AWS Cloud9 ya no está disponible para nuevos clientes. Los clientes existentes de AWS Cloud9 pueden seguir utilizando el servicio con normalidad. [Más información](https://aws.amazon.com/blogs/devops/how-to-migrate-from-aws-cloud9-to-aws-ide-toolkits-or-aws-cloudshell/)

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Configuración de VPC para entornos de desarrollo AWS Cloud9
<a name="vpc-settings"></a>

Todos los entornos de AWS Cloud9 desarrollo asociados a una Amazon Virtual Private Cloud (Amazon VPC) deben cumplir requisitos de VPC específicos. Estos entornos incluyen entornos EC2 y entornos SSH que están asociados a instancias de Nube de AWS procesamiento que se ejecutan dentro de una VPC. Los ejemplos incluyen instancias de Amazon EC2 y Amazon Lightsail.

## Requisitos de Amazon VPC para AWS Cloud9
<a name="vpc-settings-requirements"></a>

La Amazon VPC que AWS Cloud9 utiliza requiere la siguiente configuración. Si ya conoce estos requisitos y solo desea crear una instancia de VPC compatible, vaya directamente a [Creación de una VPC y otros recursos de la VPC](#vpc-settings-create-vpc).

Utilice la siguiente lista de comprobación para confirmar que la VPC cumple **todos** los siguientes requisitos.
+ La VPC puede estar en el mismo entorno Cuenta de AWS y Región de AWS que el entorno de AWS Cloud9 desarrollo o la VPC puede ser una VPC compartida en un entorno diferente al del entorno. Cuenta de AWS Sin embargo, la VPC debe estar en el mismo lugar que Región de AWS el entorno. Para obtener más información sobre Amazon VPCs for an Región de AWS, consulte[Vea una lista VPCs de Región de AWS](#vpc-settings-requirements-list-vpcs). Para obtener más instrucciones sobre cómo crear una Amazon VPC para AWS Cloud9, consulte. [Creación de una VPC y otros recursos de la VPC](#vpc-settings-create-vpc) Para obtener información sobre cómo trabajar con Amazon compartido VPCs, consulte [Trabajar con Amazon compartido VPCs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html) en la Guía del *usuario de Amazon VPC*.
+ Una VPC debe tener una subred pública. Una subred es pública cuando su tráfico se dirige a una puerta de enlace de Internet. Para obtener una lista de las subredes de una VPC de Amazon, consulte [Ver una lista de subredes de una VPC](#vpc-settings-requirements-subnets-view).
+ Si su entorno está accediendo a su instancia de EC2 directamente a través de SSH, la instancia solo se puede lanzar en una subred pública. Para obtener información sobre cómo confirmar si una subred es pública, consulte [Confirmar si una subred es pública](#vpc-settings-requirements-subnet-public).
+ Si va a acceder a una [Instancia de Amazon EC2 sin entrada](ec2-ssm.md) mediante Systems Manager, la instancia se puede lanzar en una subred pública o privada.
+ Si utiliza una subred pública, adjunte una puerta de enlace de Internet a la VPC. Esto es para que el AWS Systems Manager Agent (SSM Agent) de la instancia se pueda conectar a Systems Manager.
+ Si utiliza una subred privada, permita que la instancia de la subred se comunique con internet mediante el alojamiento de una gateway NAT en una subred pública. Para obtener más información acerca de la visualización o el cambio de la configuración de una puerta de enlace de Internet, consulte [Ver o cambiar la configuración de una gateway de internet](#vpc-settings-requirements-internet-gateway-view)
+ La subred pública debe tener una tabla de enrutamiento con un conjunto mínimo de rutas. Para saber cómo confirmar si una subred tiene una tabla de enrutamiento, consulte [Confirmar si una subred tiene una tabla de enrutamiento](#vpc-settings-requirements-subnet-route-table). Para obtener información sobre cómo crear una tabla de enrutamiento, consulte [Crear una tabla de enrutamiento](#vpc-settings-requirements-route-table-create).
+ Los grupos de seguridad asociados a la VPC (o a la instancia de Nube de AWS procesamiento, según la arquitectura) deben permitir un conjunto mínimo de tráfico entrante y saliente. Para obtener una lista de los grupos de seguridad de una Amazon VPC, consulte [Ver una lista de los grupos de seguridad de una VPC](#vpc-settings-requirements-security-groups-vpc-view). Para obtener más información sobre la creación de un grupo de seguridad en una Amazon VPC, consulte [Crear un grupo de seguridad en una VPC](#vpc-settings-requirements-security-group-vpc-create).
+ Para una capa adicional de seguridad, si la VPC tiene una ACL de red, esta debe permitir un conjunto mínimo de tráfico entrante y saliente. Para confirmar si una Amazon VPC tiene al menos una red de ACL, consulte [Confirmar si una VPC tiene al menos una ACL de red](#vpc-settings-requirements-network-acl-confirm). Para obtener más información acerca de la creación de una ACL de red, consulte [Create a network ACL (Crear una ACL de red)](#vpc-settings-requirements-network-acl-create).
+ Si el entorno de desarrollo [usa SSM para acceder a una instancia de EC2](ec2-ssm.md), asegúrese de que la subred pública en la que se lanza la instancia asigna una dirección IP pública a la instancia. Para ello, debe habilitar la opción de asignación automática de una dirección IP pública para la subred pública y configurarla en `Yes`. Puede habilitarla en la subred pública antes de crear un entorno AWS Cloud9 en la página de configuración de la subred. Para conocer los pasos necesarios para modificar la configuración de IP de asignación automática en una subred pública, consulte [Modificar el atributo de IPv4 direccionamiento público de su subred](https://docs.aws.amazon.com/vpc/latest/userguide/subnet-public-ip.html) en la Guía del usuario de Amazon *VPC*. Para obtener más información acerca de la configuración de subredes públicas y privadas, consulte [Configuración de una subred como pública o privada](#public-private-subnet). 

