Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Redes y acceso en WorkSpaces Pools
<a name="managing-network"></a>

En los siguientes temas se ofrece información sobre cómo permitir que los usuarios se conecten a WorkSpaces Pools y permitir que los grupos de WorkSpaces Pools obtengan acceso a los recursos de red y a Internet.

**Topics**
+ [Acceso a Internet en WorkSpaces Pools](internet-access.md)
+ [Configuración de una VPC en WorkSpaces Pools](appstream-vpc.md)
+ [Configure la autorización de FedRAMP o el cumplimiento de las normas SRG del DoD para los grupos WorkSpaces](fips-encryption-pools.md)
+ [Uso de puntos de enlace de VPC de Amazon S3 para funciones de grupos WorkSpaces](managing-network-vpce-iam-policy.md)
+ [Conexiones a su VPC para grupos WorkSpaces](pools-port-requirements.md)
+ [Conexiones de usuario a WorkSpaces grupos](user-connections-to-appstream2.md)

# Acceso a Internet en WorkSpaces Pools
<a name="internet-access"></a>

Si los escritorios de WorkSpaces en WorkSpaces Pools requieren acceso a Internet, puede habilitarlo de varias maneras. Al elegir un método para habilitar el acceso a Internet, tenga en cuenta la cantidad de usuarios que debe admitir su implementación y sus objetivos de implementación. Por ejemplo:
+ Si su implementación debe admitir más de 100 usuarios simultáneos, [configure una VPC con subredes privadas y una puerta de enlace NAT](managing-network-internet-NAT-gateway.md).
+ Si su implementación admite menos de 100 usuarios simultáneos, puede [configurar una VPC nueva o existente con una subred pública](managing-network-default-internet-access.md).
+ Si la implementación admite menos de 100 usuarios simultáneos, no ha utilizado antes WorkSpaces Pools y desea empezar a utilizar el servicio, puede [utilizar la VPC, la subred pública y el grupo de seguridad predeterminados](managing-network-default-internet-access.md).

En las secciones siguientes se proporciona más información acerca de estas opciones de implementación.
+ [Configurar una VPC con subredes privadas y una puerta de enlace NAT](managing-network-internet-NAT-gateway.md) (recomendado): con esta configuración, puede iniciar los generadores de WorkSpaces Pools en una subred privada y configurar una puerta de enlace NAT en una subred pública de la VPC. A las instancias de streaming se les asigna una dirección IP privada a la que no se puede acceder directamente desde Internet. 

  Además, a diferencia de las configuraciones que utilizan la opción de **Acceso a Internet predeterminado** para habilitar el acceso a Internet, la configuración NAT no se limita a 100 escritorios de WorkSpaces en WorkSpaces Pools. Si la implementación debe admitir más de 100 usuarios simultáneos, utilice esta configuración.

  Puede crear y configurar una VPC nueva para utilizarla con una puerta de enlace NAT o agregar una puerta de enlace NAT a una VPC existente. 
+ [Configurar una VPC nueva o existente con una subred pública](managing-network-default-internet-access.md): con esta configuración, inicia WorkSpaces Pools en una subred pública. Al habilitar esta opción, WorkSpaces Pools utiliza la puerta de enlace de Internet de la subred pública de Amazon VPC para proporcionar la conexión a Internet. A las instancias de streaming se les asigna una dirección IP pública a la que se puede acceder directamente desde Internet. Puede crear una VPC nueva o configurar una existente para este fin.
**nota**  
Al configurar una VPC nueva o existente con una subred pública, se admite un máximo de 100 escritorios de WorkSpaces en WorkSpaces Pools. Si la implementación debe admitir más de 100 usuarios simultáneos, utilice la [configuración de puerta de enlace NAT](managing-network-internet-NAT-gateway.md) en su lugar.
+ [Utilizar la VPC, la subred pública y el grupo de seguridad predeterminados](default-vpc-with-public-subnet.md): si es la primera vez que utiliza WorkSpaces Pools y desea empezar a utilizar el servicio, puede iniciar WorkSpaces Pools en una subred pública predeterminada. Al habilitar esta opción, WorkSpaces Pools utiliza la puerta de enlace de Internet de la subred pública de Amazon VPC para proporcionar la conexión a Internet. A las instancias de streaming se les asigna una dirección IP pública a la que se puede acceder directamente desde Internet.

  Las VPC predeterminadas están disponibles en cuentas de Amazon Web Services creadas después del 04/12/2013. 

  La VPC predeterminada incluye una subred pública predeterminada en cada zona de disponibilidad y una puerta de enlace de Internet asociada a la VPC. La VPC también incluye un grupo de seguridad predeterminado.
**nota**  
Al utilizar la VPC, la subred pública y el grupo de seguridad predeterminados, se admite un máximo de 100 escritorios de WorkSpaces en WorkSpaces Pools. Si la implementación debe admitir más de 100 usuarios simultáneos, utilice la [configuración de puerta de enlace NAT](managing-network-internet-NAT-gateway.md) en su lugar.

# Configuración de una VPC en WorkSpaces Pools
<a name="appstream-vpc"></a>

Al configurar WorkSpaces Pools, debe especificar la nube privada virtual (VPC) y al menos una subred en la que iniciar los escritorios de WorkSpaces. Una VPC es una red virtual en su propia área, aislada lógicamente en la nube de Amazon Web Services. Una subred es un rango de direcciones IP en su VPC.

Al configurar la VPC en WorkSpaces Pools, puede especificar subredes públicas, subredes privadas o una combinación de ambos tipos. Las subredes públicas tienen acceso a Internet a través de una puerta de enlace de Internet. Las subredes privadas, que no tiene una ruta a una puerta de enlace de Internet, requieren una puerta de enlace de traducción de direcciones de red (NAT) o una instancia NAT para proporcionar acceso a Internet.

**Topics**
+ [Recomendaciones de configuración de VPC para grupos WorkSpaces](vpc-setup-recommendations.md)
+ [Configurar una VPC con subredes privadas y una puerta de enlace NAT](managing-network-internet-NAT-gateway.md)
+ [Configurar una VPC nueva o existente con una subred pública](managing-network-default-internet-access.md)
+ [Utilizar la VPC, la subred pública y el grupo de seguridad predeterminados](default-vpc-with-public-subnet.md)

# Recomendaciones de configuración de VPC para grupos WorkSpaces
<a name="vpc-setup-recommendations"></a>

Al crear un grupo, WorkSpaces se especifica la VPC y una o más subredes que se van a utilizar. Puede proporcionar control de acceso adicional a la VPC especificando grupos de seguridad. 

