# Seguridad de la infraestructura en Athena
<a name="security-infrastructure"></a>

Como se trata de un servicio administrado, está protegido por la seguridad de red global de AWS. Para obtener información sobre los servicios de seguridad de AWS y cómo AWSprotege la infraestructura, consulte [Seguridad en la nube de AWS](https://aws.amazon.com/security/). Para diseñar su entorno de AWS con las prácticas recomendadas de seguridad de infraestructura, consulte [Protección de la infraestructura](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) en *Portal de seguridad de AWS Well‐Architected Framework*.

Puede utilizar llamadas a la API publicadas en AWS para acceder a través de la red. Los clientes deben admitir lo siguiente:
+ Seguridad de la capa de transporte (TLS). Exigimos TLS 1.2 y recomendamos TLS 1.3.
+ Conjuntos de cifrado con confidencialidad directa total (PFS) como DHE (Ephemeral Diffie-Hellman) o ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La mayoría de los sistemas modernos como Java 7 y posteriores son compatibles con estos modos.

Utilice políticas de política de IAM para restringir el acceso a las operaciones de Athena. Siempre que utilice políticas de IAM, asegúrese de seguir las prácticas recomendadas de IAM. Para obtener más información, consulte la sección [Prácticas recomendadas de seguridad de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la *Guía del usuario de IAM*.

Las [políticas administradas](security-iam-awsmanpol.md) por Athena son fáciles de utilizar y se actualizan automáticamente con las acciones necesarias a medida que el servicio evoluciona. Las políticas administradas por el cliente e insertadas le permiten ajustar las políticas especificando más acciones de Athena detalladas en la política. Conceda un acceso adecuado a la ubicación de Amazon S3 de los datos. Para obtener información detallada y casos sobre cómo otorgar acceso a Simple Storage Service (Amazon S3), consulte [Explicaciones de ejemplo: Administración de acceso](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-walkthroughs-managing-access.html) en la *Guía para desarrolladores de Amazon Simple Storage Service*. Para obtener más información y un ejemplo de las acciones de Amazon S3 que debe permitir, consulte el ejemplo de política de bucket en [Acceso entre cuentas](cross-account-permissions.md). 

**Topics**
+ [Conexión a Amazon Athena mediante un punto de conexión de VPC de tipo interfaz](interface-vpc-endpoint.md)

# Conexión a Amazon Athena mediante un punto de conexión de VPC de tipo interfaz
<a name="interface-vpc-endpoint"></a>

Puede mejorar la posición de seguridad de su VPC mediante el uso de un [punto de conexión de VPC de interfaz (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html) y un [punto de conexión de VPC de AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/vpc-endpoint.html) en su nube privada virtual (VPC). Un punto de conexión de VPC de interfaz mejora la seguridad, ya que le permite controlar a qué destinos se puede llegar desde dentro de su VPC. Cada punto de conexión de VPC está representado por una o varias [Interfaces de red elásticas](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) (ENI) con direcciones IP privadas en las subredes de la VPC.

El punto de conexión de VPC de tipo interfaz conecta directamente la VPC con Athena sin necesidad de puerta de enlace de Internet, dispositivos NAT, conexiones de VPN ni conexiones de Direct Connect. Las instancias de la VPC no necesitan direcciones IP públicas para comunicarse con la API de Athena.

Para utilizar Athena a través de la VPC, debe conectarse desde una instancia que está dentro de la VPC o conectar su red privada a la VPC a través de una red privada virtual (VPN) de Amazon o Direct Connect. Para obtener más información sobre Amazon VPN, consulte [Conexiones VPN](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html) en la *Guía del usuario de Amazon Virtual Private Cloud*. Para obtener información sobre AWS Direct Connect, consulte [Creación de una conexión](https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-connection.html) en la *Guía del usuario de Direct Connect*.

