific-VPCE",
"Effect": "Deny",
"Principal": "*",
"Action": ["s3:PutObject", "s3:GetObject", "s3:DeleteObject"],
"Resource": ["arn:aws:s3:::bucket_name",
"arn:aws:s3:::bucket_name/*"],
"Condition": {
"StringNotEquals": {
"aws:sourceVpce": "vpce-1a2b3c4d"
}
}
}
]
}
```
**Example Ejemplo: restringir el acceso a una VPC específica**
Puede crear una política de bucket que restrinja el acceso a determinados grupos VPCs mediante la clave de condición [aws:SourceVPC](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcevpc). Esto es útil si tiene múltiples puntos de conexión configurados en la misma VPC. La siguiente política deniega el acceso al bucket especificado mediante las acciones especificadas si la solicitud no provienen de la VPC especificada. Tenga en cuenta que esta política bloquea el acceso al bucket especificado mediante las acciones especificadas a través de Consola de administración de AWS.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow-access-to-specific-VPC",
"Effect": "Deny",
"Principal": "*",
"Action": ["s3:PutObject", "s3:GetObject", "s3:DeleteObject"],
"Resource": ["arn:aws:s3:::example_bucket",
"arn:aws:s3:::example_bucket/*"],
"Condition": {
"StringNotEquals": {
"aws:sourceVpc": "vpc-111bbb22"
}
}
}
]
}
```
**Example Ejemplo: restringir del acceso a un rango de direcciones IP específico**
[Puede crear una política que restrinja el acceso a intervalos de direcciones IP específicos mediante la clave de condición aws:. VpcSourceIp](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-vpcsourceip) La siguiente política deniega el acceso al bucket especificado mediante las acciones especificadas si la solicitud no provienen de la dirección IP especificada. Tenga en cuenta que esta política bloquea el acceso al bucket especificado mediante las acciones especificadas a través de Consola de administración de AWS.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow-access-to-specific-VPC-CIDR",
"Effect": "Deny",
"Principal": "*",
"Action": ["s3:PutObject", "s3:GetObject", "s3:DeleteObject"],
"Resource": ["arn:aws:s3:::bucket_name",
"arn:aws:s3:::bucket_name/*"],
"Condition": {
"NotIpAddress": {
"aws:VpcSourceIp": "172.31.0.0/16"
}
}
}
]
}
```
**Example Ejemplo: restrinja el acceso a los buckets de un área específica Cuenta de AWS**
Puede crear una política para restringir el acceso a los buckets de S3 en una Cuenta de AWS específica con la clave de condición `s3:ResourceAccount`. La siguiente política deniega el acceso a los bucket de S3 mediante las acciones especificadas a menos que sean propiedad de la Cuenta de AWS especificada.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow-access-to-bucket-in-specific-account",
"Effect": "Deny",
"Principal": "*",
"Action": ["s3:GetObject", "s3:PutObject", "s3:DeleteObject"],
"Resource": "arn:aws:s3:::*",
"Condition": {
"StringNotEquals": {
"s3:ResourceAccount": "111122223333"
}
}
}
]
}
```
## Asociación de tablas de enrutamiento
Puede cambiar las tablas de enrutamiento asociadas a su punto de conexión de la puerta de enlace. Cuando asocia una tabla de enrutamiento, se agrega de forma automática una ruta que dirige el tráfico destinado al servicio a la interfaz de red del punto de conexión. Cuando desasocia una tabla de enrutamiento, se elimina de forma automática la ruta del punto de conexión de la tabla de enrutamiento.