Las siguientes recomendaciones pueden ayudarle a configurar la VPC de forma más eficaz y segura. Además, pueden ayudarlo a configurar un entorno que permita un escalado efectivo de los WorkSpaces grupos. Con un escalado efectivo de los WorkSpaces grupos, puede satisfacer la demanda actual y prevista de los WorkSpaces usuarios y, al mismo tiempo, evitar el uso innecesario de recursos y los costos asociados. 

**Configuración general de la VPC**
+ Asegúrese de que la configuración de su VPC pueda satisfacer las necesidades de escalado de sus WorkSpaces grupos. 

  A medida que desarrolle su plan de escalado de WorkSpaces grupos, tenga en cuenta que un usuario necesita uno WorkSpaces. Por lo tanto, el tamaño de sus WorkSpaces grupos determina la cantidad de usuarios que pueden transmitir simultáneamente. Por este motivo, para cada [tipo de instancia](instance-types.md) que vaya a utilizar, asegúrese de que la cantidad WorkSpaces que la VPC puede admitir sea superior a la cantidad de usuarios simultáneos previstos para el mismo tipo de instancia.
+ Asegúrese de que las cuotas de sus cuentas de WorkSpaces Pools (también denominadas límites) sean suficientes para satisfacer la demanda prevista. Para solicitar un aumento de cuota, puede utilizar la consola Service Quotas en [https://console.aws.amazon.com/servicequotas/](https://console.aws.amazon.com/servicequotas/). Para obtener información sobre las cuotas de WorkSpaces grupos predeterminadas, consulte[WorkSpaces Cuotas de Amazon](workspaces-limits.md). 
+ Si planea proporcionar acceso a Internet a sus WorkSpaces WorkSpaces grupos internos, le recomendamos que configure una VPC con dos subredes privadas para sus instancias de streaming y una puerta de enlace NAT en una subred pública.

  La puerta de enlace NAT permite que las subredes privadas se WorkSpaces conecten a Internet o a otros servicios. AWS Sin embargo, impide que Internet inicie una conexión con ellas. WorkSpaces Además, a diferencia de las configuraciones que utilizan la opción de **acceso a Internet predeterminado** para habilitar el acceso a Internet, la configuración de NAT admite más de 100 WorkSpaces. Para obtener más información, consulte [Configurar una VPC con subredes privadas y una puerta de enlace NAT](managing-network-internet-NAT-gateway.md).

**Interfaces de redes elásticas**
+ WorkSpaces Los grupos crean tantas interfaces de [red elásticas (interfaces](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ElasticNetworkInterfaces.html) de red) como la capacidad máxima deseada de sus WorkSpaces grupos. De forma predeterminada, el límite de interfaces de red por región es 5000. 

  Al planificar la capacidad para despliegues muy grandes, por ejemplo, miles de WorkSpaces, tenga en cuenta el número de instancias de Amazon EC2 que también se utilizan en la misma región.

**Subredes**
+ Si va a configurar más de una subred privada para la VPC, configure cada una en una zona de disponibilidad diferente. De este modo, aumenta la tolerancia a errores y puede ayudar a evitar problemas de falta de capacidad. Si utiliza dos subredes en la misma zona de disponibilidad, es posible que se quede sin direcciones IP, ya que los WorkSpaces grupos no utilizarán la segunda subred.
+ Asegúrese de que los recursos de red necesarios para las aplicaciones sean accesibles a través ambas subredes privadas. 
+ Configure cada una de las subredes privadas con una máscara de subred que permita suficientes direcciones IP de cliente para tener capacidad para el número máximo de usuarios simultáneos previstos. Además, permita direcciones IP adicionales para tener en cuenta el crecimiento previsto. Para obtener más información, consulte [Dimensionamiento de subredes y VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#vpc-sizing-ipv4) para. IPv4
+ Si utiliza una VPC con NAT, configure al menos una subred pública con una puerta de enlace NAT para acceder a Internet, preferiblemente dos. Configure las subredes públicas en las mismas zonas de disponibilidad donde residen las subredes privadas. 

  Para mejorar la tolerancia a errores y reducir la posibilidad de que se produzcan errores de capacidad insuficiente en las implementaciones de WorkSpaces grupos grandes, considere la posibilidad de ampliar la configuración de VPC a una tercera zona de disponibilidad. Incluya una subred privada, una subred pública y una puerta de enlace NAT en esta zona de disponibilidad adicional.

**Grupos de seguridad**
+ Utilice grupos de seguridad para proporcionar control de acceso adicional a la VPC. 

  Los grupos de seguridad que pertenecen a su VPC le permiten controlar el tráfico de red entre los WorkSpaces grupos, las instancias de streaming y los recursos de red que requieren las aplicaciones. Estos recursos pueden incluir otros AWS servicios, como Amazon RDS o Amazon FSx, servidores de licencias, servidores de bases de datos, servidores de archivos y servidores de aplicaciones.
+ Asegúrese de que los grupos de seguridad proporcionen acceso a los recursos de red que requieren las aplicaciones.

   Para obtener información general sobre los grupos de seguridad, consulte [Controlar el tráfico de sus AWS recursos mediante grupos de seguridad](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html) en la Guía del *usuario de Amazon VPC*.

# Configurar una VPC con subredes privadas y una puerta de enlace NAT
<a name="managing-network-internet-NAT-gateway"></a>

Si planea proporcionar acceso a Internet a sus WorkSpaces WorkSpaces grupos internos, le recomendamos que configure una VPC con dos subredes privadas para usted WorkSpaces y una puerta de enlace NAT en una subred pública. Puede crear y configurar una VPC nueva para utilizarla con una puerta de enlace NAT o agregar una puerta de enlace NAT a una VPC existente. Para obtener más recomendaciones de configuración de la VPC, consulte [Recomendaciones de configuración de VPC para grupos WorkSpaces](vpc-setup-recommendations.md).

La puerta de enlace NAT permite que las subredes privadas se WorkSpaces conecten a Internet o a otros AWS servicios, pero impide que Internet inicie una conexión con ellos. WorkSpaces Además, a diferencia de las configuraciones que utilizan la opción de **acceso a Internet predeterminado** para habilitar el acceso a Internet WorkSpaces, esta configuración no está limitada a 100. WorkSpaces

Para obtener más información acerca del uso de puertas de enlace NAT y esta configuración, consulte [Puertas de enlace NAT](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html) y [VPC con subredes privadas y públicas (NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenario2.html) en la *Guía del usuario de Amazon VPC*.

