Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Archivos adjuntos de Amazon VPC en AWS Transit Gateway
Un adjunto Amazon Virtual Private Cloud (VPC) a una puerta de enlace de tránsito le permite enrutar el tráfico hacia y desde una o más subredes de VPC. Cuando asocia una VPC a una puerta de enlace de tránsito, debe especificar una subred de cada zona de disponibilidad que la puerta de enlace de tránsito utilizará para enrutar el tráfico. Las subredes especificadas sirven como puntos de entrada y salida para el tráfico de la puerta de enlace de tránsito. El tráfico solo puede llegar a los recursos de otras subredes dentro de la misma zona de disponibilidad si las subredes de conexión de puerta de enlace de tránsito tienen las rutas adecuadas configuradas en sus tablas de enrutamiento que apuntan a las subredes de destino.
**Límites**
+ Cuando se asocia una VPC a una puerta de enlace de tránsito, los recursos en zonas de disponibilidad donde no hay una conexión de puerta de enlace de tránsito no pueden llegar a la puerta de enlace de tránsito.
**nota**
Dentro de las zonas de disponibilidad que sí tienen conexiones de puerta de enlace de tránsito, el tráfico solo se reenvía a la puerta de enlace de tránsito desde las subredes específicas que están asociadas a la conexión. Si hay una ruta a la puerta de enlace de tránsito en una tabla de enrutamiento de subred, el tráfico solo se reenvía a la puerta de enlace de tránsito cuando esta tenga una conexión en una subred en la misma zona de disponibilidad y la tabla de enrutamiento de la subred contiene rutas apropiadas para el destino previsto del tránsito dentro de la VPC.
+ Una puerta de enlace de tránsito no admite la resolución de DNS para los nombres DNS personalizados de la VPCs configuración adjunta mediante zonas alojadas privadas en Amazon Route 53. Para configurar la resolución de nombres para las zonas alojadas privadas para todas las VPCs conectadas a una puerta de enlace de tránsito, consulte [Administración centralizada de DNS de la nube híbrida con Amazon Route 53 y AWS Transit Gateway](https://aws.amazon.com/blogs/networking-and-content-delivery/centralized-dns-management-of-hybrid-cloud-with-amazon-route-53-and-aws-transit-gateway/).
+ Una puerta de enlace de tránsito no admite el enrutamiento entre VPCs una CIDRs VPC conectada o si una CIDR de un rango se superpone a una CIDR de una VPC conectada. Si se conecta una VPC a una puerta de enlace de tránsito y su CIDR es idéntico a, o se superpone con, el CIDR de otra VPC que ya esté conectada a la puerta de enlace de tránsito, las rutas de la VPC recientemente conectada no se propagan a la tabla de enrutamiento de la puerta de enlace de tránsito.
+ No puede crear una asociación para una subred de VPC que resida en una zona local. Sin embargo, puede configurar la red para que las subredes de la zona local se puedan conectar a una puerta de enlace de tránsito mediante la zona de disponibilidad principal. Para obtener más información, consulte [Conexión de las subredes de una zona local a una puerta de enlace de tránsito](https://docs.aws.amazon.com/vpc/latest/userguide/Extend_VPCs.html#connect-local-zone-tgw).
+ No puedes crear un adjunto a una pasarela de tránsito utilizando subredes exclusivas. IPv6 Las subredes adjuntas a las pasarelas de tránsito también deben admitir direcciones. IPv4
+ Una puerta de enlace de tránsito debe tener al menos una conexión de VPC antes de poder agregar esa puerta de enlace de tránsito a una tabla de enrutamiento.
## Requisitos de la tabla de enrutamiento para conexiones de VPC
Las conexiones de VPC de la puerta de enlace de tránsito requieren configuraciones de tabla de enrutamiento específicas para funcionar correctamente:
+ **Tablas de enrutamiento de subred vinculadas**: las subredes asociadas a la conexión de puerta de enlace de tránsito deben tener entradas en la tabla de enrutamiento para cualquier destino en la VPC al que se deba acceder a través de la puerta de enlace de tránsito. Esto incluye rutas a otras subredes, puertas de enlace de Internet, puertas de enlace NAT y puntos de conexión de VPC.