**nota**  
[Para realizar los siguientes procedimientos, inicie sesión Consola de administración de AWS y utilice las credenciales de administrador para abrir la consola Amazon VPC (/vpc) o la consola Amazon EC2 ([https://console.aws.amazon.com/ec2](https://console.aws.amazon.com/vpc)). https://console.aws.amazon.com](https://console.aws.amazon.com/ec2)  
Si utiliza la AWS CLI o la AWS CloudShell, le recomendamos que configure la AWS CLI o AWS CloudShell con las credenciales de un administrador en la suya. Cuenta de AWS Si no puede hacerlo, consulte con su Cuenta de AWS administrador.

### Vea una lista VPCs de Región de AWS
<a name="vpc-settings-requirements-list-vpcs"></a>

Para usar la consola Amazon VPC, en la barra de AWS navegación, selecciona la Región de AWS que AWS Cloud9 crea el entorno. A continuación, elija **Your VPCs** en el panel de navegación.

Para utilizar el AWS CLI o el AWS CloudShell, ejecute el **`describe-vpcs`**comando Amazon EC2, por ejemplo, de la siguiente manera.

```
aws ec2 describe-vpcs --output table --query 'Vpcs[*].VpcId' --region us-east-2
```

En el comando anterior, `us-east-2` sustitúyalo por el Región de AWS que AWS Cloud9 crea el entorno. Para ejecutar el comando anterior en Windows, reemplace las comillas simples (' ') por comillas dobles (" "). Para ejecutar el comando anterior con el `aws-shell`, omita `aws`.

El resultado contiene la lista de VPC IDs.

### Ver una lista de subredes de una VPC
<a name="vpc-settings-requirements-subnets-view"></a>

Para usar la consola de Amazon VPC, selecciona **Your VPCs** en el panel de navegación. Anote el ID de la VPC de la columna **VPC ID** (ID de VPC). A continuación, elija **Subnets (Subredes)** en el panel de navegación y busque subredes que contengan ese ID en la columna **VPC**.

Para utilizar el AWS CLI o el`aws-shell`, ejecute el **`describe-subnets`**comando Amazon EC2, por ejemplo, de la siguiente manera.

```
aws ec2 describe-subnets --output table --query 'Subnets[*].[SubnetId,VpcId]' --region us-east-2
```

En el comando anterior, `us-east-2` sustitúyalo por el Región de AWS que contiene las subredes. Para ejecutar el comando anterior en Windows, reemplace las comillas simples (' ') por comillas dobles (" "). Para ejecutar el comando anterior con el `aws-shell`, omita `aws`.

En la salida, busque las subredes que coincidan con el ID de la VPC.

