Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Comparta sus servicios a través de AWS PrivateLink
Puede alojar su propio servicio AWS PrivateLink avanzado, conocido como *servicio de punto final*, y compartirlo con otros AWS clientes.
**Topics**
+ [Descripción general de](#endpoint-service-overview)
+ [Nombre de host DNS](#endpoint-service-dns-hostnames)
+ [DNS privado](#endpoint-service-private-dns)
+ [Subredes y zonas de disponibilidad](#endpoint-service-subnets-zones)
+ [Acceso entre regiones](#endpoint-service-cross-region)
+ [Tipos de direcciones IP](#endpoint-service-ip-address-type)
+ [Creación de un servicio de punto de conexión](create-endpoint-service.md)
+ [Configuración de un servicio de punto de conexión](configure-endpoint-service.md)
+ [Administración de nombres de DNS](manage-dns-names.md)
+ [Reciba alertas de los eventos del servicio de punto de conexión](create-notification-endpoint-service.md)
+ [Eliminación de un servicio de punto de conexión](delete-endpoint-service.md)
## Descripción general de
El siguiente diagrama muestra cómo compartes el servicio que está hospedado AWS con otros AWS clientes y cómo esos clientes se conectan a tu servicio. Como el proveedor del servicio, usted crea un equilibrador de carga de red en su VPC como el servicio frontend. Luego, selecciona este equilibrador de carga cuando crea la configuración del servicio de punto de conexión de VPC. Concede permisos a entidades principales específicas de AWS para que puedan conectarse al servicio. Como consumidor del servicio, el consumidor crea un punto de conexión de VPC de interfaz, que establece conexiones entre las subredes que selecciona de la VPC y el servicio de punto de conexión. El equilibrador de carga recibe solicitudes del consumidor del servicio y las dirige a los destinos que alojan el servicio.
![\[Los consumidores de servicios se conectan a servicios de punto de conexión alojados por proveedores de servicios.\]](http://docs.aws.amazon.com/es_es/vpc/latest/privatelink/images/endpoint-services.png)
Para conseguir baja latencia y alta disponibilidad, se recomienda que el servicio esté disponible en al menos dos zonas de disponibilidad.
## Nombre de host DNS
Cuando un proveedor de servicios crea un servicio de punto final de VPC, AWS genera un nombre de host DNS específico del punto final para el servicio. Estos nombres tienen la siguiente sintaxis:
```
endpoint_service_id.region.vpce.amazonaws.com
```
A continuación, se muestra un ejemplo de nombre de host de DNS para un servicio de punto de conexión de VPC en la región us-east-2:
```
vpce-svc-071afff70666e61e0.us-east-2.vpce.amazonaws.com
```
Cuando un consumidor de servicios crea un punto de conexión de VPC de interfaz, creamos nombres de DNS regionales y de zona que el consumidor del servicio puede utilizar para comunicarse con el servicio de punto de conexión. Los nombres regionales tienen la siguiente sintaxis:
```
endpoint_id.endpoint_service_id.service_region.vpce.amazonaws.com
```
Los nombres de zona tienen la siguiente sintaxis:
```
endpoint_id-endpoint_zone.endpoint_service_id.service_region.vpce.amazonaws.com
```
## DNS privado
El proveedor de un servicio también puede asociar un nombre de DNS privado a su servicio de punto de conexión, de modo que los consumidores del servicio puedan seguir accediendo al servicio con el nombre de DNS existente. Si un proveedor de servicios asocia un nombre DNS privado a su servicio de punto de conexión, los consumidores del servicio pueden habilitar nombres DNS privados para sus puntos de conexión de interfaz. Si un proveedor de servicios no habilita el DNS privado, es posible que los consumidores del servicio tengan que actualizar sus aplicaciones para utilizar el nombre DNS público del servicio de punto de conexión de VPC. Para obtener más información, consulte [Administración de nombres de DNS](manage-dns-names.md).
## Subredes y zonas de disponibilidad
Su servicio de punto de conexión está disponible en las zonas de disponibilidad que se habilitan para el equilibrador de carga de red. Para obtener una alta disponibilidad y resiliencia, le recomendamos que habilite el equilibrador de carga en al menos dos zonas de disponibilidad, implemente instancias de EC2 en cada zona habilitada y registre estas instancias en el grupo objetivo del equilibrador de carga.
Puede habilitar el equilibrio de carga entre zonas como alternativa al alojamiento del servicio de punto de conexión en varias zonas de disponibilidad. Sin embargo, los consumidores perderán el acceso al servicio de puntos de conexión desde ambas zonas si la zona que aloja el servicio de puntos de conexión falla. También tenga en cuenta que cuando se habilita el equilibrio de carga entre zonas para un equilibrador de carga de red, se aplican cargos por transferencia de datos de EC2.
El consumidor puede crear puntos de conexión de VPC de interfaz en las zonas de disponibilidad en las que esté disponible su servicio de punto de conexión. Creamos una interfaz de red de punto de conexión en cada subred que el consumidor configura para el punto de conexión de VPC. Asignamos direcciones IP a cada interfaz de red de punto de conexión desde su subred, en función del tipo de dirección IP del punto de conexión de VPC. Cuando una solicitud utiliza el punto de conexión regional del servicio de punto de conexión de VPC, seleccionamos una interfaz de red de punto de conexión en buen estado, y se emplea el algoritmo round robin para alternar entre las interfaces de red en diferentes zonas de disponibilidad. A continuación, resolvemos el tráfico dirigido a la dirección IP de la interfaz de red de punto de conexión seleccionada.
El consumidor puede usar los puntos de conexión zonales para el punto de conexión de VPC si es mejor para su caso de uso mantener el tráfico en la misma zona de disponibilidad.
## Acceso entre regiones
Un proveedor de servicios puede alojar un servicio en una región y ponerlo a disposición en un conjunto de regiones compatibles. Un consumidor de servicios selecciona una región de servicio durante la creación de un punto de conexión.
**Permisos**
+ De forma predeterminada, las entidades de IAM no tienen permiso para hacer que un servicio de punto de conexión esté disponible en varias regiones ni acceder a un servicio de punto de conexión en todas las regiones. Para conceder los permisos necesarios para el acceso entre regiones, un administrador de IAM puede crear políticas de IAM que permitan la acción solo con permisos `vpce:AllowMultiRegion`.
+ Para controlar las regiones que una entidad de IAM puede especificar como regiones compatibles al crear un servicio de punto de conexión, se debe utilizar la clave de condición `ec2:VpceSupportedRegion`.
+ Para controlar las regiones que una entidad de IAM puede especificar como región de servicio al crear un punto de conexión de VPC, se debe utilizar la clave de condición `ec2:VpceServiceRegion`.
**Consideraciones**
+ Un proveedor de servicios debe optar por una región registrada antes de agregarla como región compatible para un servicio de punto de conexión.
+ Se debe poder acceder al servicio de puntos de conexión desde la región del host. No se puede eliminar la región del host del conjunto de regiones compatibles. Para garantizar la redundancia, puede implementar su servicio de puntos de conexión en varias regiones y habilitar el acceso entre regiones para cada servicio de punto de conexión.
+ El consumidor del servicio debe optar por una región registrada antes de seleccionarla como la región de servicio para un punto de conexión. Siempre que sea posible, recomendamos que los consumidores de servicios accedan a un servicio mediante la conectividad intrarregional en lugar de la conectividad entre regiones. La conectividad intrarregional proporciona latencia y costos más bajos.
