Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Seguridad de la infraestructura en AWS Billing Conductor
<a name="infrastructure-security"></a>

Como servicio gestionado, AWS Billing Conductor está protegido por la seguridad de la red AWS global. Para obtener información sobre los servicios AWS de seguridad y cómo se AWS protege la infraestructura, consulte [Seguridad AWS en la nube](https://aws.amazon.com/security/). Para diseñar su AWS entorno utilizando las mejores prácticas de seguridad de la infraestructura, consulte [Protección de infraestructuras en un marco](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) de buena * AWS arquitectura basado en el pilar de la seguridad*.

Utiliza las llamadas a la API AWS publicadas para acceder a Billing Conductor a través de la red. Los clientes deben admitir lo siguiente:
+ Seguridad de la capa de transporte (TLS). Exigimos TLS 1.2 y recomendamos TLS 1.3.
+ Conjuntos de cifrado con confidencialidad directa total (PFS) como DHE (Ephemeral Diffie-Hellman) o ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La mayoría de los sistemas modernos como Java 7 y posteriores son compatibles con estos modos.

# Acceda AWS Billing Conductor mediante un punto final de interfaz (AWS PrivateLink)
<a name="vpc-interface-endpoints"></a>

Puede usarlo AWS PrivateLink para crear una conexión privada entre su VPC y. AWS Billing Conductor Puede acceder a Billing Conductor como si estuviera en su VPC, sin el uso de una puerta de enlace a Internet, un dispositivo NAT, una conexión VPN o Direct Connect una conexión. Las instancias de su VPC no necesitan direcciones IP públicas para acceder a Billing Conductor.

Esta conexión privada se establece mediante la creación de un *punto de conexión de interfaz* alimentado por AWS PrivateLink. Creamos una interfaz de red de punto de conexión en cada subred habilitada para el punto de conexión de interfaz. Se trata de interfaces de red administradas por el solicitante que sirven como punto de entrada para el tráfico destinado a Billing Conductor.

*Para obtener más información, consulte [Acceso directo AWS PrivateLink en la Servicios de AWS guía](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html).AWS PrivateLink *

## Consideraciones para el conductor de facturación
<a name="vpc-endpoint-considerations"></a>

Antes de configurar un punto final de interfaz para Billing Conductor, consulte [las consideraciones](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints) de la *AWS PrivateLink guía*.

Billing Conductor permite realizar llamadas a todas sus acciones de API a través del punto final de la interfaz.

Las políticas de puntos finales de VPC no son compatibles con Billing Conductor. De forma predeterminada, se permite el acceso total a Billing Conductor a través del punto final de la interfaz. Como alternativa, puede asociar un grupo de seguridad a las interfaces de red de los puntos finales para controlar el tráfico hacia Billing Conductor a través del punto final de la interfaz.

## Cree un punto final de interfaz para Billing Conductor
<a name="vpc-endpoint-create"></a>

Puede crear un punto final de interfaz para Billing Conductor mediante la consola de Amazon VPC o el AWS Command Line Interface ()AWS CLI. Para obtener más información, consulte [Creación de un punto de conexión de interfaz](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) en la *Guía de AWS PrivateLink *.

Cree un punto final de interfaz para Billing Conductor con el siguiente nombre de servicio:

```
com.amazonaws.region.service-name
```

Si habilita el DNS privado para el punto final de la interfaz, puede realizar solicitudes de API a Billing Conductor utilizando su nombre de DNS regional predeterminado. Por ejemplo, `service-name.us-east-1.amazonaws.com`.

## Creación de una política de puntos de conexión para el punto de conexión de interfaz
<a name="vpc-endpoint-policy"></a>

Una política de punto de conexión es un recurso de IAM que puede adjuntar al punto de conexión de su interfaz. La política de punto final predeterminada permite el acceso total a Billing Conductor a través del punto final de la interfaz. Para controlar el acceso permitido a Billing Conductor desde su VPC, adjunte una política de punto final personalizada al punto final de la interfaz.

Una política de punto de conexión especifica la siguiente información:
+ Las entidades principales que pueden llevar a cabo acciones (Cuentas de AWS, usuarios de IAM y roles de IAM).
+ Las acciones que se pueden realizar.
+ El recurso en el que se pueden realizar las acciones.

Para obtener más información, consulte [Control del acceso a los servicios con políticas de punto de conexión](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) en la *Guía del usuario de AWS PrivateLink *.

**Ejemplo: política de punto final de VPC para las acciones de Billing Conductor**  
El siguiente es un ejemplo de una política de un punto de conexión personalizado. Al adjuntar esta política al punto final de la interfaz, se concede acceso a las acciones de Billing Conductor enumeradas a todos los directores de todos los recursos.

```
{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": "billingconductor:*",
         "Resource":"*"
      }
   ]
}
```