### Confirmar si una subred es pública
<a name="vpc-settings-requirements-subnet-public"></a>

**importante**  
Supongamos que está lanzando la instancia de EC2 de su entorno en una subred privada. Asegúrese de que se permite el tráfico saliente para esa instancia para que pueda conectarse al servicio SSM. Para las subredes privadas, el tráfico saliente se configura normalmente a través de una gateway de traducción de direcciones de red (NAT) o de puntos de enlace de la VPC. (Una puerta de enlace NAT requiere una subred pública).  
Supongamos que elige puntos de conexión de VPC en lugar de una puerta de enlace NAT para acceder a SSM. Es posible que las actualizaciones automáticas y los parches de seguridad de la instancia no funcionen si dependen del acceso a Internet. Puede usar otras aplicaciones, como [AWS Systems Manager Patch Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager.html), para administrar cualquier actualización de software que pueda necesitar su entorno. AWS Cloud9 el software se actualizará con normalidad.

Para usar la consola de Amazon VPC, elija **Subnets** (Subredes) en el panel de navegación. Seleccione la casilla situada junto a la subred que desee AWS Cloud9 utilizar. En la pestaña **Route Table** (Tabla de enrutamiento), si hay una entrada en la columna **Target** (Destino) que comience por **igw-**, la subred es pública.

Para utilizar el AWS CLI o`aws-shell`, ejecute el comando Amazon EC2 **`describe-route-tables`**.

```
aws ec2 describe-route-tables --output table --query 'RouteTables[*].Routes[*].{GatewayIds:GatewayId}' --region us-east-2 --filters Name=association.subnet-id,Values=subnet-12a3456b
```

En el comando anterior, `us-east-2` sustitúyalo por el Región de AWS que contiene la subred y sustitúyelo por el ID `subnet-12a3456b` de subred. Para ejecutar el comando anterior en Windows, reemplace las comillas simples (' ') por comillas dobles (" "). Para ejecutar el comando anterior con el `aws-shell`, omita `aws`.

En la salida, si hay al menos un resultado que comience por `igw-`, la subred es pública.

En la salida, si no hay resultados, la tabla de enrutamiento podría estar asociada con la VPC en lugar de estarlo con la subred. Para confirmarlo, ejecute el comando ** `describe-route-tables` ** de Amazon EC2 para la VPC relacionada con la subred en lugar de la propia subred, por ejemplo, como se indica a continuación.

```
aws ec2 describe-route-tables --output table --query 'RouteTables[*].Routes[*].{GatewayIds:GatewayId}' --region us-east-1 --filters Name=vpc-id,Values=vpc-1234ab56
```

En el comando anterior, `us-east-2` sustitúyalo por el Región de AWS que contiene la VPC y sustitúyalo por el ID `vpc-1234ab56` de VPC. Para ejecutar el comando anterior en Windows, reemplace las comillas simples (' ') por comillas dobles (" "). Para ejecutar el comando anterior con el `aws-shell`, omita `aws`.

En la salida, si hay al menos un resultado que comience por `igw-`, la VPC contiene una gateway de internet.

### Ver o cambiar la configuración de una gateway de internet
<a name="vpc-settings-requirements-internet-gateway-view"></a>

Para usar la consola de Amazon VPC, elija **Internet Gateways (Gateways de Internet)** en el panel de navegación. Seleccione la casilla situada junto a la gateway de Internet. Para ver la configuración, fíjese en cada una de las pestañas. Para cambiar una configuración de una pestaña, elija **Edit (Editar)**, si corresponde, y siga las instrucciones en pantalla.

Para usar AWS CLI o `aws-shell` para ver la configuración, ejecute el comando Amazon EC2 **`describe-internet-gateways`**.

```
aws ec2 describe-internet-gateways --output table --region us-east-2 --internet-gateway-id igw-1234ab5c
```

En el comando anterior, `us-east-2` sustitúyalo por el Región de AWS que contiene la puerta de enlace a Internet y sustitúyalo por `igw-1234ab5c` el ID de la puerta de enlace a Internet. Para ejecutar el comando anterior con el `aws-shell`, omita `aws`.

### Cree un puerta de enlace de Internet
<a name="vpc-settings-requirements-internet-gateway-create"></a>

Para usar la consola de Amazon VPC, elija **Internet Gateways (Gateways de Internet)** en el panel de navegación. Elija **Create Internet Gateway (Crear gateway de Internet)** y siga las instrucciones en pantalla.