+ Si un proveedor de servicios elimina una región del conjunto de regiones compatibles, los consumidores de servicios no podrán seleccionar esa región como región de servicio durante la creación de nuevos puntos de conexión. Tenga en cuenta que esto no afecta el acceso al servicio de puntos de conexión desde los puntos de conexión existentes que utilizan esta región como región de servicio.
+ Para obtener alta disponibilidad, los proveedores deben utilizar al menos dos zonas de disponibilidad. El acceso entre regiones no requiere que los proveedores y los consumidores utilicen las mismas zonas de disponibilidad.
+ El acceso entre regiones no se admite en las siguientes zonas de disponibilidad: `use1-az3`, `usw1-az2`, `apne1-az3`, `apne2-az2` y `apne2-az4`.
+ Con el acceso entre regiones, gestiona la conmutación por error entre las zonas de disponibilidad AWS PrivateLink . No administra la conmutación por error en todas las regiones.
+ Los equilibradores de carga de red con un valor personalizado configurado para el tiempo de espera de inactividad del TCP no son compatibles con el acceso entre regiones.
+ La fragmentación UDP no admite el acceso entre regiones.
+ El acceso entre regiones solo se admite para los servicios a través de los cuales se comparte. AWS PrivateLink
## Tipos de direcciones IP
Los proveedores de servicios pueden poner sus terminales de servicio a disposición de los consumidores de servicios a través IPv4 de ellos o de ambas formas IPv4 IPv6, incluso si sus servidores de backend solo son compatibles. IPv6 IPv4 Si habilita el soporte de doble pila, los consumidores actuales pueden seguir utilizándolo para acceder IPv4 a su servicio y los nuevos consumidores pueden optar por utilizarlo IPv6 para acceder a su servicio.
Si un punto final de VPC de interfaz es compatible IPv4, las interfaces de red del punto final tienen IPv4 direcciones. Si un punto final de VPC de interfaz es compatible IPv6, las interfaces de red del punto final tienen IPv6 direcciones. No se puede acceder a la IPv6 dirección de la interfaz de red de un punto final desde Internet. Si describe una interfaz de red de punto final con una IPv6 dirección, observe que `denyAllIgwTraffic` está habilitada.
**Requisitos IPv6 para habilitar un servicio de punto final**
+ La VPC y las subredes del servicio de punto final deben tener bloques CIDR asociados IPv6 .
+ Todos los equilibradores de carga de red del servicio de punto de conexión deben utilizar el tipo de dirección IP dualstack. No es necesario que los destinos admitan tráfico. IPv6 Si el servicio procesa las direcciones IP de origen del encabezado de la versión 2 del protocolo proxy, debe procesar IPv6 las direcciones.
**Requisitos IPv6 para habilitar un punto final de interfaz**
+ El servicio de punto final debe admitir IPv6 las solicitudes.
+ El tipo de dirección IP de un punto de conexión de interfaz debe ser compatible con las subredes del punto de conexión de interfaz, como se describe a continuación:
+ **IPv4**— Asigne IPv4 direcciones a las interfaces de red de sus puntos finales. Esta opción solo se admite si todas las subredes seleccionadas tienen rangos de IPv4 direcciones.
+ **IPv6**— Asigne IPv6 direcciones a las interfaces de red de sus puntos finales. Esta opción solo se admite si todas las subredes seleccionadas son IPv6 solo subredes.
+ **Dualstack**: IPv4 asigne ambas IPv6 direcciones a las interfaces de red de sus puntos finales. Esta opción solo se admite si todas las subredes seleccionadas tienen ambos IPv4 rangos de direcciones. IPv6
**Tipo de dirección IP de registro DNS para un punto de conexión de interfaz**
El tipo de dirección IP de registro DNS que admite un punto de conexión de interfaz determina los registros DNS que se crean. El tipo de dirección IP de registro DNS de un punto de conexión de interfaz debe ser compatible con el tipo de dirección IP del punto de conexión de interfaz, como se describe a continuación:
+ **IPv4**— Cree registros A para los nombres DNS privados, regionales y zonales. El tipo de dirección IP debe ser **IPv4****Dualstack**.
+ **IPv6**— Cree registros AAAA para los nombres DNS privados, regionales y zonales. **El tipo de dirección IP debe ser Dualstack **IPv6**.**
+ **Dualstack**: se crean registros A y AAAA para los nombres de DNS privados, regionales y de zonas. El tipo de dirección IP debe ser **Dualstack**.
# Cree un servicio impulsado por AWS PrivateLink
Puede crear su propio servicio impulsado por AWS PrivateLink, conocido como *servicio de punto final*. Usted es el proveedor del servicio y las entidades principales de AWS que crean conexiones con su servicio son los consumidores del servicio.
Los servicios de punto de conexión requieren un equilibrador de carga de red o un equilibrador de carga de puerta de enlace. El equilibrador de carga recibe solicitudes de los consumidores del servicio y las dirige al servicio. En este caso, usted creará un servicio de punto de conexión con un equilibrador de carga de red. Para obtener más información sobre cómo crear un servicio de punto de conexión con un equilibrador de carga de puerta de enlace, consulte [Acceso a dispositivos virtuales](vpce-gateway-load-balancer.md).
**Topics**
+ [Consideraciones](#considerations-endpoint-services)
+ [Requisitos previos](#prerequisites-endpoint-services)
+ [Creación de un servicio de punto de conexión](#create-endpoint-service-nlb)
+ [Ponga a disposición su servicio de punto de conexión para los consumidores de servicios](#share-endpoint-service)
+ [Conexión a un servicio de punto de conexión como consumidor del servicio](#connect-to-endpoint-service)
## Consideraciones
+ Un servicio de punto de conexión está disponible en la región donde se creó. Los consumidores pueden acceder a su servicio desde otras regiones si se habilita el [acceso entre regiones](privatelink-share-your-services.md#endpoint-service-cross-region) o si utilizan la interconexión de VPC o una puerta de enlace de tránsito.
+ Cuando los consumidores de servicios recuperan información sobre un servicio de punto de conexión, solo pueden ver las zonas de disponibilidad que tienen en común con el proveedor de servicios. Cuando el proveedor del servicio y el consumidor del servicio están en cuentas distintas, se puede asignar un nombre de zona de disponibilidad, como `us-east-1a`, a una zona de disponibilidad física diferente en cada Cuenta de AWS. Puede usar AZ IDs para identificar de forma coherente las zonas de disponibilidad de su servicio. Para obtener más información, consulte [AZ IDs](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-regions-availability-zones.html#az-ids) en la Guía del *usuario de Amazon EC2*.
+ Cuando los consumidores de servicios envían tráfico a un servicio a través de un punto de conexión de interfaz, las direcciones IP de origen proporcionadas a la aplicación son las direcciones IP privadas de los nodos del equilibrador de carga y no las direcciones IP de los consumidores de servicios. Si habilita el protocolo proxy en el balanceador de cargas, puede obtener las direcciones de los consumidores del servicio y de los puntos finales IDs de la interfaz desde el encabezado del protocolo proxy. Para obtener más información, consulte [Proxy Protocol](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/load-balancer-target-groups.html#proxy-protocol) en la *Guía del usuario de equilibradores de carga de red*.
+ Un equilibrador de carga de red puede asociarse a un único servicio de punto de conexión, pero un servicio de punto de conexión puede asociarse a varios equilibradores de carga de red.