+ **Tablas de enrutamiento de las subredes de destino**: las subredes que contienen recursos que deben comunicarse a través de la puerta de enlace de tránsito deben tener rutas que apunten hacia la puerta de enlace de tránsito para el tráfico de retorno a destinos externos.
+ **Tráfico de VPC local**: la conexión de puerta de enlace de tránsito no habilita automáticamente la comunicación entre subredes de la misma VPC. Se aplican las reglas de enrutamiento de VPC estándar y la ruta local (CIDR de VPC) debe estar presente en las tablas de enrutamiento para la comunicación dentro de la VPC.
**nota**
Tener rutas configuradas en subredes no conectadas dentro de la misma zona de disponibilidad no permite el flujo de tráfico. Solo las subredes específicas asociadas al adjunto a la puerta de enlace de tránsito pueden servir como entry/exit puntos para el tráfico de la puerta de enlace de tránsito.
## Ciclo de vida de la conexión de VPC
Una conexión de VPC pasa por varias etapas, desde que se inicia la solicitud. En cada una de estas fases, se encontrará con acciones que podrá realizar y, al final del ciclo de vida, la conexión de la VPC permanecerá visible en la Amazon Virtual Private Cloud Console y en la API o los resultados de la línea de comandos durante un tiempo.
El siguiente diagrama muestra los estados por los que puede pasar una conexión en una única configuración de cuenta, o una configuración entre cuentas que tenga activada la opción **Aceptar automáticamente las conexiones compartidas ** .
![\[Ciclo de vida de la conexión de VPC\]](http://docs.aws.amazon.com/es_es/vpc/latest/tgw/images/vpc-attachment-lifecycle.png)
+ **Pendiente**: se inició una solicitud para una conexión de VPC y está en proceso de aprovisionamiento. En esta etapa, es posible que se produzca un error en la conexión o puede ir a `available`.
+ **Errónea**: se ha producido un error en una solicitud de conexión de VPC. En esta etapa, la conexión de VPC va a `failed`.
+ **Con error**: se ha producido un error en la solicitud de conexión de VPC. Mientras se encuentre en este estado, no se puede eliminar. La conexión de VPC que produjo errores permanece visible durante 2 horas y, luego, ya no estará visible.
+ **Disponible**: la conexión de VPC está disponible y el tráfico puede fluir entre la VPC y la puerta de enlace de tránsito. En esta etapa, la conexión puede ir a `modifying` o a `deleting`.
+ **Eliminando**: una conexión de VPC que se está en proceso de ser eliminada. En esta etapa, la conexión puede ir a `deleted`.
+ **Eliminada**: se eliminó una conexión de VPC de `available`. Mientras se encuentre en este estado, la conexión de VPC no se puede modificar. La conexión de VPC permanece visible durante 2 horas y, luego, ya no estará visible.
+ **Modificando**: se realizó una solicitud para modificar las propiedades de la conexión de VPC. En esta etapa, la conexión puede ir a `available` o a `rolling back`.
+ **Reversión**: no se puede completar la solicitud de modificación de la conexión de VPC y el sistema está deshaciendo los cambios realizados. En esta etapa, la conexión puede ir a `available`.
El siguiente diagrama muestra los estados por los que puede pasar una conexión en una configuración entre cuentas que tenga desactivada la opción **Auto accept shared attachments** (Aceptar automáticamente las conexiones compartidas).
![\[Ciclo de vida de la conexión de VPC entre cuentas que tiene desactivada la opción Auto accept shared attachments (Aceptar automáticamente las conexiones compartidas).\]](http://docs.aws.amazon.com/es_es/vpc/latest/tgw/images/vpc-attachment-lifecycle-cross-account.png)
+ **Aceptación pendiente**: la solicitud de conexión de VPC está esperando la aceptación. En esta etapa, la conexión puede ir a `pending`, a `rejecting` o a `deleting`.
+ **Rechazando**: una conexión de VPC que está en proceso de ser rechazada. En esta etapa, la conexión puede ir a `rejected`.
+ **Rechazado**: se rechazó una conexión de VPC de `pending acceptance`. Mientras se encuentre en este estado, la conexión de VPC no se puede modificar. La conexión de VPC permanece visible durante 2 horas y, luego, ya no estará visible.