Para utilizar el AWS CLI o`aws-shell`, ejecute el comando Amazon EC2 **`create-internet-gateway`**.

```
aws ec2 create-internet-gateway --output text --query 'InternetGateway.InternetGatewayId' --region us-east-2
```

En el comando anterior, `us-east-2` sustitúyalo por el Región de AWS que contiene la nueva puerta de enlace a Internet. Para ejecutar el comando anterior en Windows, reemplace las comillas simples (' ') por comillas dobles (" "). Para ejecutar el comando anterior con el `aws-shell`, omita `aws`.

La salida contiene el ID de la nueva gateway de Internet. 

### Adjuntar un puerta de enlace de Internet a una VPC
<a name="vpc-settings-requirements-internet-gateway-attach"></a>

Para usar la consola de Amazon VPC, elija **Internet Gateways (Gateways de Internet)** en el panel de navegación. Seleccione la casilla situada junto a la gateway de Internet. Elija **Actions, Attach to VPC (Acciones, Asociar a VPC)**, si está disponible, y siga las instrucciones en pantalla.

Para utilizar el AWS CLI o el`aws-shell`, ejecute el **`attach-internet-gateway`**comando Amazon EC2, por ejemplo, de la siguiente manera.

```
aws ec2 attach-internet-gateway --region us-east-2 --internet-gateway-id igw-a1b2cdef --vpc-id vpc-1234ab56
```

En el comando anterior, `us-east-2` sustitúyalo por el Región de AWS que contiene la puerta de enlace a Internet. Reemplace `igw-a1b2cdef` por el ID de puerta de enlace de Internet. Y reemplace `vpc-1234ab56` por el ID de VPC. Para ejecutar el comando anterior con el `aws-shell`, omita `aws`.

### Confirmar si una subred tiene una tabla de enrutamiento
<a name="vpc-settings-requirements-subnet-route-table"></a>

Para usar la consola de Amazon VPC, elija **Subnets** (Subredes) en el panel de navegación. Seleccione la casilla situada junto a la subred pública de la VPC que AWS Cloud9 desee utilizar. En la pestaña **Route table** (Tabla de enrutamiento), si hay un valor para **Route Table** (Tabla de enrutamiento), la subred pública tiene una tabla de enrutamiento.

Para utilizar el AWS CLI o`aws-shell`, ejecute el comando Amazon EC2 **`describe-route-tables`**.

```
aws ec2 describe-route-tables --output table --query 'RouteTables[*].Associations[*].{RouteTableIds:RouteTableId}' --region us-east-2 --filters Name=association.subnet-id,Values=subnet-12a3456b
```

En el comando anterior, `us-east-2` sustitúyalo por el Región de AWS que contiene la subred pública y sustitúyelo por el `subnet-12a3456b` ID de subred pública. Para ejecutar el comando anterior en Windows, reemplace las comillas simples (' ') por comillas dobles (" "). Para ejecutar el comando anterior con el `aws-shell`, omita `aws`.

Si hay valores en la salida, la subred pública tiene al menos una tabla de ruteo.

En la salida, si no hay resultados, la tabla de enrutamiento podría estar asociada con la VPC en lugar de estarlo con la subred. Para confirmarlo, ejecute el comando ** `describe-route-tables` ** de Amazon EC2 para la VPC relacionada con la subred en lugar de la propia subred, por ejemplo, como se indica a continuación.

```
aws ec2 describe-route-tables --output table --query 'RouteTables[*].Associations[*].{RouteTableIds:RouteTableId}' --region us-east-2 --filters Name=vpc-id,Values=vpc-1234ab56
```

En el comando anterior, `us-east-2` sustitúyalo por el Región de AWS que contiene la VPC y sustitúyalo por el ID `vpc-1234ab56` de VPC. Para ejecutar el comando anterior en Windows, reemplace las comillas simples (' ') por comillas dobles (" "). Para ejecutar el comando anterior con el `aws-shell`, omita `aws`.

En la salida, si hay al menos un resultado, la VPC tiene al menos una tabla de enrutamiento.

### Adjuntar una tabla de enrutamiento a una subred
<a name="vpc-settings-requirements-route-table-attach"></a>

Para usar la consola de Amazon VPC, elija **Route Tables** (Tablas de enrutamiento) en el panel de navegación. Seleccione la casilla situada junto a la tabla de ruteo que desea asociar. En la pestaña **Subnet Associations (Asociaciones de subred)**, elija **Edit (Editar)**, active la casilla situada junto a la subred a la que desea asociarla y, a continuación, elija **Save (Guardar)**.