+ Si un servicio de punto de conexión está asociado a varios equilibradores de carga de red, cada interfaz de red de punto de conexión está asociada a un equilibrador de carga. Cuando se inicia la primera conexión desde una interfaz de red de punto de conexión, seleccionamos de manera aleatoria uno de los equilibradores de carga de red en la misma zona de disponibilidad de la interfaz de red de punto de conexión. Todas las solicitudes de conexión posteriores de esta interfaz de red de punto de conexión utilizan el equilibrador de carga seleccionado. Le recomendamos que utilice la misma configuración de oyente y grupo de destino para todos los equilibradores de carga de un servicio de punto de conexión, de modo que los consumidores puedan utilizar el servicio de punto de conexión correctamente independientemente del equilibrador de carga que se elija.
+ Hay cuotas en sus recursos. AWS PrivateLink Para obtener más información, consulte [AWS PrivateLinkCuotas de](vpc-limits-endpoints.md).
## Requisitos previos
+ Cree una VPC para su servicio de punto de conexión con al menos una subred en cada zona de disponibilidad en la que el servicio debería estar disponible.
+ Para que los consumidores de servicios puedan crear puntos de enlace de VPC de IPv6 interfaz para su servicio de punto final, la VPC y las subredes deben tener bloques CIDR asociados. IPv6
+ Cree un equilibrador de carga de red en su VPC. Seleccione una subred por zona de disponibilidad en la que el servicio debería estar disponible para los consumidores del servicio. Para conseguir baja latencia y tolerancia a errores, se recomienda que el servicio esté disponible en al menos dos zonas de disponibilidad de la región.
+ Si su Equilibrador de carga de red tiene un grupo de seguridad, debe permitir el tráfico entrante desde las direcciones IP de los clientes. Como alternativa, puede desactivar la evaluación de las reglas de los grupos de seguridad entrantes para el tráfico que los atraviesa. AWS PrivateLink Para obtener más información, consulte [Grupos de seguridad](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/load-balancer-security-groups.html) en la *Guía del usuario de Equilibradores de carga de red*.
+ Para permitir que su servicio de punto final acepte IPv6 solicitudes, sus balanceadores de carga de red deben usar el tipo de dirección IP de doble pila. No es necesario que los destinos admitan tráfico. IPv6 Para obtener más información, consulte [Tipo de dirección IP](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html#ip-address-type) en la *Guía del usuario de equilibradores de carga de red*.
Si procesa las direcciones IP de origen desde el encabezado de la versión 2 del protocolo proxy, compruebe que puede procesar IPv6 las direcciones.
+ Lance instancias en cada zona de disponibilidad en la que el servicio debería estar disponible y regístrelas en un grupo de destino del equilibrador de carga. Si no lanza instancias en todas las zonas de disponibilidad habilitadas, puede habilitar el equilibrio de carga entre zonas para admitir consumidores de servicios que utilicen nombres de host de DNS de zona para acceder al servicio. Cuando habilita el equilibrio de carga entre zonas, se aplican cargos por transferencia de datos regionales. Para obtener más información, consulte [Equilibrio de carga entre zonas](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html#cross-zone-load-balancing) en la *Guía del usuario de Equilibradores de carga de red*.
## Creación de un servicio de punto de conexión
Utilice el siguiente procedimiento para crear un servicio de punto de conexión con un equilibrador de carga de red.
**Para crear un servicio de punto de conexión con la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Endpoint Services** (Servicios de punto de conexión).
1. Elija **Create endpoint service** (Crear servicio de punto de conexión).
1. En **Load balancer type** (Tipo de equilibrador de carga), elija **Network** (Red).
1. En **Equilibradores de carga de red**, seleccione los equilibradores de carga de red que desea asociar con el servicio de punto de conexión. Para ver las zonas de disponibilidad que están habilitadas para el equilibrador de carga que se ha seleccionado, consulte **Detalles de los equilibradores de carga seleccionados**, **Zonas de disponibilidad incluidas**. Su servicio de punto de conexión estará disponible en estas zonas de disponibilidad.
1. (Opcional) Para que su servicio de punto de conexión esté disponible en regiones distintas de la región en la que está alojado, seleccione las regiones en **Regiones de servicio**. Para obtener más información, consulte [Acceso entre regiones](privatelink-share-your-services.md#endpoint-service-cross-region).
1. En **Require acceptance for endpoint** (Solicitar aceptación para punto de conexión), seleccione **Acceptance required** (Aceptación solicitada) para establecer que las solicitudes de conexión al servicio de punto de conexión se deben aceptar de forma manual. De lo contrario, estas solicitudes se aceptan de forma automática.
1. En **Enable private DNS name** (Habilitar nombre de DNS privado), seleccione **Associate a private DNS name with the service** (Asociar un nombre de DNS privado al servicio) para asociar un nombre de DNS privado que los consumidores del servicio puedan utilizar para acceder al servicio y luego, ingrese el nombre de DNS privado. De lo contrario, los consumidores de servicios pueden usar el nombre DNS específico del punto final proporcionado por. AWS Antes de que los consumidores del servicio puedan utilizar el nombre de DNS privado, el proveedor del servicio debe comprobar que es propietario del dominio. Para obtener más información, consulte [Administración de nombres de DNS](manage-dns-names.md).
1. En **Supported IP address types** (Tipos de direcciones IP compatibles), haga una de las siguientes acciones:
+ Seleccione **IPv4**: habilite el servicio de punto final para que acepte solicitudes. IPv4
+ Seleccione **IPv6**: habilite el servicio de punto final para que acepte IPv6 solicitudes.
+ Seleccione **IPv4**y **IPv6**: habilite el servicio de punto final para que acepte tanto IPv6 las solicitudes como IPv4 las demás.
1. (Opcional) Para agregar una etiqueta, elija **Add new tag (Agregar etiqueta nueva)** e ingrese la clave y el valor de la etiqueta.
1. Seleccione **Crear**.
**Para crear un servicio de punto de conexión con la línea de comandos**
+ [create-vpc-endpoint-service-configuración](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpc-endpoint-service-configuration.html) ()AWS CLI
+ [New-EC2VpcEndpointServiceConfiguration](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2VpcEndpointServiceConfiguration.html)(Herramientas para Windows PowerShell)
## Ponga a disposición su servicio de punto de conexión para los consumidores de servicios
AWS los principales pueden conectarse a su servicio de punto final de forma privada mediante la creación de un punto final de VPC de interfaz. Los proveedores de servicios deben hacer lo siguiente para que sus servicios estén disponibles para los consumidores de servicios.
+ Agregue permisos que permitan a cada consumidor de servicios conectarse a su servicio de punto de conexión. Para obtener más información, consulte [Administración de permisos](configure-endpoint-service.md#add-remove-permissions).
+ Proporcione al consumidor del servicio el nombre de su servicio y las zonas de disponibilidad compatibles para que pueda crear un punto de conexión de interfaz y conectarse al servicio. Para obtener más información, consulte [Conexión a un servicio de punto de conexión como consumidor del servicio](#connect-to-endpoint-service).
+ Acepte la solicitud de conexión del punto de conexión del consumidor del servicio. Para obtener más información, consulte [Aceptación o rechazo de solicitudes de conexión](configure-endpoint-service.md#accept-reject-connection-requests).
## Conexión a un servicio de punto de conexión como consumidor del servicio
Un consumidor de servicios utiliza el siguiente procedimiento para crear un punto de conexión de interfaz para conectarse al servicio de punto de conexión.