**Topics**
+ [Creación y configuración de una VPC nueva](create-configure-new-vpc-with-private-public-subnets-nat.md)
+ [Agregar una puerta de enlace NAT a una VPC existente](add-nat-gateway-existing-vpc.md)
+ [Habilitar el acceso a Internet para WorkSpaces las piscinas](managing-network-manual-enable-internet-access.md)

# Creación y configuración de una VPC nueva
<a name="create-configure-new-vpc-with-private-public-subnets-nat"></a>

En este tema se describe cómo utilizar el asistente de VPC para crear una VPC con una subred pública y una subred privada. Como parte de este proceso, el asistente crea una puerta de enlace de Internet y una puerta de enlace NAT. También crea una tabla de enrutamiento personalizada asociada con la subred pública y actualiza la tabla de enrutamiento principal asociada con la subred privada. La puerta de enlace NAT se creará automáticamente en la subred pública de su VPC.

Después de utilizar el asistente para crear la configuración inicial de la VPC, agregará una segunda subred privada. Para obtener más información acerca de esta configuración, consulte [VPC con subredes privadas y públicas (NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenario2.html) en la *Guía del usuario de Amazon VPC*.

**nota**  
Si ya tiene una VPC, complete los pasos descritos en [Agregar una puerta de enlace NAT a una VPC existente](add-nat-gateway-existing-vpc.md) en su lugar.

**Topics**
+ [Paso 1: asignación de una dirección IP elástica](#allocate-elastic-ip)
+ [Paso 2: creación de una VPC nueva](#vpc-with-private-and-public-subnets-nat)
+ [Paso 3: adición de una segunda subred privada](#vpc-with-private-and-public-subnets-add-private-subnet-nat)
+ [Paso 4: verificación y asignación de un nombre a las tablas de enrutamiento de la subred](#verify-name-route-tables)

## Paso 1: asignación de una dirección IP elástica
<a name="allocate-elastic-ip"></a>

Antes de crear la VPC, debe asignar una dirección IP elástica en su WorkSpaces región. Primero debe asignar una dirección IP elástica para usarla en la VPC y luego asociarla a la puerta de enlace NAT. Para obtener más información, consulte [Direcciones IP elásticas](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-eips.html) en la *Guía del usuario de Amazon VPC*.

**nota**  
Es posible que se apliquen cargos a las direcciones IP elásticas que utilice. Para obtener más información, consulte [Direcciones IP elásticas](https://docs.aws.amazon.com/ec2/pricing/on-demand/#Elastic_IP_Addresses) en la página de precios de Amazon EC2.

Complete los siguientes pasos si aún no tiene una dirección IP elástica. Si desea utilizar una dirección IP elástica existente, compruebe que no esté actualmente asociada a otra instancia o interfaz de red.

**Para asignar una dirección IP elástica**

1. Abra la consola de Amazon EC2 en [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. En el panel de navegación, en **Red y seguridad**, elige **Elastic IPs**.

1. Elija **Asignar nueva dirección** y, a continuación, elija **Asignar**.

1. Tome nota de la dirección IP elástica.

1. En la parte superior derecha del IPs panel **elástico**, haz clic en el icono X para cerrar el panel.

## Paso 2: creación de una VPC nueva
<a name="vpc-with-private-and-public-subnets-nat"></a>

Complete los siguientes pasos para crear una VPC nueva con una subred pública y una subred privada.

**Para crear una VPC nueva**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://docs.aws.amazon.com/vpc/).

1. En el panel de navegación, elija **Panel de VPC**.

1. Elija **Lanzar el asistente de VPC**.

1. En **Paso 1: selección de una configuración de VPC**, elija **VPC con subredes pública y privada** y, a continuación, elija **Seleccionar**.

1. En **Paso 2: VPC con subredes pública y privada**, configure la VPC como sigue:
   + Para el **bloque IPv4 CIDR**, especifique un bloque IPv4 CIDR para la VPC.
   + **Para el **bloque IPv6 CIDR**, mantenga el valor predeterminado, Sin bloque CIDR. IPv6 **
   + En **Nombre de la VPC**, escriba un nombre único para la VPC.

1. Configure la subred pública de la siguiente manera:
   + Para el CIDR **de la subred pública, especifique el bloque IPv4 CIDR** de la subred.
   + En **Zona de disponibilidad**, deje el valor predeterminado **Sin preferencia**.
   + En **Nombre de la subred pública**, escriba un nombre para la subred, como `WorkSpaces Public Subnet`.

1. Configure la primera subred privada de la siguiente manera:
   + Para el CIDR de **la subred privada, especifique el IPv4 bloque CIDR** de la subred. Tome nota del valor que especifique.
   + En **Zona de disponibilidad**, seleccione una zona específica y tome nota de la zona seleccionada.
   + En **Nombre de la subred privada**, escriba un nombre para la subred, como `WorkSpaces Private Subnet1`.
   + En los campos restantes, cuando corresponda, deje los valores predeterminados.

1. En **ID de asignación de IP elástica**, haga clic en el cuadro de texto y seleccione el valor que corresponda a la dirección IP elástica creada. Esta dirección se asigna a la puerta de enlace NAT. Si no tiene una dirección IP elástica, cree una mediante la consola de Amazon VPC en. [https://console.aws.amazon.com/vpc/](https://docs.aws.amazon.com/vpc/)

1. En **Puntos de conexión de servicio**, si se requiere un punto de conexión de Amazon S3 para el entorno, especifique uno. Se precisa un punto de conexión de S3 para proporcionar a los usuarios acceso a las [carpetas iniciales](persistent-storage.md#home-folders) o para habilitar la [persistencia de configuración de la aplicación](app-settings-persistence.md) para los usuarios de una red privada.

   Para especificar un punto de conexión de Amazon S3, haga lo siguiente:

   1. Elija **Agregar punto de conexión**.

   1. En **Servicio**, seleccione la entrada de la lista que termina en «s3" (la `com.amazonaws.` *region* `.s3` entrada que corresponde a la región en la que se está creando la VPC).