**Para asociar tablas de enrutamiento mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Puntos de conexión**.
1. Seleccione el punto de conexión de la puerta de enlace.
1. Elija **Actions**, **Manage route tables**.
1. Seleccione o anule la selección de las tablas de enrutamiento según sea necesario.
1. Elija **Modify route tables** (Modificar tablas de enrutamiento).
**Para asociar tablas de enrutamiento mediante la línea de comandos**
+ [modify-vpc-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint.html) (AWS CLI)
+ [Edit-EC2VpcEndpoint](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2VpcEndpoint.html)(Herramientas para Windows PowerShell)
## Edición de la política del punto de conexión de VPC
Puede editar la política de punto de conexión para un punto de conexión de una puerta de enlace, que controla el acceso a Amazon S3 desde la VPC a través del punto de conexión. Después de la actualización de una política de punto de conexión, los cambios pueden tardar unos minutos en aplicarse. La política predeterminada permite el acceso completo. Para obtener más información, consulte [Políticas de punto de conexión](vpc-endpoints-access.md).
**Para cambiar la política del punto de conexión mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Puntos de conexión**.
1. Seleccione el punto de conexión de la puerta de enlace.
1. Elija **Actions** (Acciones), **Manage policy** (Administrar política).
1. Elija **Acceso completo** para permitir el acceso completo al servicio, o bien elija **Personalizar** y adjunte una política personalizada.
1. Seleccione **Save** (Guardar).
A continuación, se muestran ejemplos de políticas de punto de enlace para acceder a Amazon S3.
**Example Ejemplo: restringir el acceso a un bucket específico**
Puede crear una política que restrinja el acceso únicamente a unos buckets específicos de S3. Esto resulta útil si tiene otras Servicios de AWS en su VPC que utilizan buckets S3.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow-access-to-specific-bucket",
"Effect": "Allow",
"Principal": "*",
"Action": [
"s3:ListBucket",
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::bucket_name",
"arn:aws:s3:::bucket_name/*"
]
}
]
}
```
**Example Ejemplo: restringir el acceso a un rol de IAM específico**
Puede crear una política que restrinja el acceso a un rol de IAM específico. Debe utilizar `aws:PrincipalArn` para conceder acceso a una entidad principal.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow-access-to-specific-IAM-role",
"Effect": "Allow",
"Principal": "*",
"Action": "*",
"Resource": "*",
"Condition": {
"ArnEquals": {
"aws:PrincipalArn": "arn:aws:iam::111122223333:role/role_name"
}
}
}
]
}
```
**Example Ejemplo: restringir el acceso a los usuarios en una cuenta específica**
Puede crear una política que restrinja el acceso a una cuenta específica.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow-callers-from-specific-account",
"Effect": "Allow",
"Principal": "*",
"Action": "*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalAccount": "111122223333"
}
}
}
]
}
```
## Eliminación de un punto de conexión de la puerta de enlace
Cuando ya no necesite un punto de conexión de la puerta de enlace, puede eliminarlo. Cuando elimina un punto de conexión de la puerta de enlace, se elimina la ruta del punto conexión desde las tablas de enrutamiento de la subred.
No se puede eliminar un punto de conexión de puerta de enlace si el DNS privado está habilitado.
**Para eliminar un punto de conexión de la puerta de enlace con la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Puntos de conexión**.
1. Seleccione el punto de conexión de la puerta de enlace.
1. Elija **Actions** (Acciones), **Delete VPC endpoints** (Eliminar puntos de conexión de VPC).
1. Cuando se le solicite confirmación, ingrese **delete**.
1. Elija **Delete** (Eliminar).
**Para eliminar un punto de conexión de la puerta de enlace mediante la línea de comandos**
+ [delete-vpc-endpoints](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpc-endpoints.html) (AWS CLI)
+ [Remove-EC2VpcEndpoint](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2VpcEndpoint.html)(Herramientas para Windows) PowerShell
# Puntos de conexión de la puerta de enlace para Amazon DynamoDB
Puede acceder a Amazon DynamoDB desde la VPC mediante los puntos de conexión de VPC de la puerta de enlace. Después de crear el punto de conexión de la puerta de enlace, puede agregarlo como destino en la tabla de enrutamiento para el tráfico destinado desde la VPC a DynamoDB.
El uso de puntos de conexión de puerta de enlace no supone ningún cargo adicional.