**Para crear un punto de conexión de interfaz con la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Puntos de conexión**.
1. Elija **Crear punto de conexión**.
1. En **Tipo**, elija los **servicios de punto final que utilizan NLBs ** y. GWLBs
1. En **Nombre del servicio**, ingrese el nombre del servicio (por ejemplo, `com.amazonaws.vpce.us-east-1.vpce-svc-0e123abc123198abc`), y elija **Verificar servicio**.
1. (Opcional) Para conectarse a un servicio de punto de conexión que esté disponible en una región distinta de la región de punto de conexión, seleccione **Región de servicio**, a continuación elija **Activar el punto de enlace entre regiones** y, a continuación, seleccione la región. Para obtener más información, consulte [Acceso entre regiones](privatelink-share-your-services.md#endpoint-service-cross-region).
1. Para **VPC**, seleccione la VPC desde la que accederá al servicio de punto de conexión.
1. En **Subredes**, seleccione las subredes en las que se van a crear las interfaces de red de punto de conexión.
1. En **Tipo de dirección IP**, elija entre las siguientes opciones:
+ **IPv4**— Asigne IPv4 direcciones a las interfaces de red de los puntos finales. Esta opción solo se admite si todas las subredes seleccionadas tienen rangos de IPv4 direcciones y el servicio de punto final acepta IPv4 solicitudes.
+ **IPv6**— Asigne IPv6 direcciones a las interfaces de red de puntos finales. Esta opción solo se admite si todas las subredes seleccionadas son IPv6 solo subredes y el servicio de punto final acepta IPv6 solicitudes.
+ **Dualstack**: IPv4 asigne ambas IPv6 direcciones a las interfaces de red de los puntos finales. Esta opción solo se admite si todas las subredes seleccionadas tienen ambos rangos de IPv6 direcciones IPv4 y el servicio de punto final acepta ambos IPv4 tipos y solicitudes. IPv6
1. En **DNS record IP type** (Tipo de IP del registro DNS), elija entre las siguientes opciones:
+ **IPv4**— Cree registros A para los nombres DNS privados, regionales y zonales. El tipo de dirección IP debe ser **IPv4****Dualstack**.
+ **IPv6**— Cree registros AAAA para los nombres DNS privados, regionales y zonales. **El tipo de dirección IP debe ser Dualstack **IPv6**.**
+ **Dualstack**: se crean registros A y AAAA para los nombres de DNS privados, regionales y de zonas. El tipo de dirección IP debe ser **Dualstack**.
+ **Service defined** (Servicio definido): se crean registros A para los nombres de DNS privados, regionales y de zonas, y registros AAAA para los nombres de DNS regionales y de zonas. El tipo de dirección IP debe ser **Dualstack**.
1. En **Grupo de seguridad**, seleccione los grupos de seguridad que deban asociarse a las interfaces de red de punto de conexión.
1. Seleccione **Crear punto de conexión**.
**Para crear un punto de conexión de interfaz mediante la línea de comandos**
+ [create-vpc-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpc-endpoint.html) (AWS CLI)
+ [New-EC2VpcEndpoint](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2VpcEndpoint.html)(Herramientas para Windows) PowerShell
# Configuración de un servicio de punto de conexión
Después de crear un servicio de punto de conexión, puede actualizar su configuración.
**Topics**
+ [Administración de permisos](#add-remove-permissions)
+ [Aceptación o rechazo de solicitudes de conexión](#accept-reject-connection-requests)
+ [Administrar equilibradores de carga](#associate-load-balancer)
+ [Asociación de un nombre de DNS privado](#associate-private-dns-name)
+ [Modificación de las regiones admitidas](#manage-supported-regions)
+ [Modificación de los tipos de direcciones IP compatibles](#supported-ip-address-types)
+ [Administración de etiquetas](#add-remove-endpoint-service-tags)
## Administración de permisos
La combinación de los ajustes de permisos y aceptación le ayuda a controlar qué consumidores de servicios (AWS principales) pueden acceder a su servicio de punto final. Por ejemplo, puede conceder permisos a entidades principales específicas de confianza y aceptar de forma automática todas las solicitudes de conexión, o puede conceder permisos a un grupo más amplio de entidades principales y aceptar de forma manual únicamente las solicitudes de conexión específicas en las que confíe.
De forma predeterminada, el servicio de punto de conexión no está disponible para los consumidores del servicio. Debe agregar permisos que permitan a entidades AWS principales específicas crear un punto final de VPC de interfaz para conectarse a su servicio de punto final. Para añadir permisos a una entidad AWS principal, necesita su nombre de recurso de Amazon (ARN). La siguiente lista incluye ejemplos ARNs de entidades AWS principales compatibles.ARNs para directores AWS
Cuenta de AWS (incluye todos los principales de la cuenta)
arn:aws:iam: :root *account\$1id*
Rol
arn:aws:iam: :role/ *account\$1id* *role\$1name*
Usuario
arn:aws:iam: ::user/ *account\$1id* *user\$1name*
Todos los directores en total Cuentas de AWS
\$1
**Consideraciones**
+ Si concede permiso a todos los usuarios para que accedan al servicio de punto de conexión y configura el servicio de punto de conexión para que acepte todas las solicitudes, el equilibrador de carga será público incluso si no tiene una dirección IP pública.
+ Si elimina los permisos, esto no afectará a las conexiones existentes entre el punto de conexión y el servicio que se aceptaron anteriormente.
**Para administrar los permisos de su servicio de punto de conexión utilizando la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Endpoint Services** (Servicios de punto de conexión).
1. Seleccione el servicio de punto de conexión y elija la pestaña **Allow principals** (Permitir entidades principales).
1. Para agregar permisos, elija **Allow principals** (Permitir entidades principales). En **Principals to add** (Entidades principales a agregar), ingrese el ARN de la entidad principal. Para agregar más entidades principales, elija **Add principal (Agregar entidad principal)**. Cuando haya terminado de agregar las entidades principales, elija **Allow principals** (Permitir entidades principales).
1. Para eliminar permisos, seleccione la entidad principal y elija **Actions**(Acciones), **Delete** (Eliminar). Cuando le pidan confirmación, escriba **delete** y elija **Eliminar**.
**Para agregar permisos para el servicio de punto de conexión con la línea de comandos**
+ [modify-vpc-endpoint-service-permisos (](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint-service-permissions.html))AWS CLI
+ [Edit-EC2EndpointServicePermission](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2EndpointServicePermission.html)(Herramientas para Windows PowerShell)
## Aceptación o rechazo de solicitudes de conexión
La combinación de los ajustes de permisos y aceptación le ayuda a controlar qué consumidores de servicios (AWS principales) pueden acceder a su servicio de punto final. Por ejemplo, puede conceder permisos a entidades principales específicas de confianza y aceptar de forma automática todas las solicitudes de conexión, o puede conceder permisos a un grupo más amplio de entidades principales y aceptar de forma manual únicamente las solicitudes de conexión específicas en las que confíe.
Puede configurar su servicio de punto de conexión para que acepte solicitudes de conexión de forma automática. De lo contrario, debe aceptarlas o rechazarlas de forma manual. Si no acepta una solicitud de conexión, el consumidor del servicio no podrá acceder al servicio de punto de conexión.
Si concede permiso a todos los usuarios para que accedan al servicio de punto de conexión y configura el servicio de punto de conexión para que acepte todas las solicitudes, el equilibrador de carga será público incluso si no tiene una dirección IP pública.