   1. En **Subred**, elija **subnet-2**.

   1. En **Política**, deje el valor predeterminado, **Acceso completo**.

1. En **Habilitar nombres de host de DNS**, deje el valor predeterminado, **Sí**.

1. En **Tenencia de hardware**, deje el valor **Predeterminado**.

1. Seleccione **Crear VPC**.

1. Tenga en cuenta que se necesitan varios minutos para configurar la VPC. Una vez creada la VPC, elija **Aceptar**.

## Paso 3: adición de una segunda subred privada
<a name="vpc-with-private-and-public-subnets-add-private-subnet-nat"></a>

En el paso anterior ([Paso 2: creación de una VPC nueva](#vpc-with-private-and-public-subnets-nat)), ha creado una VPC con una subred pública y una subred privada. Realice los siguientes pasos para agregar una segunda subred privada. Se recomienda agregar una segunda subred privada en una zona de disponibilidad diferente a la primera subred privada. 

1. En el panel de navegación, elija **Subredes**.

1. Seleccione la primera subred privada que creó en el paso anterior. En la pestaña **Descripción** debajo de la lista de subredes, tome nota de la zona de disponibilidad de esta subred.

1. En la parte superior izquierda del panel de subredes, elija **Crear subred**.

1. En **Etiqueta de nombre**, escriba un nombre para la subred privada, como `WorkSpaces Private Subnet2`. 

1. En **VPC**, seleccione la VPC que creó en el paso anterior.

1. En **Zona de disponibilidad**, seleccione una zona de disponibilidad distinta de la que está utilizando para la primera subred privada. La selección de una zona de disponibilidad diferente aumenta la tolerancia a errores y ayuda a evitar problemas de falta de capacidad.

1. Para el **bloque IPv4 CIDR**, especifique un rango de bloques CIDR único para la nueva subred. Por ejemplo, si su primera subred privada tiene un rango de bloques IPv4 CIDR de`10.0.1.0/24`, puede especificar un rango de bloques CIDR de `10.0.2.0/24` para la nueva subred privada.

1. Seleccione **Crear**.

1. Una vez creada la subred, elija **Cerrar**.

## Paso 4: verificación y asignación de un nombre a las tablas de enrutamiento de la subred
<a name="verify-name-route-tables"></a>

Después de crear y configurar la VPC, siga los pasos siguientes para especificar un nombre para las tablas de enrutamiento y comprobar que:
+ La tabla de enrutamiento asociada a la subred en la que reside su puerta de enlace NAT incluye una ruta que apunte el tráfico de Internet a una puerta de enlace de Internet. Esto garantiza que la puerta de enlace NAT pueda acceder a Internet.
+ Las tablas de enrutamiento asociadas a las subredes privadas se configuran para apuntar el tráfico de Internet a la puerta de enlace NAT. Esto permite a las instancias streaming de sus subredes privadas comunicarse con Internet.

1. En el panel de navegación, elija **Subredes** y seleccione la subred pública que ha creado; por ejemplo, `WorkSpaces Public Subnet`.

   1. En la pestaña **Tabla de enrutamiento**, elija el ID de la tabla de enrutamiento; por ejemplo, `rtb-12345678`.

   1. Seleccione la tabla de enrutamiento. En **Nombre**, elija el icono de edición (lápiz) e introduzca un nombre (por ejemplo, `workspaces-public-routetable`) y, a continuación, seleccione la marca de verificación para guardar el nombre.

   1. Con la tabla de enrutamiento pública aún seleccionada, en la pestaña **Rutas**, compruebe que haya una ruta para el tráfico local y otra que envía el resto del tráfico hacia la puerta de enlace de Internet de la VPC. En la tabla siguiente se describen estas dos rutas:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/create-configure-new-vpc-with-private-public-subnets-nat.html)

1. En el panel de navegación, elija **Subredes** y seleccione la primera subred privada que ha creado (por ejemplo, `WorkSpaces Private Subnet1`).

   1. En la pestaña **Tabla de enrutamiento**, elija el ID de la tabla de enrutamiento.

   1. Seleccione la tabla de enrutamiento. En **Nombre**, elija el icono de edición (lápiz) e introduzca un nombre (por ejemplo, `workspaces-private-routetable`) y, a continuación, elija la marca de verificación para guardar el nombre.

   1. En la pestaña **Rutas**, compruebe que la tabla de enrutamiento incluye las siguientes rutas:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/create-configure-new-vpc-with-private-public-subnets-nat.html)

1. En el panel de navegación, elija **Subredes** y seleccione la segunda subred privada que ha creado (por ejemplo, `WorkSpaces Private Subnet2`). 

1. En la pestaña **Tabla de enrutamiento**, compruebe que la tabla de enrutamiento es la tabla de enrutamiento privada (por ejemplo, `workspaces-private-routetable`). Si la tabla de enrutamiento es diferente, elija **Editar** y seleccione esta tabla de enrutamiento.

**Pasos siguientes**

Para permitir que sus WorkSpaces grupos WorkSpaces internos accedan a Internet, complete los pasos que se indican a continuación. [Habilitar el acceso a Internet para WorkSpaces las piscinas](managing-network-manual-enable-internet-access.md)

# Agregar una puerta de enlace NAT a una VPC existente
<a name="add-nat-gateway-existing-vpc"></a>

Si ya ha configurado una VPC, siga los pasos siguientes para agregar una puerta de enlace NAT a la VPC. Si necesita crear una VPC nueva, consulte [Creación y configuración de una VPC nueva](create-configure-new-vpc-with-private-public-subnets-nat.md).

**Para agregar una puerta de enlace NAT a un VPC existente**

1. Para crear la puerta de enlace NAT, complete los pasos de [Crear una puerta de enlace NAT](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-creating) en la *Guía del usuario de Amazon VPC*.

1. Compruebe que la VPC tiene al menos una subred privada. Recomendamos que especifique dos subredes privadas situadas en zonas de disponibilidad distintas para ofrecer alta disponibilidad y tolerancia a errores. Para obtener información sobre cómo crear una segunda subred privada, consulte [Paso 3: adición de una segunda subred privada](create-configure-new-vpc-with-private-public-subnets-nat.md#vpc-with-private-and-public-subnets-add-private-subnet-nat).

1. Actualice la tabla de enrutamiento asociada a una o varias de sus subredes privadas para que apunte el tráfico vinculado a Internet a la puerta de enlace NAT. Esto permite a las instancias streaming de sus subredes privadas comunicarse con Internet. Para ello, complete los pasos que se indican en [Actualización de la tabla de enrutamiento](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-create-route) de la *Guía del usuario de Amazon VPC*.