Para utilizar el AWS CLI o el`aws-shell`, ejecute el **`associate-route-table`**comando Amazon EC2, por ejemplo, de la siguiente manera.

```
aws ec2 associate-route-table --region us-east-2 --subnet-id subnet-12a3456b --route-table-id rtb-ab12cde3
```

En el comando anterior, `us-east-2` sustitúyalo por el Región de AWS que contiene la tabla de rutas. Reemplace `subnet-12a3456b` por el ID de subred. Y reemplace `rtb-ab12cde3` por el ID de la tabla de enrutamiento. Para ejecutar el comando anterior con el `aws-shell`, omita `aws`.

### Crear una tabla de enrutamiento
<a name="vpc-settings-requirements-route-table-create"></a>

Para usar la consola de Amazon VPC, elija **Route Tables** (Tablas de enrutamiento) en el panel de navegación. Elija **Create Route Table (Crear tabla de ruteo de Internet)** y luego siga las instrucciones en pantalla.

Para utilizar el AWS CLI o el`aws-shell`, ejecute el **`create-route-table`**comando Amazon EC2, por ejemplo, de la siguiente manera.

```
aws ec2 create-route-table --output text --query 'RouteTable.RouteTableId' --region us-east-2 --vpc-id vpc-1234ab56
```

En el comando anterior, `us-east-2` sustitúyalo por el Región de AWS que contiene la nueva tabla de enrutamiento y `vpc-1234ab56` sustitúyelo por el ID de VPC. Para ejecutar el comando anterior en Windows, reemplace las comillas simples (' ') por comillas dobles (" "). Para ejecutar el comando anterior con el `aws-shell`, omita `aws`.

La salida contiene el ID de la nueva tabla de ruteo.

### Ver o cambiar la configuración de una tabla de enrutamiento
<a name="vpc-settings-requirements-route-table-view"></a>

Para usar la consola de Amazon VPC, elija **Route Tables** (Tablas de enrutamiento) en el panel de navegación. Seleccione la casilla de verificación que hay junto a la tabla de ruteo. Para ver la configuración, fíjese en cada una de las pestañas. Para cambiar una configuración de una pestaña, elija **Edit (Editar)** y luego siga las instrucciones en pantalla.

Para usar AWS CLI o `aws-shell` para ver la configuración, ejecute el **`describe-route-tables`**comando Amazon EC2, por ejemplo, de la siguiente manera.

```
aws ec2 describe-route-tables --output table --region us-east-2 --route-table-ids rtb-ab12cde3
```

En el comando anterior, `us-east-2` sustitúyalo por el Región de AWS que contiene la tabla de rutas y sustitúyalo por `rtb-ab12cde3` el ID de la tabla de rutas. Para ejecutar el comando anterior con el `aws-shell`, omita `aws`.

### Configuración mínima sugerida de la tabla de rutas para AWS Cloud9
<a name="vpc-settings-requirements-route-table-settings"></a>


****  

|  **Destino**  |  **Destino**  |  **Estado**  |  **Propagado**  | 
| --- | --- | --- | --- | 
|  CIDR-BLOCK  |  local  |  Activo  |  No  | 
|  0.0.0.0/0  |  `igw-INTERNET-GATEWAY-ID`  |  Activo  |  No  | 

En esta configuración, `CIDR-BLOCK` es el bloque de CIDR de la subred y `igw-INTERNET-GATEWAY-ID ` es el ID de una gateway de internet compatible.

### Ver una lista de los grupos de seguridad de una VPC
<a name="vpc-settings-requirements-security-groups-vpc-view"></a>

Para usar la consola de Amazon VPC, elija **Security Groups** (Grupos de seguridad) en el panel de navegación. En el cuadro **Search Security Groups** (Buscar grupos de seguridad), ingrese el ID o el nombre de la VPC y, a continuación, pulse `Enter`. Los grupos de seguridad de esa VPC aparecen en la lista de resultados de búsqueda.