+ **Pendiente**: se aceptó la conexión de VPC y está en proceso de aprovisionamiento. En esta etapa, es posible que se produzca un error en la conexión o puede ir a `available`.
+ **Errónea**: se ha producido un error en una solicitud de conexión de VPC. En esta etapa, la conexión de VPC va a `failed`.
+ **Con error**: se ha producido un error en la solicitud de conexión de VPC. Mientras se encuentre en este estado, no se puede eliminar. La conexión de VPC que produjo errores permanece visible durante 2 horas y, luego, ya no estará visible.
+ **Disponible**: la conexión de VPC está disponible y el tráfico puede fluir entre la VPC y la puerta de enlace de tránsito. En esta etapa, la conexión puede ir a `modifying` o a `deleting`.
+ **Eliminando**: una conexión de VPC que se está en proceso de ser eliminada. En esta etapa, la conexión puede ir a `deleted`.
+ **Eliminada**: se eliminó una conexión de VPC de `available` o `pending acceptance`. Mientras se encuentre en este estado, la conexión de VPC no se puede modificar. La conexión de VPC permanece visible durante 2 horas y, luego, ya no estará visible.
+ **Modificando**: se realizó una solicitud para modificar las propiedades de la conexión de VPC. En esta etapa, la conexión puede ir a `available` o a `rolling back`.
+ **Reversión**: no se puede completar la solicitud de modificación de la conexión de VPC y el sistema está deshaciendo los cambios realizados. En esta etapa, la conexión puede ir a `available`.
## Modo Dispositivo
Si piensa configurar un dispositivo de red con estado en la VPC, puede habilitar la compatibilidad en modo dispositivo para la conexión de VPC en la que se encuentra el dispositivo cuando crea una conexión. Esto garantiza que AWS Transit Gateway utilice la misma zona de disponibilidad para ese adjunto de VPC durante toda la vida útil del flujo de tráfico entre un origen y un destino. También permite que una puerta de enlace de tránsito envíe tráfico a cualquier zona de disponibilidad de la VPC, siempre y cuando exista una asociación de subred en esa zona. Si bien el modo dispositivo solo se admite en las conexiones de VPC, el flujo de red puede provenir de cualquier otro tipo de conexión de puerta de enlace de tránsito, incluidas conexiones de VPC, VPN y Connect. El modo dispositivo también funciona para flujos de red que tienen orígenes y destinos en diferentes Regiones de AWS. Es posible que los flujos de red se reequilibren entre distintas zonas de disponibilidad si no se habilita inicialmente el modo dispositivo, sino que se modifica posteriormente la configuración de las conexiones para habilitarlo. Puede utilizar la consola, la línea de comando o la API para habilitar o deshabilitar el modo de dispositivo.
El modo dispositivo de AWS Transit Gateway optimiza el enrutamiento del tráfico teniendo en cuenta las zonas de disponibilidad de origen y destino al determinar la ruta a través de una VPC en modo dispositivo. Este enfoque mejora la eficiencia y reduce la latencia. El comportamiento varía en función de la configuración específica y los patrones de tráfico. A continuación, se presentan algunos ejemplos.
### Ejemplo 1: Enrutamiento del tráfico de la zona de disponibilidad mediante la VPC del dispositivo
Cuando el tráfico fluye desde la zona de disponibilidad de origen us-east-1a a la zona de disponibilidad de destino us-east-1a, con conexiones de VPC en modo de dispositivo tanto en us-east-1a como en us-east-1b, la puerta de enlace de tránsito selecciona una interfaz de red de us-east-1a dentro de la VPC del dispositivo. Esta zona de disponibilidad se mantiene durante todo el flujo de tráfico entre el origen y el destino.
### Ejemplo 2: Enrutamiento del tráfico dentro de la zona de disponibilidad mediante la VPC del dispositivo
En el caso del tráfico que fluye desde la zona de disponibilidad de origen us-east-1a a la zona de disponibilidad de destino us-east-1b, con conexiones de VPC en modo de dispositivo tanto en us-east-1a como en us-east-1b, la puerta de enlace de tránsito utiliza un algoritmo de hash de flujo para seleccionar us-east-1a o us-east-1b dentro de la VPC del dispositivo. La zona de disponibilidad elegida se utiliza de forma coherente durante todo el flujo.