**Pasos siguientes**

Para permitir que tus usuarios de WorkSpaces In WorkSpaces Pools accedan a Internet, sigue los pasos que se indican a continuación. [Habilitar el acceso a Internet para WorkSpaces las piscinas](managing-network-manual-enable-internet-access.md)

# Habilitar el acceso a Internet para WorkSpaces las piscinas
<a name="managing-network-manual-enable-internet-access"></a>

Una vez que la puerta de enlace NAT esté disponible en una VPC, puede habilitar el acceso a Internet para sus WorkSpaces grupos. Puede habilitar el acceso a Internet al [crear el directorio de WorkSpaces grupos](https://docs.aws.amazon.com/workspaces/latest/adminguide/create-directory-pools.html). Elija la VPC con una puerta de enlace NAT al crear el directorio. A continuación, seleccione una subred privada para **Subred 1** y, si lo desea, otra subred privada para **Subred 2**. Si aún no tiene una subred privada en su VPC, puede que necesite crear una segunda subred privada.

Para probar su conectividad a Internet, inicie su WorkSpaces grupo y, a continuación, conéctese WorkSpace a uno del grupo y navegue por Internet.

# Configurar una VPC nueva o existente con una subred pública
<a name="managing-network-default-internet-access"></a>

Si creó su cuenta de Amazon Web Services después del 4 de diciembre de 2013, tiene una [VPC](default-vpc-with-public-subnet.md) predeterminada en cada AWS región que incluye subredes públicas predeterminadas. Sin embargo, es posible que desee crear su propia VPC no predeterminada o configurar una VPC existente para usarla con el directorio de su grupo. WorkSpaces En este tema se describe cómo configurar una VPC y una subred pública no predeterminadas para usarlas con grupos. WorkSpaces 

Después de configurar la VPC y la subred pública, puede proporcionar acceso a Internet a sus WorkSpaces WorkSpaces grupos internos habilitando la opción Acceso a **Internet predeterminado**. Al habilitar esta opción, WorkSpaces Pools habilita la conectividad a Internet al asociar una [dirección IP elástica](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/elastic-ip-addresses-eip.html) a la interfaz de red que se conecta desde la instancia de streaming a la subred pública. Una dirección IP elástica es una IPv4 dirección pública a la que se puede acceder desde Internet. Por este motivo, le recomendamos que, en su lugar, utilice una puerta de enlace NAT para proporcionar acceso a Internet a sus WorkSpaces grupos WorkSpaces internos. Además, cuando el **acceso a Internet predeterminado** está activado, WorkSpaces se admiten un máximo de 100. Si la implementación debe admitir más de 100 usuarios simultáneos, utilice la [configuración de puerta de enlace NAT](managing-network-internet-NAT-gateway.md) en su lugar.

Para obtener más información, consulte los pasos en [Configurar una VPC con subredes privadas y una puerta de enlace NAT](managing-network-internet-NAT-gateway.md). Para obtener más recomendaciones de configuración de la VPC, consulte [Recomendaciones de configuración de VPC para grupos WorkSpaces](vpc-setup-recommendations.md).

**Topics**
+ [Paso 1: configuración de una VPC con una subred pública](#vpc-with-public-subnet)
+ [Paso 2: habilite el acceso a Internet predeterminado para sus WorkSpaces piscinas](#managing-network-enable-default-internet-access)

## Paso 1: configuración de una VPC con una subred pública
<a name="vpc-with-public-subnet"></a>

Puede configurar su propia VPC no predeterminada con una subred pública mediante uno de los métodos siguientes:
+ [Crear una nueva VPC con una única subred pública](#new-vpc-with-public-subnet)
+ [Configurar una VPC existente](#existing-vpc-with-public-subnet)

### Crear una nueva VPC con una única subred pública
<a name="new-vpc-with-public-subnet"></a>

Cuando utiliza el asistente para VPC para crear una VPC nueva, el asistente crea una puerta de enlace de Internet y una tabla de enrutamiento personalizada que está asociada a la subred pública. La tabla de enrutamiento dirige todo el tráfico destinado a una dirección fuera de la VPC a la puerta de enlace de Internet. Para obtener más información acerca de esta configuración, consulte [VPC con una única subred pública](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenario1.html) en la *Guía del usuario de Amazon VPC*.

1. Complete los pasos del [Paso 1: creación de la VPC](https://docs.aws.amazon.com/vpc/latest/userguide/getting-started-ipv4.html#getting-started-create-vpc) en la *Guía del usuario de Amazon VPC* para crear la VPC.

1. Para permitir el acceso WorkSpaces a Internet, complete los pasos que se indican a continuación[Paso 2: habilite el acceso a Internet predeterminado para sus WorkSpaces piscinas](#managing-network-enable-default-internet-access).

### Configurar una VPC existente
<a name="existing-vpc-with-public-subnet"></a>

Si desea utilizar una VPC existente que no tiene una subred pública, puede agregarle una nueva subred pública. Además de una subred pública, también debe tener una puerta de enlace de Internet asociada a la VPC y una tabla de enrutamiento que dirija todo el tráfico destinado a una dirección fuera de la VPC a la puerta de enlace de Internet. Para configurar estos componentes, siga los pasos siguientes.

1. Para agregar una subred pública, siga los pasos descritos en [Creación de una subred en la VPC](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#AddaSubnet). Use la VPC existente que planea usar con WorkSpaces Pools.

   Si la VPC está configurada para admitir el IPv6 direccionamiento, aparece la lista de **bloqueos de IPv6 CIDR.** Seleccione **No asignar Ipv6**.

1. Para crear y asociar una puerta de enlace de Internet a la VPC, complete los pasos descritos en [Creación y asociación de una puerta de enlace de Internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html#Add_IGW_Attach_Gateway). 

1. Para configurar la subred de modo que dirija el tráfico de Internet a través de la puerta de enlace de Internet, siga los pasos que se describen en [Crear una tabla de enrutamiento personalizada](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html#Add_IGW_Routing). En el paso 5, para **Destination**, utilice IPv4 format ()`0.0.0.0/0`.

1. Para permitir que tus creadores de imágenes WorkSpaces y tú accedan a Internet, sigue los pasos que se indican a continuación[Paso 2: habilite el acceso a Internet predeterminado para sus WorkSpaces piscinas](#managing-network-enable-default-internet-access).