Puede recibir una notificación cuando se acepte o se rechace una solicitud de conexión. Para obtener más información, consulte [Reciba alertas de los eventos del servicio de punto de conexión](create-notification-endpoint-service.md).
**Para modificar la opción de aceptación con la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Endpoint Services** (Servicios de punto de conexión).
1. Seleccione el servicio de punto de conexión.
1. Elija **Actions**, **Modify endpoint acceptance setting**.
1. Seleccione o desactive **Acceptance required** (Aceptación necesaria).
1. Elija **Guardar cambios**.
**Para modificar la configuración de aceptación con la línea de comandos**
+ [modify-vpc-endpoint-service-configuración (](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint-service-configuration.html))AWS CLI
+ [Edit-EC2VpcEndpointServiceConfiguration](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2VpcEndpointServiceConfiguration.html)(Herramientas para Windows PowerShell)
**Para aceptar o rechazar una solicitud de conexión con la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Endpoint Services** (Servicios de punto de conexión).
1. Seleccione el servicio de punto de conexión.
1. En la pestaña **Endpoint connections** (Conexiones del punto de conexión), seleccione la conexión del punto de conexión.
1. Para aceptar la solicitud de conexión, elija **Actions** (Acciones), **Accept endpoint connection request** (Aceptar solicitud de conexión del punto de conexión). Cuando se le solicite confirmación, ingrese **accept** y luego, elija **Accept** (Aceptar).
1. Para rechazar la solicitud de conexión, elija **Actions (Acciones)**, **Reject endpoint connection request (Rechazar solicitud de conexión del punto de enlace)**. Cuando se le solicite confirmación, ingrese **reject** y luego, elija **Reject** (Rechazar).
**Para aceptar o rechazar una solicitud de conexión con la línea de comandos**
+ [accept-vpc-endpoint-connections](https://docs.aws.amazon.com/cli/latest/reference/ec2/accept-vpc-endpoint-connections.html)o [reject-vpc-endpoint-connections](https://docs.aws.amazon.com/cli/latest/reference/ec2/reject-vpc-endpoint-connections.html)(AWS CLI)
+ [Approve-EC2EndpointConnection](https://docs.aws.amazon.com/powershell/latest/reference/items/Approve-EC2EndpointConnection.html)o [Deny-EC2EndpointConnection](https://docs.aws.amazon.com/powershell/latest/reference/items/Deny-EC2EndpointConnection.html)(Herramientas para Windows PowerShell)
## Administrar equilibradores de carga
Puede administrar los equilibradores de carga que están asociados a su servicio de punto de conexión. No es posible desasociar un equilibrador de carga cuando hay puntos de conexión conectados al servicio de punto de conexión.
Si habilita otra zona de disponibilidad para sus equilibradores de carga, la zona de disponibilidad aparecerá en la pestaña **Equilibradores de carga** de la página **Servicios de punto de conexión**. Sin embargo, no estará habilitada para el servicio de punto de conexión ni aparecerá en la pestaña **Detalles** de su servicio de punto de conexión en la Consola de administración de AWS. Debe habilitar el servicio de punto de conexión para la nueva zona de disponibilidad.
Es posible que la zona de disponibilidad del equilibrador de carga tarde unos minutos en estar lista para su servicio de punto de conexión. Si utiliza una automatización, le recomendamos que agregue una espera al proceso de automatización antes de habilitar el servicio de punto de conexión para la nueva zona de disponibilidad.
**Para administrar los equilibradores de carga de un servicio de punto de conexión con la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Endpoint Services** (Servicios de punto de conexión).
1. Seleccione el servicio de punto de conexión.
1. Elija **Actions** (Acciones), **Associate or disassociate load balancers** (Asociar o desasociar equilibradores de carga).
1. Cambie la configuración del servicio de punto de conexión según sea necesario. Por ejemplo:
+ Seleccione la casilla de verificación de un equilibrador de carga para asociarlo con el servicio de punto de conexión.
+ Desactive la casilla de verificación de un equilibrador de carga para desvincularlo del servicio de punto de conexión. Debe mantener seleccionado al menos un equilibrador de carga.
1. Elija **Guardar cambios**.
El servicio de punto de conexión se habilitará para cualquier zona de disponibilidad nueva que se haya agregado a su equilibrador de carga. La nueva zona de disponibilidad aparece en la pestaña **Equilibradores de carga** y en la pestaña **Detalles** del servicio de puntos de conexión.
Después de habilitar una zona de disponibilidad para el servicio de punto de conexión, los consumidores del servicio pueden agregar una subred de esa zona de disponibilidad a los puntos de conexión de VPC de la interfaz.
**Para administrar los equilibradores de carga de un servicio de punto de conexión con la línea de comandos**
+ [modify-vpc-endpoint-service-configuración](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint-service-configuration.html) ()AWS CLI
+ [Edit-EC2VpcEndpointServiceConfiguration](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2VpcEndpointServiceConfiguration.html)(Herramientas para Windows PowerShell)
Para habilitar el servicio de punto de conexión en una zona de disponibilidad que se habilitó recientemente para el equilibrador de cargas, solo tiene que llamar al comando con el ID del servicio de punto de conexión.
## Asociación de un nombre de DNS privado
Puede asociar un nombre de DNS privado a su servicio de punto de conexión. Después de asociar un nombre de DNS privado, debe actualizar la entrada del dominio en su servidor DNS. Antes de que los consumidores del servicio puedan utilizar el nombre de DNS privado, el proveedor del servicio debe comprobar que es propietario del dominio. Para obtener más información, consulte [Administración de nombres de DNS](manage-dns-names.md).
**Para modificar un nombre de DNS privado de un servicio de punto de enlace mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Endpoint Services** (Servicios de punto de conexión).
1. Seleccione el servicio de punto de conexión.
1. Elija **Actions** (Acciones), **Modify private DNS name** (Modificar nombre de DNS privado).
1. Seleccione **Associate a private DNS name with the service** (Asociar un nombre de DNS privado al servicio) e ingrese el nombre de DNS privado.
+ Los nombres de dominio deben estar en minúsculas.
+ Puede utilizar comodines en los nombres de dominio (por ejemplo, **\$1.myexampleservice.com**).
1. Elija **Guardar cambios**.
1. El nombre de DNS privado está listo para que lo utilicen los consumidores del servicio cuando el estado de verificación es **verified** (verificado). Si el estado de verificación cambia, se rechazan las solicitudes de conexión nuevas, pero las conexiones existentes no se ven afectadas.
**Para modificar el nombre de DNS privado de un servicio de punto de conexión con la línea de comandos**
+ [modify-vpc-endpoint-service-configuración](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint-service-configuration.html) ()AWS CLI
+ [Edit-EC2VpcEndpointServiceConfiguration](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2VpcEndpointServiceConfiguration.html)(Herramientas para Windows PowerShell)
**Para iniciar el proceso de verificación de dominio con la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Endpoint Services** (Servicios de punto de conexión).
1. Seleccione el servicio de punto de conexión.
1. Elija **Actions** (Acciones), **Verify domain ownership for private DNS name** (Verificar la propiedad del dominio para el nombre de DNS privado).