### Ejemplo 3: Enrutamiento del tráfico a través de una VPC de dispositivo sin datos de zona de disponibilidad
Cuando el tráfico se origina en la zona de disponibilidad de origen us-east-1a a un destino sin información de la zona de disponibilidad (p. ej., tráfico destinado a Internet), con conexiones de VPC en modo de dispositivo tanto en us-east-1a como en us-east-1b, la puerta de enlace de tránsito selecciona una interfaz de red de us-east-1a dentro de la VPC del dispositivo.
### Ejemplo 4: Enrutamiento del tráfico a través de la VPC de un dispositivo en una zona de disponibilidad distinta de la de origen o de destino
Cuando el tráfico fluye desde la zona de disponibilidad de origen us-east-1a a la zona de disponibilidad de destino us-east-1b, con conexiones de VPC en modo de dispositivo en diferentes zonas de disponibilidad, por ejemplo, en us-east-1c y us-east-1d, la puerta de enlace de tránsito selecciona un algoritmo de hash de flujo para seleccionar us-east-1c o us-east-1d en la VPC del dispositivo. La zona de disponibilidad elegida se utiliza de forma coherente durante todo el flujo.
**nota**
El modo dispositivo solo se admite para las conexiones de VPC. Asegúrese de que la propagación de rutas esté habilitada para una tabla de enrutamiento asociada a una conexión de VPC del dispositivo.
## Referencia a grupos de seguridad
Puede utilizar esta función para simplificar la administración de los grupos de seguridad y el control del instance-to-instance tráfico entre los VPCs que están conectados a la misma puerta de enlace de tránsito. Solo puede hacer referencia cruzada a los grupos de seguridad en las reglas entrantes. Las reglas de seguridad salientes no son compatibles con las referencias a los grupos de seguridad. El uso y la habilitación de las referencias a los grupos de seguridad no tienen costos adicionales.
La compatibilidad con las referencias a los grupos de seguridad se puede configurar tanto para las puertas de enlace de tránsito como para las conexiones de VPC de las puertas de enlace de tránsito, y solo funcionará si se habilitó tanto para una puerta de enlace de tránsito como para sus conexiones de VPC.
### Limitaciones
Las siguientes limitaciones se aplican cuando se usa la referencia a los grupos de seguridad con conexiones de VPC.
+ No se admite la referencia a grupos de seguridad en las conexiones de interconexión de la puerta de enlace de tránsito. Ambas VPCs deben estar conectadas a la misma pasarela de tránsito.
+ La referencia a los grupos de seguridad no es compatible con las conexiones de VPC en la zona de disponibilidad use1-az3.
+ No se admite la referencia a grupos de seguridad en los puntos PrivateLink finales. Como alternativa, recomendamos utilizar reglas de seguridad de IP basadas en el CIDR.
+ La referencia a los grupos de seguridad funciona para Elastic File System (EFS) siempre que se haya configurado una regla de grupo de seguridad que permita todas las salidas para las interfaces de EFS de la VPC.
+ La conectividad de zona local a través de una puerta de enlace de tránsito solo es compatible con las siguientes zonas locales: us-east-1-atl-2a, us-east-1-dfw-2a, us-east-1-iah-2a, us-west-2-lax-1a, us-west-2-lax-1b, us-east-1-mia-2a, us-east-1-chi-2a y us-west-2-phx-2a.
+ Recomendamos deshabilitar esta función en el nivel VPCs de conexión de la VPC si las subredes se encuentran en Zonas Locales AWS , Outposts y Wavelength Zones no compatibles AWS , ya que podría provocar una interrupción del servicio.