## Paso 2: habilite el acceso a Internet predeterminado para sus WorkSpaces piscinas
<a name="managing-network-enable-default-internet-access"></a>

Puede habilitar el acceso a Internet al [crear el directorio WorkSpaces de grupos](https://docs.aws.amazon.com/workspaces/latest/adminguide/create-directory-pools.html). Elija la VPC con una subred pública al crear el directorio. A continuación, seleccione una subred pública para **Subred 1** y, si lo desea, otra subred pública para **Subred 2**.

Para probar su conectividad a Internet, inicie su WorkSpaces grupo y, a continuación, conéctese WorkSpace a uno del grupo y navegue por Internet.

# Utilizar la VPC, la subred pública y el grupo de seguridad predeterminados
<a name="default-vpc-with-public-subnet"></a>

Su cuenta de Amazon Web Services, si se creó después del 4 de diciembre de 2013, tiene una VPC predeterminada en cada región. AWS La VPC predeterminada incluye una subred pública predeterminada en cada zona de disponibilidad y una puerta de enlace de Internet asociada a la VPC. La VPC también incluye un grupo de seguridad predeterminado. Si eres nuevo en los WorkSpaces grupos y quieres empezar a usar el servicio, puedes mantener la VPC y el grupo de seguridad predeterminados seleccionados al crear un WorkSpaces grupo. A continuación, seleccione al menos una subred predeterminada.

**nota**  
Si su cuenta de Amazon Web Services se creó antes del 4 de diciembre de 2013, debe crear una nueva VPC o configurar una existente para usarla con Pools. WorkSpaces Le recomendamos que configure manualmente una VPC con dos subredes privadas para sus WorkSpaces grupos y una puerta de enlace NAT en una subred pública. Para obtener más información, consulte [Configurar una VPC con subredes privadas y una puerta de enlace NAT](managing-network-internet-NAT-gateway.md). También puede configurar una VPC no predeterminada con una subred pública. Para obtener más información, consulte [Configurar una VPC nueva o existente con una subred pública](managing-network-default-internet-access.md).

Puede habilitar el acceso a Internet al [crear el directorio del WorkSpaces grupo](https://docs.aws.amazon.com/workspaces/latest/adminguide/create-directory-pools.html).

Debe elegir la VPC predeterminada al crear el directorio. El nombre de VPC predeterminado usa el siguiente formato:. `vpc-` *vpc-id* ` (No_default_value_Name)`

A continuación, seleccione una subred pública predeterminada para la **subred 1** y, si lo desea, otra subred pública predeterminada para la **subred 2**. Los nombres de subred predeterminados utilizan el siguiente formato:. `subnet-` *subnet-id* ` | (` *IPv4 CIDR block* `) | Default in` *availability-zone*

Puede probar su conectividad a Internet iniciando su WorkSpaces grupo, y luego conectándose a un WorkSpace grupo y navegando por Internet.

# Configure la autorización de FedRAMP o el cumplimiento de las normas SRG del DoD para los grupos WorkSpaces
<a name="fips-encryption-pools"></a>

Para cumplir con el [Programa federal de gestión de riesgos y autorizaciones (FedRAMP](https://aws.amazon.com/compliance/fedramp/)) o [la Guía de requisitos de seguridad de la informática en la nube (SRG) del Departamento de Defensa (DoD)](https://aws.amazon.com/compliance/dod/), debe configurar WorkSpaces Amazon Pools para que utilicen el cifrado de puntos finales de los estándares federales de procesamiento de información (FIPS) a nivel de directorio. También debe utilizar una AWS región de EE. UU. que cuente con la autorización de FedRAMP o que cumpla con las normas SRG del DoD.

El nivel de autorización de FedRAMP (moderado o alto) o el nivel de impacto SRG del DoD (2, 4 o 5) depende de la AWS región de EE. UU. en la que se utilice Amazon. WorkSpaces Para conocer los niveles de autorización de FedRAMP y conformidad con DoD SRG que se aplican a cada región, consulte [Servicios de AWS en el ámbito del programa de conformidad](https://aws.amazon.com/compliance/services-in-scope/).

**Requisitos de**
+ El directorio WorkSpaces Pools debe configurarse para usar el modo validado por **FIPS 140-2** para el cifrado de puntos finales.
**nota**  
Para usar la configuración del **modo validado FIPS 140-2**, asegúrese de lo siguiente:  
El directorio de WorkSpaces grupos es uno de los siguientes:  
 Nuevo y no asociado a un grupo
Asociado a un grupo existente que se encuentra en estado DETENIDO
El directorio del grupo tiene [https://docs.aws.amazon.com/workspaces/latest/api/API_ModifyStreamingProperties.html](https://docs.aws.amazon.com/workspaces/latest/api/API_ModifyStreamingProperties.html) establecido en TCP.
+ Debe crear sus WorkSpaces grupos en una [AWS región de EE. UU. que cuente con la autorización de FedRAMP o que](https://aws.amazon.com/compliance/services-in-scope/) cumpla con las normas SRG del DoD.
+ Los usuarios deben acceder a los mismos WorkSpaces desde una de las siguientes aplicaciones cliente: WorkSpaces 
  + macOS: 5.20.0 o posterior
  + Windows: 5.20.0 o posterior
  + Acceso web

**Para utilizar el cifrado de punto de enlace de FIPS**

1. [Abra la WorkSpaces consola en la versión 2/home. https://console.aws.amazon.com/workspaces/](https://console.aws.amazon.com/workspaces/v2/home)

1. En el panel de navegación, elija **Directorios** y, a continuación, el directorio que desea utilizar para la autorización FedRAMP y la conformidad con DoD SRG.

1. En la página **Detalles del directorio**, elija el directorio que desee configurar para el modo de cifrado FIPS.

1. En la sección **Cifrado de punto de conexión**, elija **Editar** y, a continuación, seleccione **Modo validado FIPS 140-2**.

1. Seleccione **Save**.

# Uso de puntos de enlace de VPC de Amazon S3 para funciones de grupos WorkSpaces
<a name="managing-network-vpce-iam-policy"></a>

Al habilitar la persistencia de la configuración de la aplicación para un WorkSpaces grupo o las carpetas principales para un WorkSpaces directorio de grupos, WorkSpaces utiliza la VPC que especifique para su directorio para proporcionar acceso a los buckets de Amazon Simple Storage Service (Amazon S3). Para habilitar el acceso de WorkSpaces Pools a su punto de enlace S3 privado, adjunte la siguiente política personalizada a su punto de enlace de VPC para Amazon S3. Para obtener más información sobre los puntos de conexión de Amazon S3, consulte [Puntos de conexión de VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html) y [Puntos de conexión para Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html) en la *Guía del usuario de Amazon VPC*.