Para utilizar el AWS CLI o`aws-shell`, ejecute el comando Amazon EC2 **`describe-security-groups`**.

```
aws ec2 describe-security-groups --output table --query 'SecurityGroups[*].GroupId' --region us-east-2 --filters Name=vpc-id,Values=vpc-1234ab56
```

En el comando anterior, `us-east-2` sustitúyalo por el Región de AWS que contiene la VPC y sustitúyalo por el ID `vpc-1234ab56` de VPC. Para ejecutar el comando anterior en Windows, reemplace las comillas simples (' ') por comillas dobles (" "). Para ejecutar el comando anterior con el `aws-shell`, omita `aws`.

El resultado contiene la lista de grupos de seguridad IDs de esa VPC.

### Vea una lista de grupos de seguridad de una instancia de Nube de AWS procesamiento
<a name="vpc-settings-requirements-security-groups-instance-view"></a>

Para usar la consola de Amazon EC2, expanda **Instances** (Instancias) en el panel de navegación, y, a continuación, elija **Instances** (Instancias). En la lista de instancias, active la casilla situada junto a la instancia. Los grupos de seguridad de esa instancia aparecen en la pestaña **Description** (Descripción) junto a **Security groups** (Grupos de seguridad).

Para utilizar el AWS CLI o el`aws-shell`, ejecute el **`describe-security-groups`**comando Amazon EC2, por ejemplo, de la siguiente manera.

```
aws ec2 describe-instances --output table --query 'Reservations[*].Instances[*].NetworkInterfaces[*].Groups[*].GroupId' --region us-east-2 --instance-ids i-12a3c456d789e0123
```

En el comando anterior, `us-east-2` sustitúyalo por el Región de AWS que contiene la instancia y `i-12a3c456d789e0123` sustitúyelo por el ID de la instancia. Para ejecutar el comando anterior en Windows, reemplace las comillas simples (' ') por comillas dobles (" "). Para ejecutar el comando anterior con el `aws-shell`, omita `aws`.

El resultado contiene la lista de grupos de seguridad IDs de esa instancia.

### Ver o cambiar la configuración de un grupo de seguridad en una VPC
<a name="vpc-settings-requirements-security-group-vpc-view"></a>

Para usar la consola de Amazon VPC, elija **Security Groups** (Grupos de seguridad) en el panel de navegación. Seleccione la casilla de verificación situada junto al grupo de seguridad. Para ver la configuración, fíjese en cada una de las pestañas. Para cambiar una configuración de una pestaña, elija **Edit (Editar)**, si corresponde, y siga las instrucciones en pantalla.

Para usar AWS CLI o `aws-shell` para ver la configuración, ejecute el **`describe-security-groups`**comando Amazon EC2, por ejemplo, de la siguiente manera.

```
aws ec2 describe-security-groups --output table --region us-east-2 --group-ids sg-12a3b456
```

En el comando anterior, `us-east-2` sustitúyalo por el Región de AWS que contiene la instancia y `sg-12a3b456` sustitúyelo por el ID del grupo de seguridad. Para ejecutar el comando anterior con el `aws-shell`, omita `aws`.

### Vea o cambie la configuración de un grupo de seguridad de instancias de Nube de AWS cómputo
<a name="vpc-settings-requirements-security-group-instance-view"></a>

Para usar la consola de Amazon EC2, expanda **Instances** (Instancias) en el panel de navegación, y, a continuación, elija **Instances** (Instancias). En la lista de instancias, marque la casilla situada junto a la instancia. En la pestaña **Description (Descripción)**, en **Security groups (Grupos de seguridad)**, elija el grupo de seguridad. Consulte cada una de las pestañas. Para cambiar una configuración de una pestaña, elija **Edit (Editar)**, si corresponde, y siga las instrucciones en pantalla.

Para usar AWS CLI o `aws-shell` para ver la configuración, ejecute el **`describe-security-groups`**comando Amazon EC2, por ejemplo, de la siguiente manera.

```
aws ec2 describe-security-groups --output table --region us-east-2 --group-ids sg-12a3b456
```

En el comando anterior, `us-east-2` sustitúyalo por el Región de AWS que contiene la instancia y `sg-12a3b456` sustitúyelo por el ID del grupo de seguridad. Para ejecutar el comando anterior con el `aws-shell`, omita `aws`.