+ Si tiene una VPC de inspección, la referencia a grupos de seguridad a través de la puerta de enlace de tránsito no funciona en el Gateway Load AWS Balancer o en un Network Firewall. AWS
**Topics**
+ [Requisitos de la tabla de enrutamiento para conexiones de VPC](#vpc-attachment-routing-requirements)
+ [Ciclo de vida de la conexión de VPC](#vpc-attachment-lifecycle)
+ [Modo Dispositivo](#tgw-appliancemode)
+ [Referencia a grupos de seguridad](#vpc-attachment-security)
+ [Crear una conexión de VPC](create-vpc-attachment.md)
+ [Modificación de una conexión de la VPC](modify-vpc-attachment.md)
+ [Modificación de las etiquetas de vinculaciones de la VPC](modify-vpc-attachment-tag.md)
+ [Consultar una conexión de VPC](view-vpc-attachment.md)
+ [Eliminar una vinculación de VPC](delete-vpc-attachment.md)
+ [Actualización de las reglas de entrada del grupo de seguridad](tgw-sg-updates-update.md)
+ [Identificación de los grupos de seguridad referenciados](tgw-sg-updates-identify.md)
+ [Eliminación de las reglas obsoletas del grupo de seguridad](tgw-sg-updates-stale.md)
+ [Solución de problemas de conexiones de VPC](transit-gateway-vpc-attach-troubleshooting.md)
# Crear una vinculación de de VPC en AWS Transit Gateway
**Para crear una vinculación de VPC con la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Transit Gateways Attachments (Vinculaciones de las puerta de enlaces de tránsito)**.
1. Elija **Create transit puerta de enlace attachment** (Crear conexión de puerta de enlace de tránsito).
1. En **Name tag** (Etiqueta de nombre), opcionalmente puede ingresar un nombre para la conexión de puerta de enlace de tránsito.
1. En **Transit Gateway ID** (ID de puerta de enlace de tránsito), elija la puerta de enlace de tránsito para la conexión. Puede elegir una puerta de enlace de tránsito de su propiedad o una puerta de enlace de tránsito que se compartió con usted.
1. En **Attachment type** (Tipo de vinculación), elija **VPC**.
1. Seleccione si desea habilitar **Compatibilidad de DNS**, **Compatibilidad de IPv6** y **Compatibilidad del modo dispositivo**.
Si selecciona el modo dispositivo, el flujo de tráfico entre un origen y un destino utiliza la misma zona de disponibilidad para la conexión de VPC durante la vida útil del flujo.
1. Seleccione si desea habilitar **Compatibilidad de referencia a grupos de seguridad**. Habilite esta característica para que haga referencia al grupo de seguridad en las VPC conectadas a la puerta de enlace de tránsito. Para obtener más información sobre la referencia a los grupos de seguridad, consulte [Referencia a grupos de seguridad](tgw-vpc-attachments.md#vpc-attachment-security).
1. Seleccione si desea habilitar **Compatibilidad de IPv6**.
1. En **VPC ID (ID de VPC)**, elija la VPC que desee asociar a la puerta de enlace de tránsito.
Esta VPC debe tener una subred asociada como mínimo.
1. En **Subnet IDs (ID de subred)**, seleccione una subred para cada zona de disponibilidad que la puerta de enlace de tránsito utilizará para enrutar el tráfico. Debe seleccionar al menos una subred. Solo puede seleccionar una subred por zona de disponibilidad.
1. Elija **Create transit puerta de enlace attachment** (Crear conexión de puerta de enlace de tránsito).
**Para crear una vinculación de VPC con la AWS CLI**
Utilice el comando [create-transit-gateway-vpc-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-vpc-attachment.html).
# Modificar un adjunto de VPC en AWS Transit Gateway
**Para modificar las vinculaciones de VPC mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Transit Gateways Attachments (Vinculaciones de las puerta de enlaces de tránsito)**.
1. Seleccione la conexión de VPC, y luego elija **Actions** (Acciones), **Modify transit puerta de enlace attachment** (Modificar conexión de puerta de enlace de tránsito).
1. Habilite o deshabilite cualquiera de las siguientes opciones:
+ **Compatibilidad con DNS**
+ **IPv6 soporte**
+ **Compatibilidad del modo dispositivo**
1. Para agregar o eliminar una subred de la conexión, marque o desmarque la casilla de verificación ubicada junto a la **ID de subred** que desea agregar o eliminar.
**nota**
Agregar o modificar una subred de datos adjuntos de VPC podría afectar el tráfico de datos mientras el adjunto se encuentra en estado de modificación.