------
#### [ Commercial Regiones de AWS ]

Utilice la siguiente política para los recursos de las Regiones de AWS comerciales.

------
#### [ AWS GovCloud (US) Regions ]

Utilice la siguiente política para los recursos de las AWS GovCloud (US) Regions comerciales.

------

# Conexiones a su VPC para grupos WorkSpaces
<a name="pools-port-requirements"></a>

Para habilitar la conectividad de los WorkSpaces grupos con los recursos de la red e Internet, configúrelos de la WorkSpaces siguiente manera.

## Interfaces de red
<a name="pools-network-interfaces"></a>

Cada uno WorkSpaces de los WorkSpaces grupos tiene las siguientes interfaces de red:
+ La interfaz de red del cliente proporciona conectividad a los recursos de la VPC, así como a Internet, y se utiliza para unirlos WorkSpaces a su directorio.
+ La interfaz de red de administración está conectada a una red de administración de WorkSpaces piscinas segura. Se utiliza para la transmisión interactiva del contenido WorkSpace al dispositivo del usuario y para permitir que WorkSpaces Pools lo gestione WorkSpace.

WorkSpaces Pools selecciona la dirección IP para la interfaz de red de administración del siguiente rango de direcciones IP privadas: 198.19.0.0/16. No utilice este rango para el CIDR de su VPC ni empareje su VPC con otra VPC con este rango, ya que esto podría crear un conflicto y provocar que no se pueda acceder a ella. WorkSpaces Además, no modifique ni elimine ninguna de las interfaces de red conectadas a una WorkSpace, ya que esto también podría provocar que quedara inalcanzable. WorkSpace

## Rango de direcciones IP de interfaz de red de administración y puertos
<a name="pools-management_ports"></a>

El rango de direcciones IP de interfaz de red de administración es 198.19.0.0/16. Todos los puertos siguientes deben estar abiertos en la interfaz de red de administración: WorkSpaces
+ TCP de entrada en el puerto 8300. Se utiliza para establecer la conexión de streaming.
+ TCP de salida en el puerto 3128. Se utiliza para la administración de WorkSpaces.
+ TCP de entrada en los puertos 8000 y 8443. Se utilizan para la gestión del WorkSpaces.
+ UDP de entrada en el puerto 8300. Se utiliza para establecer la conexión de streaming por UDP.

Limite el rango de entrada de la interfaz de red de administración a 198.19.0.0/16.

**nota**  
Para los WorkSpaces grupos de Windows BYOL de Amazon DCV, los rangos de direcciones IP 10.0.0.0/8 se utilizan en todas las regiones. AWS Estos rangos de IP se suman al bloque CIDR /16 que elija para administrar el tráfico en sus grupos BYOL. WorkSpaces 

En circunstancias normales, WorkSpaces Pools configura correctamente estos puertos para usted. WorkSpaces Si hay instalado algún software de seguridad o firewall WorkSpace que bloquee alguno de estos puertos, es WorkSpaces posible que no funcione correctamente o que no se pueda acceder a ellos.

No lo desactive. IPv6 Si la desactiva IPv6, WorkSpaces las agrupaciones no funcionarán correctamente. Para obtener información sobre la configuración IPv6 de Windows, consulte la [Guía de configuración IPv6 en Windows para usuarios avanzados](https://support.microsoft.com/en-us/help/929852/guidance-for-configuring-ipv6-in-windows-for-advanced-users).

**nota**  
WorkSpaces Los grupos dependen de los servidores DNS de la VPC para devolver una respuesta de dominio inexistente (NXDOMAIN) para los nombres de dominio locales que no existen. Esto permite que la interfaz de red WorkSpaces administrada por Pools se comunique con los servidores de administración.   
Cuando crea un directorio con Simple AD, AWS Directory Service crea dos controladores de dominio que también funcionan como servidores DNS en su nombre. Como los controladores de dominio no proporcionan la respuesta de NXDOMAIN, no se pueden usar con WorkSpaces grupos.

## Puertos de interfaz de red del cliente
<a name="primary_ports"></a>
+ Para conectividad a Internet, los siguientes puertos deben estar abiertos a todos los destinos. Si utiliza un grupo de seguridad personalizado o modificado, es necesario añadir las reglas manualmente. Para obtener más información, consulte [Reglas del grupo de seguridad](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#SecurityGroupRules) en la *Guía del usuario de Amazon VPC*. 
  + TCP 80 (HTTP)
  + TCP 443 (HTTPS)
  + UDP 4195
+ Si lo une WorkSpaces a un directorio, los siguientes puertos deben estar abiertos entre su VPC de WorkSpaces grupos y sus controladores de directorio. 
  + TCP/UDP 53: DNS
  + TCP/UDP 88: autenticación de Kerberos
  + UDP 123: NTP
  + TCP 135: RPC
  + UDP 137-138: Netlogon
  + TCP 139: Netlogon
  + TCP/UDP 389: LDAP
  + TCP/UDP 445: SMB
  + TCP 1024-65535: puertos dinámicos para RPC

  Para obtener una lista completa de puertos, consulte [Requisitos de puertos de Active Directory y Active Directory Domain Services](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd772723(v=ws.10)) en la documentación de Microsoft.
+ Todos WorkSpaces requieren que el puerto 80 (HTTP) esté abierto a la dirección `169.254.169.254` IP para permitir el acceso al servicio de metadatos de EC2. El rango de direcciones IP `169.254.0.0/16` está reservado para el uso del servicio WorkSpaces Pools para el tráfico de administración. Si no se excluye este rango, podrían producirse problemas de transmisión.

# Conexiones de usuario a WorkSpaces grupos
<a name="user-connections-to-appstream2"></a>

Los usuarios pueden conectarse a WorkSpaces In WorkSpaces Pools a través del terminal de Internet público predeterminado. 

De forma predeterminada, WorkSpaces Pools está configurado para enrutar las conexiones de streaming a través de la Internet pública. La conectividad a Internet es necesaria para autenticar a los usuarios y ofrecer los activos web que WorkSpaces Pools necesita para funcionar. Para que este tráfico sea posible, debe permitir los dominios enumerados en [Dominios permitidos](allowed-domains.md).