DynamoDB admite tanto puntos de conexión de puerta de enlace como puntos de conexión de interfaz. Con un punto de conexión de puerta de enlace, se puede acceder a DynamoDB desde su VPC sin necesidad de una puerta de enlace de Internet ni de un dispositivo NAT para la VPC, y sin costo adicional. Sin embargo, los puntos de enlace no permiten el acceso desde redes locales, desde redes interconectadas VPCs en otras AWS regiones o a través de una puerta de enlace de tránsito. Para esos escenarios, se debe utilizar un punto de conexión de interfaz, que está disponible por un costo adicional. Para obtener más información, consulte [Tipos de puntos de conexión de VPC para DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/privatelink-interface-endpoints.html#types-of-vpc-endpoints-for-ddb) en la *Guía para desarrolladores de Amazon DynamoDB*.
**Topics**
+ [Consideraciones](#gateway-endpoint-considerations-ddb)
+ [Creación de un punto de conexión de un gateway](#create-gateway-endpoint-ddb)
+ [Control del acceso mediante políticas de IAM](#iam-policies-ddb)
+ [Asociación de tablas de enrutamiento](#associate-route-tables-ddb)
+ [Edición de la política del punto de conexión de VPC](#edit-vpc-endpoint-policy-ddb)
+ [Eliminación de un punto de conexión de la puerta de enlace](#delete-gateway-endpoint-ddb)
## Consideraciones
+ Un punto de conexión de una puerta de enlace solo está disponible en la región donde se creó. Asegúrese de crear el punto de conexión de la puerta de enlace en la misma región que las tablas de DynamoDB.
+ Si utiliza los servidores DNS de Amazon, debe habilitar tanto los [nombres de host DNS como la resolución de los DNS](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating) para la VPC. Si utiliza su propio servidor DNS, asegúrese de que las solicitudes a DynamoDB se resuelvan de forma correcta en las direcciones IP mantenidas por AWS.
+ Las reglas para los grupos de seguridad para las instancias que acceden a DynamoDB a través del punto de conexión de la puerta de enlace deben permitir el tráfico hacia y desde DynamoDB. Puede hacerse referencia al ID de la [lista de prefijos](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-aws-managed-prefix-lists.html) de DynamoDB en las reglas de los grupos de seguridad.
+ La ACL de la red para la subred para las instancias que acceden a DynamoDB a través de un punto de conexión de la puerta de enlace debe permitir el tráfico hacia y desde DynamoDB. No se puede hacer referencia a las listas de prefijos en las reglas de ACL de la red, pero se puede obtener el rango de direcciones IP de DynamoDB en la [lista de prefijos](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-aws-managed-prefix-lists.html) de DynamoDB.
+ Si utiliza AWS CloudTrail para registrar las operaciones de DynamoDB, los archivos de registro contienen las direcciones IP privadas de las instancias EC2 de la VPC del consumidor de servicios y el ID del punto de enlace de cualquier solicitud realizada a través del punto de enlace.
+ Los puntos de enlace de puerta de enlace solo admiten tráfico. IPv4
+ IPv4 Las direcciones de origen de las instancias de las subredes afectadas cambian de IPv4 direcciones públicas a IPv4 direcciones privadas de la VPC. Un punto de enlace cambia las rutas de red y desconecta las conexiones TCP abiertas. Las conexiones anteriores que utilizaban IPv4 direcciones públicas no se reanudan. Se recomienda no tener ninguna tarea importante en ejecución al crear o modificar un punto de conexión de una puerta de enlace. También puede realizar una prueba para asegurarse de que el software se puede volver a conectar de forma automática a DynamoDB si se interrumpe la conexión.
+ Las conexiones de punto de conexión no se pueden ampliar más allá de la VPC. Los recursos del otro lado de una conexión VPN, una conexión de emparejamiento de VPC, una puerta de enlace de tránsito o Direct Connect una conexión de su VPC no pueden usar un punto de enlace de puerta de enlace para comunicarse con DynamoDB.