1. Cuando se le solicite confirmar, ingrese **verify** y, a continuación, elija **Verify (Comprobar)**.
**Para iniciar el proceso de verificación de dominio con la línea de comandos**
+ [start-vpc-endpoint-service-private-dns-verification](https://docs.aws.amazon.com/cli/latest/reference/ec2/start-vpc-endpoint-service-private-dns-verification.html) (AWS CLI)
+ [Start-EC2VpcEndpointServicePrivateDnsVerification](https://docs.aws.amazon.com/powershell/latest/reference/items/Start-EC2VpcEndpointServicePrivateDnsVerification.html)(Herramientas para Windows PowerShell)
## Modificación de las regiones admitidas
Puede modificar el conjunto de regiones compatibles para su servicio de punto de conexión. Se debe activar una región registrada antes de agregarla. No se puede eliminar la región que aloja su servicio de punto de conexión.
Tras eliminar una región, los consumidores del servicio no pueden crear nuevos puntos de conexión que la especifiquen como región de servicio. La eliminación de una región no afecta a los puntos de conexión existentes que la especifican como región de servicio. Al eliminar una región, se recomienda que rechace las conexiones de punto de conexión existentes en esa región.
**Para modificar las regiones compatibles con su servicio de punto de conexión**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Endpoint Services** (Servicios de punto de conexión).
1. Seleccione el servicio de punto de conexión.
1. Elija **Acciones** y, a continuación **Modificar las regiones compatibles**.
1. Seleccione y cancele la selección de las regiones según sea necesario.
1. Seleccione **Save changes (Guardar cambios)**.
## Modificación de los tipos de direcciones IP compatibles
Puede cambiar los tipos de direcciones IP que son compatibles con su servicio de punto de conexión.
**Consideración**
Para permitir que su servicio de punto final acepte IPv6 solicitudes, sus balanceadores de carga de red deben usar el tipo de dirección IP de doble pila. No es necesario que los destinos admitan tráfico. IPv6 Para obtener más información, consulte [Tipo de dirección IP](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html#ip-address-type) en la *Guía del usuario de equilibradores de carga de red*.
**Para modificar los tipos de direcciones IP compatibles con la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Endpoint Services** (Servicios de punto de conexión).
1. Seleccione el servicio de punto de conexión de VPC.
1. Elija **Actions** (Acciones), **Modify supported IP address types** (Modificar los tipos de direcciones IP admitidos).
1. En **Supported IP address types** (Tipos de direcciones IP compatibles), haga una de las siguientes acciones:
+ Seleccione **IPv4**: habilite el servicio de punto final para que acepte IPv4 solicitudes.
+ Seleccione **IPv6**: habilite el servicio de punto final para que acepte IPv6 solicitudes.
+ Seleccione **IPv4**y **IPv6**: habilite el servicio de punto final para que acepte tanto IPv6 las solicitudes como IPv4 las demás.
1. Seleccione **Save changes (Guardar cambios)**.
**Para modificar los tipos de direcciones IP compatibles con la línea de comandos**
+ [modify-vpc-endpoint-service-configuración](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint-service-configuration.html) ()AWS CLI
+ [Edit-EC2VpcEndpointServiceConfiguration](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2VpcEndpointServiceConfiguration.html)(Herramientas para Windows PowerShell)
## Administración de etiquetas
Puede etiquetar sus recursos para ayudarle a identificarlos o clasificarlos según las necesidades de su organización.
**Para administrar las etiquetas de su servicio de punto de conexión utilizando la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Endpoint Services** (Servicios de punto de conexión).
1. Seleccione el servicio de punto de conexión de VPC.
1. Elija **Actions** (Acciones) y, a continuación, **Manage tags** (Administrar etiquetas).
1. Para cada etiqueta que desee agregar, elija **Add new tag** (Agregar etiqueta nueva) e ingrese la clave y el valor de la etiqueta.
1. Para eliminar una etiqueta, elija **Remove** (Eliminar) a la derecha de la clave y el valor de la etiqueta.
1. Seleccione **Save** (Guardar).
**Para administrar las etiquetas de las conexiones de sus puntos de conexión mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Endpoint Services** (Servicios de punto de conexión).
1. Seleccione el servicio de punto de conexión de VPC y luego elija la pestaña **Endpoint connections** (Conexiones de punto de conexión).
1. Seleccione la conexión del punto de conexión, y luego elija **Actions** (Acciones), **Manage tags** (Administrar etiquetas).
1. Para cada etiqueta que desee agregar, elija **Agregar etiqueta nueva** e ingrese la clave y el valor de la etiqueta.
1. Para eliminar una etiqueta, elija **Remove** (Eliminar) a la derecha de la clave y el valor de la etiqueta.
1. Seleccione **Save** (Guardar).
**Para agregar permisos para el servicio de punto de conexión con la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Endpoint Services** (Servicios de punto de conexión).
1. Seleccione el servicio de punto de conexión de VPC y, a continuación, elija la pestaña **Allow principals** (Permitir entidades principales).
1. Seleccione la entidad principal que desea etiquetar y, a continuación, elija **Actions** (Acciones), **Manage tags** (Administrar etiquetas).
1. Para cada etiqueta que desee agregar, elija **Agregar etiqueta nueva** e ingrese la clave y el valor de la etiqueta.
1. Para eliminar una etiqueta, elija **Remove** (Eliminar) a la derecha de la clave y el valor de la etiqueta.
1. Seleccione **Save** (Guardar).
**Para agregar y eliminar etiquetas con la línea de comandos**
+ [create-tags](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-tags.html) y [delete-tags](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-tags.html) (AWS CLI)
+ [New-EC2Tag](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Tag.html)y [Remove-EC2Tag](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2Tag.html)(Herramientas para Windows PowerShell)
# Administración de nombres de DNS para servicios de punto de conexión de VPC
Los proveedores de servicios pueden configurar nombres de DNS privados para sus servicios de punto de conexión. Supongamos que un proveedor de servicios hace que su servicio esté disponible a través de un punto de conexión público y como un servicio de punto de conexión. Si el proveedor de servicios utiliza el nombre de DNS del punto de conexión público como nombre de DNS privado del servicio de punto de conexión, los consumidores del servicio pueden acceder al punto de conexión público o al servicio de punto de conexión mediante la misma aplicación del cliente, sin modificaciones. Si una solicitud proviene de la VPC del consumidor del servicio, los servidores DNS privados resuelven el nombre de DNS en las direcciones IP de las interfaces de red de los puntos de conexión. De lo contrario, los servidores DNS públicos resuelven el nombre de DNS en el punto de conexión público.
Antes de configurar un nombre de DNS privado para su servicio de punto de conexión, debe demostrar que es el propietario del dominio mediante una verificación de propiedad de dominio.
**Consideraciones**
+ Un servicio de punto de conexión solo puede tener un nombre de DNS privado.
+ Cuando el consumidor crea un punto de conexión de interfaz para conectarse al servicio, se crea una zona alojada privada que se asocia a la VPC del consumidor del servicio. Creamos un registro CNAME en la zona alojada privada que asigna el nombre de DNS privado del servicio de punto de conexión al nombre de DNS regional del punto de conexión de VPC. Cuando un consumidor del servicio envía una solicitud al nombre de DNS público del servicio, los servidores DNS privados resuelven el nombre de DNS en las direcciones IP de las interfaces de red de los puntos de conexión.
+ Para verificar un dominio, debe tener un nombre de host público o un proveedor de DNS público.
+ Puede verificar el dominio de un subdominio. Por ejemplo, puede verificar *example.com*, en lugar de *a.example.com*. Cada etiqueta DNS puede tener hasta 63 caracteres y el nombre de dominio completo no debe superar una longitud total de 255 caracteres.