### Configuración mínima de tráfico entrante y saliente para AWS Cloud9
<a name="vpc-settings-requirements-traffic-settings"></a>

**importante**  
Es posible que el grupo de seguridad de una instancia no tenga una regla de entrada. Si es así, esto significa que no se permitirá que el tráfico que procede de otro host entre en la instancia. Para obtener información sobre el uso de instancias de EC2 sin entrada, consulte [Acceso a instancias EC2 sin entrada con AWS Systems Manager](ec2-ssm.md).
+  **Entrada**: Todas las direcciones IP que usan SSH a través del puerto 22. Sin embargo, puede restringir estas direcciones IP solo a las que AWS Cloud9 las utilice. Para obtener más información, consulte [Intervalos de direcciones IP SSH entrantes para AWS Cloud9](ip-ranges.md).
**nota**  
Para los entornos EC2 que se crean a partir del 31 de julio de 2018, AWS Cloud9 utiliza grupos de seguridad para restringir las direcciones IP entrantes mediante SSH a través del puerto 22. Estas direcciones IP entrantes son específicamente las direcciones que utiliza. AWS Cloud9 Para obtener más información, consulte [Intervalos de direcciones IP SSH entrantes para AWS Cloud9](ip-ranges.md).
+  **Entrante ( ACLs solo de red)**: para los entornos EC2 y los entornos SSH asociados a las instancias de Amazon EC2 que ejecutan Amazon Linux o Ubuntu Server, todas las direcciones IP utilizan TCP a través de los puertos 32768-61000. Para obtener más información, así como los rangos de puertos de otros tipos de instancias de Amazon EC2, consulte [Puertos efímeros](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ACLs.html#VPC_ACLs_Ephemeral_Ports) en la *Guía del usuario de Amazon VPC*.
+  **Salida**: todos los orígenes de tráfico con cualquier protocolo y puerto.

Puede configurar este comportamiento en el nivel del grupo de seguridad. Para un nivel adicional de seguridad, también puede utilizar una ACL de red. Para obtener más información, consulte [Comparación de grupos de seguridad y redes ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html#VPC_Security_Comparison) en la Guía del *usuario de Amazon VPC*.

Por ejemplo, para añadir reglas de entrada y salida a un grupo de seguridad, configure dichas reglas tal y como se indica a continuación.




**Reglas de entrada**  

|  **Tipo**  |  **Protocolo**  |  **Rango de puerto**  |  **Origen**  | 
| --- | --- | --- | --- | 
|  SSH (22)  |  TCP (6)  |  22  |  0.0.0.0 (pero consulte la siguiente nota y los [Intervalos de direcciones IP SSH entrantes para AWS Cloud9](ip-ranges.md).)  | 

**nota**  
Para los entornos de EC2 que se creen a partir del 31 de julio de 2018, AWS Cloud9 agrega una regla de entrada para restringir las direcciones IP entrantes que utilizan SSH a través del puerto 22. Esto se limita específicamente a las direcciones que utiliza. AWS Cloud9 Para obtener más información, consulte [Intervalos de direcciones IP SSH entrantes para AWS Cloud9](ip-ranges.md).




**Reglas de salida**  

|  **Tipo**  |  **Protocolo**  |  **Rango de puerto**  |  **Origen**  | 
| --- | --- | --- | --- | 
|  Todo el tráfico  |  ALL  |  ALL  |  0.0.0.0/0  | 

Si también decide añadir reglas de entrada y salida a una ACL de red, configure dichas reglas tal y como se indica a continuación.




**Reglas de entrada**  

|  **Regla n.º**  |  **Tipo**  |  **Protocolo**  |  **Rango de puerto**  |  **Origen**  |  **Permitir/Denegar**  | 
| --- | --- | --- | --- | --- | --- | 
|  100  |  SSH (22)  |  TCP (6)  |  22  |  0.0.0.0 (pero consulte los [Intervalos de direcciones IP SSH entrantes para AWS Cloud9](ip-ranges.md).)  |  PERMITIR  | 
|  200  |  Regla TCP personalizada  |  TCP (6)  |  32768-61000 (para las instancias de Amazon Linux y Ubuntu Server. Para otros tipos de instancias, consulte [Puertos efímeros](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ACLs.html#VPC_ACLs_Ephemeral_Ports)).  |  0.0.0.0/0  |  PERMITIR  | 
|   `*`   |  Todo el tráfico  |  ALL  |  ALL  |  0.0.0.0/0  |  DENY  | 