+ Su cuenta tiene una cuota predeterminada de 20 puntos de conexión de puerta de enlace por región, este número puede ajustarse. Hay un límite de 255 puntos de conexión de la puerta de enlace por VPC.
## Creación de un punto de conexión de un gateway
Utilice el siguiente procedimiento para crear un punto de conexión de una puerta de enlace que se conecte a DynamoDB.
**Para crear un punto de enlace de gateway con la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Puntos de conexión**.
1. Elija **Crear punto de conexión**.
1. En **Categoría de servicios**, elija **Servicios de AWS**.
1. **En el caso de **los servicios**, añada el filtro **Type =** Gateway y seleccione com.amazonaws.** *region***.dynamodb.**
1. En **VPC**, seleccione la VPC en la que desea crear el punto de conexión.
1. En **Route tables** (Tablas de enrutamiento), seleccione las tablas de enrutamiento que debe utilizar el punto de conexión. De forma automática, se agregará una ruta para dirigir el tráfico destinado al servicio a la interfaz de red del punto de conexión.
1. En **Policy** (Política), seleccione **Full access** (Acceso completo) para permitir todas las operaciones de todas las entidades principales en todos los recursos del punto de conexión de VPC. De lo contrario, seleccione **Custom** (Personalizar) para adjuntar una política de punto de conexión de VPC que controle los permisos que tienen las entidades principales para realizar acciones en los recursos a través del punto de conexión de VPC.
1. (Opcional) Para agregar una etiqueta, elija **Agregar etiqueta nueva** e ingrese la clave y el valor de la etiqueta.
1. Seleccione **Crear punto de conexión**.
**Para crear un punto de conexión de la puerta de enlace mediante la línea de comandos**
+ [create-vpc-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpc-endpoint.html) (AWS CLI)
+ [New-EC2VpcEndpoint](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2VpcEndpoint.html)(Herramientas para Windows) PowerShell
## Control del acceso mediante políticas de IAM
Puede crear políticas de IAM para controlar qué entidades principales de IAM pueden acceder a las tablas de DynamoDB mediante un punto de conexión de VPC específico.
**Example Ejemplo: restringir el acceso a un punto de conexión específico**
Puede crear una política para restringir el acceso a un punto de conexión de VPC específico mediante la clave de condición [aws:sourceVpce](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcevpce). La siguiente política deniega el acceso a las tablas de DynamoDB de la cuenta, a menos que se utilice el punto de conexión de VPC especificado. En este ejemplo se supone que también hay una declaración de política que permite el acceso necesario para los casos de uso.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow-access-from-specific-endpoint",
"Effect": "Deny",
"Principal": "*",
"Action": "dynamodb:*",
"Resource": "arn:aws:dynamodb:us-east-1:111111111111:table/*",
"Condition": {
"StringNotEquals" : {
"aws:sourceVpce": "vpce-11aa22bb"
}
}
}
]
}
```
**Example Ejemplo: permitir el acceso desde un rol de IAM específico**
Puede crear una política que permita obtener acceso mediante un rol de IAM específico. La siguiente política concede acceso al rol de IAM especificado.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow-access-from-specific-IAM-role",
"Effect": "Allow",
"Principal": "*",
"Action": "*",
"Resource": "*",
"Condition": {
"ArnEquals": {
"aws:PrincipalArn": "arn:aws:iam::111122223333:role/role_name"
}
}
}
]
}
```
**Example Ejemplo: permite acceder desde una cuenta específica**
También puede crear una política que solo permita el acceso desde una cuenta específica. La siguiente política concede acceso a los usuarios de la cuenta especificada.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow-access-from-account",
"Effect": "Allow",
"Principal": "*",
"Action": "*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalAccount": "111122223333"
}
}
}
]
}
```
## Asociación de tablas de enrutamiento
Puede cambiar las tablas de enrutamiento asociadas a su punto de conexión de la puerta de enlace. Cuando asocia una tabla de enrutamiento, se agrega de forma automática una ruta que dirige el tráfico destinado al servicio a la interfaz de red del punto de conexión. Cuando desasocia una tabla de enrutamiento, se elimina de forma automática la ruta del punto de conexión de la tabla de enrutamiento.