Si agrega un subdominio adicional, debe verificar el subdominio o el dominio. Por ejemplo, supongamos que tenía *a.example.com*, y verifica *example.com*. Ahora agrega *b.example.com* como nombre de DNS privado. Debe verificar *example.com* o *b.example.com* antes de que los consumidores del servicio puedan utilizar el nombre.
+ Los nombres de DNS privados no son compatibles con los puntos de conexión del equilibrador de carga de puerta de enlace.
## Verificación de la propiedad de dominio
Su dominio está asociado a un conjunto de registros de servicio de nombres de dominio (DNS) que se administra a través del proveedor de DNS. Un registro TXT es un tipo de registro de DNS que proporciona información adicional acerca de su dominio. Consta de un nombre y un valor. Como parte del proceso de verificación, debe agregar un registro TXT al servidor DNS para el dominio público.
La verificación de propiedad de dominio se completa cuando se detecta la existencia del registro TXT en la configuración de DNS del dominio.
Después de agregar un registro, puede comprobar el estado del proceso de verificación de dominio con la consola de Amazon VPC. En el panel de navegación, elija **Endpoint Services** (Servicios de punto de conexión). Seleccione el servicio de punto de conexión y compruebe el valor de **Domain verification status** (Estado de verificación del dominio) en la pestaña **Details** (Detalles). Si la verificación del dominio está pendiente, espere unos minutos y actualice la pantalla. Si es necesario, puede iniciar el proceso de verificación de forma manual. Elija **Actions** (Acciones), **Verify domain ownership for private DNS name** (Verificar la propiedad de dominio para el nombre de DNS privado).
El nombre de DNS privado está listo para que lo utilicen los consumidores del servicio cuando el estado de verificación es **verified** (verificado). Si el estado de verificación cambia, se rechazan las solicitudes de conexión nuevas, pero las conexiones existentes no se ven afectadas.
Si el estado de verificación es **failed** (error), consulte [Solución de problemas de la verificación de dominio](#troubleshoot-domain-verification).
## Obtención del nombre y el valor
Le proporcionamos el nombre y el valor que utiliza en el registro TXT. Por ejemplo, la información está disponible en la Consola de administración de AWS. Seleccione el servicio de punto de conexión y consulte **Domain verification name** (Nombre de verificación de dominio) y **Domain verification value** (Valor de verificación de dominio) en la pestaña **Details** (Detalles) del servicio de punto de conexión. También puede usar el siguiente AWS CLI comando [describe-vpc-endpoint-service-configuration](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpc-endpoint-service-configurations.html) para recuperar información sobre la configuración del nombre DNS privado del servicio de punto final especificado.
```
aws ec2 describe-vpc-endpoint-service-configurations \
--service-ids vpce-svc-071afff70666e61e0 \
--query ServiceConfigurations[*].PrivateDnsNameConfiguration
```
A continuación, se muestra un ejemplo del resultado. Cuando cree el registro TXT, utilizará `Value` y `Name`.
```
[
{
"State": "pendingVerification",
"Type": "TXT",
"Value": "vpce:l6p0ERxlTt45jevFwOCp",
"Name": "_6e86v84tqgqubxbwii1m"
}
]
```
Por ejemplo, supongamos que el nombre de dominio es *example.com* y que `Value` y `Name` son como muestra el ejemplo de resultado anterior. La siguiente tabla es un ejemplo de la configuración del registro TXT.
| Name | Tipo | Valor |
| --- | --- | --- |
| \$16e86v84tqgqubxbwii1m.example.com | TXT | vpce:l6p0 tt45jevfw ERxl OCp |
Le sugerimos que utilice `Name` como subdominio del registro, ya que es posible que el nombre de dominio base ya esté en uso. Sin embargo, si su proveedor de DNS no permite que los nombres de los registros DNS contengan guiones bajos, puede omitir “\$16e86v84tqgqubxbwii1m” y simplemente utilizar “example.com” en el registro TXT.
Después de verificar “\$16e86v84tqgqubxbwii1m.example.com”, los consumidores del servicio pueden utilizar “example.com” o un subdominio (por ejemplo, “service.example.com” o “my.service.example.com”).
## Agregue un registro TXT al servidor DNS de su dominio
El procedimiento para añadir registros TXT al servidor DNS de su dominio depende de quien proporcione su servicio DNS. Es posible que el proveedor de DNS sea Amazon Route 53 u otro registrador de nombres de dominio.
### Amazon Route 53
Cree un registro para la zona alojada pública mediante una política de enrutamiento sencilla. Use los siguientes valores:
+ En **Record name** (Nombre del registro), ingrese el dominio o el subdominio.
+ En **Record type (Tipo de registro)**, elija **TXT**.
+ En **Value/Route traffic to** (Valor/ruta de destino del tráfico), ingrese el valor de verificación de dominio.
+ En **TTL (seconds)** (TTL [segundos]), ingrese **1800**.
Para obtener más información, consulte [Creación de registros con la consola](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resource-record-sets-creating.html) en la *Guía para desarrolladores de Amazon Route 53*.
### Procedimiento general
Diríjase al sitio web del proveedor de DNS e inicie sesión en su cuenta. Busque la página para actualizar los registros DNS para su dominio. Agregue un registro TXT con el nombre y el valor que le proporcionamos. Las actualizaciones del registro DNS pueden tardar hasta 48 horas en surtir efecto; sin embargo, muchas veces suelen hacerlo mucho antes.
Para obtener instrucciones más específicas, consulte la documentación de su proveedor de DNS. La próxima tabla proporciona enlaces a la documentación de varios proveedores de DNS habituales. Esta lista no tiene como fin ser exhaustiva ni ser una recomendación de los productos o los servicios que ofrecen estas empresas.
| Proveedor de DNS/alojamiento | Enlace a la documentación |
| --- | --- |
| GoDaddy | [Agregar un registro TXT](https://www.godaddy.com/help/add-a-txt-record-19232) |
| Dreamhost | [Agregar registros DNS personalizados](https://help.dreamhost.com/hc/en-us/articles/360035516812-Adding-custom-DNS-records) |
| Cloudflare | [Administrar registros DNS](https://developers.cloudflare.com/dns/manage-dns-records/how-to/create-dns-records/) |
| HostGator | [Administre los registros de DNS con /eNOM HostGator](https://www.hostgator.com/help/article/manage-dns-records-with-hostgatorenom) |
| Namecheap | [¿Cómo agrego TXT/SPF/DKIM/DMARC registros para mi dominio?](https://www.namecheap.com/support/knowledgebase/article.aspx/317/2237/how-do-i-add-txtspfdkimdmarc-records-for-my-domain/) |
| Names.co.uk | [Cambiar la configuración de DNS del dominio](https://www.names.co.uk/support/articles/changing-your-domains-dns-settings/) |
| Wix | [Agregar o actualizar los registros TXT en la cuenta de Wix](https://support.wix.com/en/article/adding-or-updating-txt-records-in-your-wix-account) |
## Verificación de la publicación del registro TXT
Puede verificar que el registro TXT de verificación de propiedad de dominio de nombre de DNS privado se publica correctamente en el servidor DNS mediante los siguientes pasos. Ejecutará el comando **nslookup**, que está disponible para Windows y Linux.
Consultarás los servidores DNS que sirven a tu dominio porque esos servidores contienen la mayor cantidad de up-to-date información de tu dominio. La información de su dominio tarda en propagarse a otros servidores DNS.