1. Para poder hacer referencia a un grupo de seguridad VPCs conectado a una puerta de enlace de tránsito, seleccione el **soporte de referencia de grupos de seguridad**. Para obtener más información sobre la referencia a los grupos de seguridad, consulte [Referencia a grupos de seguridad](tgw-vpc-attachments.md#vpc-attachment-security).
**nota**
Si deshabilita la referencia a los grupos de seguridad para una puerta de enlace de tránsito existente, se deshabilitará en todas las conexiones de la VPC.
1. Elija **Modify transit puerta de enlace attachment** (Modificar conexión de puerta de enlace de tránsito).
**Para modificar los adjuntos de la VPC mediante el AWS CLI**
Utilice el comando [modify-transit-gateway-vpc-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-transit-gateway-vpc-attachment.html).
# Modificación de las etiquetas de vinculaciones de la VPC en AWS Transit Gateway
**Para modificar las etiquetas de vinculaciones de VPC mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Transit Gateways Attachments (Vinculaciones de las puerta de enlaces de tránsito)**.
1. Seleccione la conexión de VPC, y luego elija **Actions** (Acciones), **Manage tags** (Administrar etiquetas).
1. [Agregar una etiqueta] Elija **Add new tag** (Agregar etiqueta) y haga lo siguiente:
+ En **Clave**, escriba el nombre de la clave.
+ En **Value** (Valor), escriba el valor de la clave.
1. [Eliminar una etiqueta] Junto a la etiqueta, elija **Remove** (Quitar).
1. Seleccione **Save**.
Las etiquetas de adjunto de VPC solo se pueden modificar con la consola.
# Consultar una conexión de VPC en AWS Transit Gateway
**Para ver las vinculaciones de VPC mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Transit Gateways Attachments (Vinculaciones de las puerta de enlaces de tránsito)**.
1. En la columna **Resource type** (Tipo de recurso), busque **VPC** (VPC). Se trata de las conexiones de VPC.
1. Seleccione una vinculación para ver sus detalles.
**Para ver las vinculaciones de VPC mediante la AWS CLI**
Utilice el comando [describe-transit-gateway-vpc-attachments](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-vpc-attachments.html).
# Eliminar una conexión de VPC en AWS Transit Gateway
**Para eliminar una vinculación de VPC mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Transit Gateways Attachments (Vinculaciones de las puerta de enlaces de tránsito)**.
1. Seleccione la vinculación de VPC.
1. Elija **Actions** (Acciones),**Delete transit gateway attachment** (Eliminar conexión de puerta de enlace de tránsito).
1. Cuando se le solicite, ingrese **delete** y elija **Delete** (Eliminar).
**Para eliminar una vinculación de VPC mediante la AWS CLI**
Utilice el comando [delete-transit-gateway-vpc-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-vpc-attachment.html).
# Actualización de las reglas de entrada del grupo de seguridad de AWS Transit Gateway
Puede actualizar todas las reglas de entrada del grupo de seguridad asociadas con la puerta de enlace de tránsito. Para actualizar las reglas del grupo de seguridad desde la consola de Amazon VPC o con la línea de comando o una API. Para obtener más información sobre la referencia a los grupos de seguridad, consulte [Referencia a grupos de seguridad](tgw-vpc-attachments.md#vpc-attachment-security).
**Para actualizar las reglas del grupo de seguridad desde la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Grupos de seguridad**.
1. Para modificar las reglas de entrada, seleccione el grupo de seguridad y luego elija **Acciones**, **Editar reglas de entrada**.
1. Para agregar una regla, elija **Agregar regla** y especifique el tipo, el protocolo y el rango de puertos. En **Origen** (regla de entrada), ingrese el ID del grupo de seguridad de la VPC conectado a la puerta de enlace de tránsito.
**nota**
Los grupos de seguridad de una VPC conectados a la puerta de enlace de tránsito no se muestran automáticamente.