Athena admite puntos de conexión de VPC en todas las Regiones de AWS en las que estén disponibles [Amazon VPC](https://docs.aws.amazon.com/general/latest/gr/rande.html#vpc_region) y [Athena](https://docs.aws.amazon.com/general/latest/gr/rande.html#athena).

Puede crear un punto de conexión de VPC de tipo interfaz para conectarse a Athena mediante Consola de administración de AWS o comandos de AWS Command Line Interface (AWS CLI). Para obtener más información, consulte [Creación de un punto de conexión de interfaz](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint).

Después de crear un punto de conexión de VPC de tipo interfaz, si habilita nombres de host de [DNS privados](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-private-dns) para el punto de conexión, el punto de conexión predeterminado de Athena (https://athena.*Región*.amazonaws.com) se resuelve en el punto de conexión de VPC.

Si no habilita nombres de host de DNS privados, Amazon VPC proporciona un nombre de punto de conexión de DNS que puede utilizar en el siguiente formato:

```
VPC_Endpoint_ID.athena.Region.vpce.amazonaws.com
```

Para obtener más información, consulte [Puntos de conexión de VPC de tipo interfaz (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html) en la *Guía del usuario de Amazon VPC*.

Athena admite la realización de llamadas a todas sus [acciones de API](https://docs.aws.amazon.com/athena/latest/APIReference/API_Operations.html) dentro de su VPC.

## Crear una política de punto de conexión de VPC para Athena
<a name="api-private-link-policy"></a>

Puede crear una política para los puntos de conexión de VPC de Amazon para Athena a fin de especificar restricciones como las siguientes:
+ **Entidad principal**: la entidad principal que puede realizar acciones.
+ **Acciones**: las acciones que se pueden realizar.
+ **Recursos**: los recursos en los que se pueden llevar a cabo las acciones.
+ **Solo identidades de confianza**: utilice la condición `aws:PrincipalOrgId` para restringir el acceso solo a las credenciales que forman parte de su organización de AWS. Esto puede ayudar a evitar el acceso no previsto por parte de entidades principales no deseadas. 
+ **Solo recursos de confianza**: utilice la condición `aws:ResourceOrgId` para evitar el acceso a recursos no deseados. 
+ **Solo identidades y recursos de confianza**: cree una política combinada para un punto de conexión de VPC que ayude a evitar el acceso a entidades principales y recursos no deseados. 

Para obtener más información, consulte [Control del acceso a los servicios con puntos de conexión de VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) en la *Guía del usuario de Amazon VPC* y el [Apéndice 2: ejemplos de políticas de puntos de conexión de VPC](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/appendix-2-vpc-endpoint-policy-examples.html) en el documento técnico de AWS *Creación de un perímetro de datos en AWS*.

**Example Política de punto de conexión de VPC**  
En el siguiente ejemplo se permiten las solicitudes por identidades de la organización a los recursos de la organización y se permiten las solicitudes por parte de las entidades principales del servicio de AWS.    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowRequestsByOrgsIdentitiesToOrgsResources",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalOrgID": "my-org-id",
                    "aws:ResourceOrgID": "my-org-id"
                }
            }
        },
        {
            "Sid": "AllowRequestsByAWSServicePrincipals",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "aws:PrincipalIsAWSService": "true"
                }
            }
        }
    ]
}
```

Siempre que utilice políticas de IAM, compruebe que sigue las mejores prácticas IAM. Para más información, consulte [Prácticas recomendadas de seguridad en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la *Guía del usuario de IAM*.

## Acerca de los puntos de conexión de VPC en subredes compartidas
<a name="interface-vpc-endpoint-shared-subnets"></a>

No puede crear, describir, modificar ni eliminar puntos de conexión de VPC en subredes que se compartan con usted. No obstante, puede usar los puntos de conexión de VPC en las subredes que se compartan con usted. Para obtener información sobre el uso compartido de VPC, consulte [Compartir su VPC con otras cuentas](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html) en la *Guía del usuario de Amazon VPC*.