**nota**  
Para la autenticación de los usuarios, WorkSpaces Pools es compatible con el lenguaje de marcado de aserciones de seguridad 2.0 (SAML 2.0). Para obtener más información, consulte [Configurar SAML 2.0 y crear un directorio de WorkSpaces grupos](create-directory-pools.md).

En los temas siguientes se proporciona información sobre cómo habilitar las conexiones de los usuarios a los grupos. WorkSpaces 

**Topics**
+ [Recomendaciones de ancho de banda](bandwidth-recommendations-user-connections.md)
+ [Requisitos de dirección IP y puerto para dispositivos de usuario de WorkSpaces grupos](pools-client-application-ports.md)
+ [Dominios permitidos](allowed-domains.md)

# Recomendaciones de ancho de banda
<a name="bandwidth-recommendations-user-connections"></a>

Para optimizar el rendimiento de los WorkSpaces grupos, asegúrese de que el ancho de banda y la latencia de su red puedan satisfacer las necesidades de sus usuarios. 

WorkSpaces Pools utiliza la visualización en la nube de escritorio (DCV) de NICE para permitir a los usuarios acceder a sus aplicaciones y transmitirlas de forma segura en diferentes condiciones de red. Para ayudar a reducir el consumo de ancho de banda, NICE DCV utiliza codificación y compresión de vídeo basada en H.264. Durante las sesiones de streaming, la salida visual de las aplicaciones se comprime y se transmite en streaming a los usuarios en una secuencia de píxeles cifrada mediante AES-256 a través de HTTPS. Una vez que se recibe la secuencia, se descifra y se emite en la pantalla local del usuario. Cuando los usuarios interactúan con sus aplicaciones de streaming, el protocolo NICE DCV captura su entrada y la devuelve a las aplicaciones de streaming a través de HTTPS. 

Las condiciones de la red se miden constantemente durante este proceso y la información se envía a los WorkSpaces grupos. WorkSpaces Pools responde de forma dinámica a las condiciones cambiantes de la red cambiando la codificación de vídeo y audio en tiempo real para producir una transmisión de alta calidad para una amplia variedad de aplicaciones y condiciones de red.

El ancho de banda y la latencia recomendados para WorkSpaces las sesiones de streaming de Pools dependen de la carga de trabajo. Por ejemplo, un usuario que utiliza aplicaciones que realizan un uso intensivo de gráficos llevar a cabo tareas de diseño asistido por computadora requerirá más ancho de banda y menor latencia que otro que utilice aplicaciones de productividad empresarial para escribir documentos. 

La siguiente tabla proporciona orientación sobre el ancho de banda de red y la latencia recomendados para las sesiones de streaming de WorkSpaces Pools en función de las cargas de trabajo habituales.

Para cada carga de trabajo, la recomendación del ancho de banda se basa en lo que un usuario individual podría necesitar en un momento dado. La recomendación no refleja el ancho de banda necesario para un rendimiento sostenido. Cuando tan solo cambian algunos píxeles en la pantalla durante una sesión de streaming, el rendimiento sostenido es mucho menor. Aunque los usuarios que tienen menos ancho de banda disponible pueden utilizar aplicaciones de streaming, la velocidad de fotogramas o la calidad de imagen podrían no ser óptimas.


| Carga de trabajo | Description (Descripción) | Ancho de banda recomendado por usuario | Latencia máxima recomendada de ida y vuelta | 
| --- | --- | --- | --- | 
| Aplicaciones de línea de negocio | Aplicaciones de redacción de documentos, utilidades de análisis de base de datos | 2 Mbps | < 150 ms | 
| Aplicaciones de gráficos | Aplicaciones de modelado y diseño asistido por computadora, edición fotográfica y de vídeo | 5 Mbps | < 100 ms | 
| Alta fidelidad | Conjuntos de datos de alta fidelidad o asignaciones en varios monitores | 10 Mbps | < 50 ms | 

# Requisitos de dirección IP y puerto para dispositivos de usuario de WorkSpaces grupos
<a name="pools-client-application-ports"></a>

WorkSpaces Los dispositivos de los usuarios de Pools requieren acceso saliente a los puertos 443 (TCP) y 4195 (UDP) cuando utilizan los puntos finales de Internet y, si utilizan servidores DNS para la resolución de nombres de dominio, el puerto 53 (UDP).
+ El puerto 443 se utiliza para la comunicación HTTPS entre los dispositivos de los usuarios de WorkSpaces Pools y WorkSpaces cuando se utilizan los puntos finales de Internet. Normalmente, cuando los usuarios finales navegan por la web durante las sesiones de streaming, el navegador web selecciona de forma aleatoria un puerto de origen en el intervalo alto para tráfico de streaming. Debe asegurarse de que el tráfico de retorno a este puerto esté permitido.
+ El puerto 4195 se utiliza para la comunicación UDP HTTPS entre los dispositivos de los usuarios de WorkSpaces Pools y WorkSpaces cuando se utilizan los puntos finales de Internet. Esto solo se admite actualmente en el cliente nativo de Windows. UDP no es compatible si se utilizan puntos de conexión de VPC.
+ El puerto 53 se utiliza para la comunicación entre los dispositivos de los usuarios de WorkSpaces Pools y sus servidores DNS. El puerto debe estar abierto a las direcciones IP para sus servidores DNS de modo que los nombres de dominio público se puedan resolver. Si no se utilizan servidores DNS para resolver nombres de dominio, este puerto es opcional. 

# Dominios permitidos
<a name="allowed-domains"></a>

Para que los usuarios de WorkSpaces Pools puedan obtener acceso a WorkSpaces, debe permitir varios dominios de la red desde la que los usuarios inician el acceso a los escritorios de WorkSpaces. Para obtener más información, consulte [Requisitos de dirección IP y puerto para WorkSpaces Personal](workspaces-port-requirements.md). Tenga en cuenta que en la página se especifica que se aplica a WorkSpaces Personal, pero también a WorkSpaces Pools.

**nota**  
Si su bucket de S3 tiene un carácter “.” en el nombre, el dominio utilizado es `https://s3.<aws-region>.amazonaws.com`. Si su bucket de S3 no tiene un carácter “.” en el nombre, el dominio utilizado es `https://<bucket-name>.s3.<aws-region>.amazonaws.com`.