1. Para editar una regla existente, cambie los valores (por ejemplo, el origen o la descripción).
1. Para eliminar una regla, elija la opción **Eliminar** situada junto a la regla.
1. Seleccione **Guardar reglas**.
**Para actualizar las reglas de entrada mediante la línea de comandos**
+ [authorize-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-ingress.html) (AWS CLI)
+ [Grant-EC2SecurityGroupIngress](https://docs.aws.amazon.com/powershell/latest/reference/items/Grant-EC2SecurityGroupIngress.html) (AWS Tools for Windows PowerShell)
+ [Revoke-EC2SecurityGroupIngress](https://docs.aws.amazon.com/powershell/latest/reference/items/Revoke-EC2SecurityGroupIngress.html) (AWS Tools for Windows PowerShell)
+ [revoke-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-ingress.html) (AWS CLI)
# Identificación de los grupos de seguridad referenciados de AWS Transit Gateway
Para determinar si se hace referencia a su grupo de seguridad en las reglas de un grupo de seguridad de una VPC conectada a la misma puerta de enlace de tránsito, utilice uno de los siguientes comandos.
+ [describe-security-group-references](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-security-group-references.html) (AWS CLI)
+ [Get-EC2SecurityGroupReference](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2SecurityGroupReference.html) (AWS Tools for Windows PowerShell)
# Eliminación de las reglas obsoletas del grupo de seguridad de AWS Transit Gateway
Una regla obsoleta del grupo de seguridad es una regla que hace referencia a un grupo de seguridad eliminado en la misma VPC o en una VPC conectada a la misma puerta de enlace de tránsito. Cuando una regla de grupo de seguridad queda obsoleta, esta no se quita automáticamente del grupo de seguridad, sino que debe quitarla manualmente.
Puede consultar y eliminar las reglas de grupo de seguridad obsoletas de una VPC mediante la consola de Amazon VPC.
**Para ver y eliminar reglas de grupo de seguridad obsoletas**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Security groups** (Grupos de seguridad).
1. Elija **Actions** (Acciones), **Manage stale rules** (Administrar reglas obsoletas).
1. En **VPC**, elija la VPC con las reglas obsoletas.
1. Elija **Edit**.
1. Presione el botón **Delete** (Eliminar), que se encuentra junto a la regla que desea eliminar. Elija **Vista previa de cambios**, **Guardar reglas**.
**Descripción de las reglas de grupo de seguridad obsoletas mediante la línea de comandos**
+ [describe-stale-security-groups](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-stale-security-groups.html) (AWS CLI)
+ [Get-EC2StaleSecurityGroup](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2StaleSecurityGroup.html) (AWS Tools for Windows PowerShell)
Una vez identificadas las reglas de grupo de seguridad obsoletas, puede eliminarlas utilizando los comandos [revoke-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-ingress.html) o [revoke-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-egress.html).
# Solución de problemas con la creación de conexiones de VPC en AWS Transit Gateway
El siguiente tema le puede ayudar a solucionar los problemas que podrían presentarse cuando crea una conexión de VPC.
**Problema**
Se produjo un error en la conexión de VPC.
**Causa**
Esto podría deberse a una de las siguientes causas:
1. El usuario que está creando la conexión de VPC no tiene los permisos correctos para crear un rol vinculado a servicios.
1. Existe un problema de limitación controlada debido a que hay demasiadas solicitudes de IAM; por ejemplo, está utilizando CloudFormation para crear permisos y roles.
1. La cuenta tiene el rol vinculado al servicio y el rol vinculado al servicio se ha modificado.
1. La puerta de enlace de tránsito no está en el estado `available`.
**Solución**
Según la causa, intente lo siguiente:
1. Compruebe que el usuario tenga los permisos correctos para crear roles vinculados a servicios. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions) en la *Guía del usuario de IAM*. Una vez que el usuario tenga los permisos, cree la conexión de VPC.
1. Cree la conexión de VPC manualmente. Para obtener más información, consulte [Crear una vinculación de de VPC en AWS Transit Gateway](create-vpc-attachment.md).
1. Compruebe que el rol vinculado al servicio tenga los permisos correctos. Para obtener más información, consulte [Rol vinculado a servicios de la puerta de enlace de tránsito](service-linked-roles.md#tgw-service-linked-roles).
1. Compruebe que la puerta de enlace de tránsito esté en el estado `available`. Para obtener más información, consulte [Consultar información de la puerta de enlace de tránsito en AWS Transit Gateway](view-tgws.md).