**Para asociar tablas de enrutamiento mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Puntos de conexión**.
1. Seleccione el punto de conexión de la puerta de enlace.
1. Elija **Actions**, **Manage route tables**.
1. Seleccione o anule la selección de las tablas de enrutamiento según sea necesario.
1. Elija **Modify route tables** (Modificar tablas de enrutamiento).
**Para asociar tablas de enrutamiento mediante la línea de comandos**
+ [modify-vpc-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint.html) (AWS CLI)
+ [Edit-EC2VpcEndpoint](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2VpcEndpoint.html)(Herramientas para Windows PowerShell)
## Edición de la política del punto de conexión de VPC
Puede editar la política de un punto de conexión para un punto de conexión de una puerta de enlace, que controle el acceso a DynamoDB desde la VPC a través del punto de conexión. Después de la actualización de una política de punto de conexión, los cambios pueden tardar unos minutos en aplicarse. La política predeterminada permite el acceso completo. Para obtener más información, consulte [Políticas de punto de conexión](vpc-endpoints-access.md).
**Para cambiar la política del punto de conexión mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Puntos de conexión**.
1. Seleccione el punto de conexión de la puerta de enlace.
1. Elija **Actions** (Acciones), **Manage policy** (Administrar política).
1. Elija **Acceso completo** para permitir el acceso completo al servicio, o bien elija **Personalizar** y adjunte una política personalizada.
1. Elija **Save** (Guardar).
**Para modificar un punto de conexión de la puerta de enlace con la línea de comandos**
+ [modify-vpc-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint.html) (AWS CLI)
+ [Edit-EC2VpcEndpoint](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2VpcEndpoint.html)(Herramientas para Windows PowerShell)
A continuación, se muestran políticas de punto de enlace de ejemplo para acceder a DynamoDB.
**Example Ejemplo: permitir acceso de solo lectura**
Puede crear una política que restrinja el acceso a solo lectura. La siguiente política concede permiso para enumerar y describir las tablas de DynamoDB.
```
{
"Statement": [
{
"Sid": "ReadOnlyAccess",
"Effect": "Allow",
"Principal": "*",
"Action": [
"dynamodb:DescribeTable",
"dynamodb:ListTables"
],
"Resource": "*"
}
]
}
```
**Example Ejemplo: Restringir el acceso a una tabla específica**
Puede crear una política que restrinja el acceso a una tabla específica de DynamoDB. La siguiente política permite acceder a la tabla de DynamoDB especificada.
```
{
"Statement": [
{
"Sid": "Allow-access-to-specific-table",
"Effect": "Allow",
"Principal": "*",
"Action": [
"dynamodb:Batch*",
"dynamodb:Delete*",
"dynamodb:DescribeTable",
"dynamodb:GetItem",
"dynamodb:PutItem",
"dynamodb:Update*"
],
"Resource": "arn:aws:dynamodb:region:123456789012:table/table_name"
}
]
}
```
## Eliminación de un punto de conexión de la puerta de enlace
Cuando ya no necesite un punto de conexión de la puerta de enlace, puede eliminarlo. Cuando elimina un punto de conexión de la puerta de enlace, se elimina la ruta del punto conexión desde las tablas de enrutamiento de la subred.
**Para eliminar un punto de conexión de la puerta de enlace con la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Puntos de conexión**.
1. Seleccione el punto de conexión de la puerta de enlace.
1. Elija **Actions** (Acciones), **Delete VPC endpoints** (Eliminar puntos de conexión de VPC).
1. Cuando se le solicite confirmación, ingrese **delete**.
1. Elija **Delete** (Eliminar).
**Para eliminar un punto de conexión de la puerta de enlace mediante la línea de comandos**
+ [delete-vpc-endpoints](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpc-endpoints.html) (AWS CLI)
+ [Remove-EC2VpcEndpoint](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2VpcEndpoint.html)(Herramientas para Windows PowerShell)