**Para verificar que su registro TXT se publica en su servidor DNS**
1. Busque los servidores de nombres para su dominio con el siguiente comando.
```
nslookup -type=NS example.com
```
La salida enumera los servidores de nombres que sirven a su dominio. Consultará a uno de estos servidores en el siguiente paso.
1. Comprueba que el registro TXT se ha publicado correctamente con el siguiente comando, donde *name\$1server* aparece uno de los servidores de nombres que encontraste en el paso anterior.
```
nslookup -type=TXT _6e86v84tqgqubxbwii1m.example.com name_server
```
1. En la salida del paso anterior, verifique que la cadena que sigue a `text =` coincida con el valor TXT.
En nuestro ejemplo, si el registro se publica correctamente, la salida incluye lo siguiente.
```
1. _6e86v84tqgqubxbwii1m.example.com text = "vpce:l6p0ERxlTt45jevFwOCp"
```
## Solución de problemas de la verificación de dominio
Si el proceso de verificación de dominio falla, la siguiente información puede ayudarlo a solucionar los problemas.
+ Verifique si su proveedor de DNS permite guiones bajos en los nombres de los registros TXT. Si su proveedor de DNS no permite guiones bajos, puede omitir el nombre de verificación de dominio (por ejemplo, “\$16e86v84tqgqubxbwii1m”) del registro TXT.
+ Verifique si su proveedor de DNS agregó el nombre de dominio al final del registro TXT. Algunos proveedores de DNS anexan automáticamente el nombre de su dominio al nombre de atributo del registro TXT. Para evitar la duplicación del nombre de dominio, agregue un punto al final del nombre de dominio cuando cree el registro TXT. Esto indica al proveedor de DNS que no es necesario agregar el nombre de dominio al registro TXT.
+ Verifique si su proveedor de DNS modificó el valor del registro DNS para utilizar solo letras minúsculas. Verificamos el dominio solo cuando hay un registro de verificación con un valor de atributo que coincide exactamente con el valor que proporcionamos. Si el proveedor de DNS cambió los valores del registro TXT para utilizar solo letras minúsculas, póngase en contacto con el proveedor para obtener ayuda.
+ Es posible que deba verificar su dominio más de una vez, ya que admite varias regiones o varias Cuentas de AWS. Si su proveedor de DNS no permite tener más de un registro TXT con el mismo nombre de atributo, verifique si su proveedor de DNS permite asignar varios valores de atributo al mismo registro TXT. Por ejemplo, si Amazon Route 53 administra su DNS, puede utilizar el siguiente procedimiento.
1. En la consola de Route 53, elija el registro TXT que creó cuando verificó el dominio en la primera región.
1. En **Value** (Valor), diríjase al final del valor de atributo existente y pulse Intro.
1. Agregue el valor de atributo para la región adicional y, a continuación, guarde el conjunto de registros.
Si su proveedor de DNS no permite asignar varios valores al mismo registro TXT, puede verificar el dominio una vez con el valor en el nombre de atributo del registro TXT y otra vez sin el valor en el nombre de atributo. Sin embargo, solo puede verificar el mismo dominio dos veces.
# Reciba alertas de los eventos del servicio de punto de conexión
Puede crear una notificación para recibir alertas de eventos específicos relacionados con el servicio de punto de conexión. Por ejemplo, puede recibir un correo electrónico cuando se acepte o se rechace una solicitud de conexión.
**Topics**
+ [Crear una notificación de SNS](#create-sns-notification-endpoint-service)
+ [Agregar una política de acceso](#add-access-policy-endpoint-service)
+ [Agregar una política de claves](#add-key-policy-endpoint-service)
## Crear una notificación de SNS
Siga este proceso para crear un tema de Amazon SNS para las notificaciones y suscribirse al tema.
**Para crear una notificación para un servicio de punto de conexión con la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Endpoint Services** (Servicios de punto de conexión).
1. Seleccione el servicio de punto de conexión.
1. En la pestaña **Notifications** (Notificaciones), elija **Create notification** (Crear notificación).
1. En **Notificación de ARN**, elija el ARN del tema de SNS que creó.
1. Para suscribirse a un evento, selecciónelo en **Eventos**.
+ **Conectar**: el consumidor del servicio creó el punto de conexión de interfaz. Esto envía una solicitud de conexión al proveedor del servicio.
+ **Aceptar**: el proveedor del servicio aceptó la solicitud de conexión.
+ **Rechazar**: el proveedor del servicio rechazó la solicitud de conexión.
+ **Eliminar**: el consumidor del servicio eliminó el punto de conexión de interfaz.
1. Elija **Create Notification** (Crear notificación).
**Para crear una notificación para un servicio de punto de conexión con la línea de comandos**
+ [create-vpc-endpoint-connection-notificación](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpc-endpoint-connection-notification.html) ()AWS CLI
+ [New-EC2VpcEndpointConnectionNotification](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2VpcEndpointConnectionNotification.html)(Herramientas para Windows PowerShell)
## Agregar una política de acceso
Agregue una política de acceso al tema de SNS que AWS PrivateLink permita publicar notificaciones en su nombre, como las siguientes. Para obtener más información, consulte [¿Cómo edito la política de acceso de mi tema de Amazon SNS?](https://repost.aws/knowledge-center/sns-edit-topic-access-policy) Utilice las claves de condición global `aws:SourceArn` y `aws:SourceAccount` para protegerse contra el [problema de suplente confuso](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "vpce.amazonaws.com"
},
"Action": "SNS:Publish",
"Resource": "arn:aws:sns:us-east-1:111111111111:topic-name",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:ec2:us-east-1:111111111111:vpc-endpoint-service/service-id"
},
"StringEquals": {
"aws:SourceAccount": "111111111111"
}
}
}
]
}
```
------
## Agregar una política de claves
Si utilizas temas de SNS cifrados, la política de recursos de la clave de KMS debe ser confiable para llamar AWS PrivateLink a las operaciones de la AWS KMS API. A continuación, se muestra una política de claves de ejemplo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "vpce.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey*",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:111111111111:key/key-id",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:ec2:us-east-1:111111111111:vpc-endpoint-service/service-id"
},
"StringEquals": {
"aws:SourceAccount": "111111111111"
}
}
}
]
}
```
------
# Eliminación de un servicio de punto de conexión
Cuando ya no necesite un servicio de punto de conexión, puede eliminarlo. No se podrá eliminar un servicio de punto de conexión si hay algún punto de conexión en estado `available` o `pending-acceptance` conectado al servicio de punto de conexión.
La eliminación de un servicio de punto de conexión no elimina el equilibrador de carga asociado y no afecta a los servidores de aplicaciones registrados en los grupos de destino del equilibrador de carga.
**Para eliminar un servicio de punto de conexión con la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Endpoint Services** (Servicios de punto de conexión).
1. Seleccione el servicio de punto de conexión.
1. Elija **Actions (Acciones)**, **Delete endpoint services (Eliminar servicios de punto de enlace)**.
1. Cuando le pidan confirmación, escriba **delete** y elija **Eliminar**.
**Para eliminar un servicio de punto de conexión con la línea de comandos**
+ [delete-vpc-endpoint-service-configuraciones (](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpc-endpoint-service-configurations.html))AWS CLI
+ [Remove-EC2EndpointServiceConfiguration](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2EndpointServiceConfiguration.html)(Herramientas para Windows PowerShell)