**Reglas de salida**  

|  **Regla n.º**  |  **Tipo**  |  **Protocolo**  |  **Rango de puerto**  |  **Origen**  |  **Permitir/Denegar**  | 
| --- | --- | --- | --- | --- | --- | 
|  100  |  Todo el tráfico  |  ALL  |  ALL  |  0.0.0.0/0  |  PERMITIR  | 
|   `*`   | Todo el tráfico |  ALL  |  ALL  |  0.0.0.0/0  |  DENY  | 

Para obtener más información sobre los grupos de seguridad y la red ACLs, consulte lo siguiente en la Guía del *usuario de Amazon VPC*.
+  [Seguridad](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html) 
+  [Grupos de seguridad de su VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html) 
+  [Red ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ACLs.html) 

### Crear un grupo de seguridad en una VPC
<a name="vpc-settings-requirements-security-group-vpc-create"></a>

Para utilizar las consolas de Amazon VPC o Amazon EC2, realice una de las siguientes acciones:
+ En la consola de Amazon VPC, elija **Security Groups** (Grupos de seguridad) en el panel de navegación. Elija **Create Security Group** (Crear grupo de seguridad) y luego siga las instrucciones en pantalla.
+ En la consola de Amazon EC2, expanda **Network & Security** (Red y seguridad) en el panel de navegación y, a continuación, elija **Security Groups** (Grupos de seguridad). Elija **Create Security Group** (Crear grupo de seguridad) y luego siga las instrucciones en pantalla.

Para utilizar el AWS CLI o el`aws-shell`, ejecute el **`create-security-group`**comando Amazon EC2, por ejemplo, de la siguiente manera.

```
aws ec2 create-security-group --region us-east-2 --vpc-id vpc-1234ab56
```

En el comando anterior, `us-east-2` sustitúyalo por el Región de AWS que contiene la VPC y sustitúyalo por el ID `vpc-1234ab56` de VPC. Para ejecutar el comando anterior con el `aws-shell`, omita `aws`.

### Confirmar si una VPC tiene al menos una ACL de red
<a name="vpc-settings-requirements-network-acl-confirm"></a>

Para usar la consola de Amazon VPC, selecciona **Your VPCs** en el panel de navegación. Selecciona la casilla situada junto a la VPC que quieres AWS Cloud9 usar. En la pestaña **Summary** (Resumen), si hay un valor para **Network ACL** (ACL de red), la VPC tiene al menos una ACL de red.

Para utilizar el AWS CLI o`aws-shell`, ejecute el comando Amazon EC2 **`describe-network-acls`**.

```
aws ec2 describe-network-acls --output table --query 'NetworkAcls[*].Associations[*].NetworkAclId' --region us-east-2 --filters Name=vpc-id,Values=vpc-1234ab56
```

En el comando anterior, `us-east-2` sustitúyalo por el Región de AWS que contiene la VPC y sustitúyalo por el ID `vpc-1234ab56` de VPC. Para ejecutar el comando anterior en Windows, reemplace las comillas simples (' ') por comillas dobles (" "). Para ejecutar el comando anterior con el `aws-shell`, omita `aws`.

Si la salida contiene al menos una entrada en la lista, la VPC tiene al menos una ACL de red.

### Ver una lista de redes ACLs para una VPC
<a name="vpc-settings-requirements-network-acls-view"></a>

Para usar la consola Amazon VPC, selecciona **Red ACLs** en el panel de navegación. En el ACLs cuadro **Buscar en la red**, introduzca el nombre o el ID de la VPC y, a continuación, pulse. `Enter` La red ACLs de esa VPC aparece en la lista de resultados de búsqueda.

Para utilizar el AWS CLI o`aws-shell`, ejecute el comando Amazon EC2 **`describe-network-acls`**.

```
aws ec2 describe-network-acls --output table --query 'NetworkAcls[*].Associations[*].NetworkAclId' --region us-east-2 --filters Name=vpc-id,Values=vpc-1234ab56
```

En el comando anterior, `us-east-2` sustitúyalo por el Región de AWS que contiene la VPC y sustitúyalo por el ID `vpc-1234ab56` de VPC. Para ejecutar el comando anterior en Windows, reemplace las comillas simples (' ') por comillas dobles (" "). Para ejecutar el comando anterior con el `aws-shell`, omita `aws`.

El resultado contiene una lista de redes ACLs para esa VPC.

### Ver o cambiar la configuración de una ACL de red
<a name="vpc-settings-requirements-network-acl-view"></a>

Para usar la consola Amazon VPC, selecciona **Red ACLs** en el panel de navegación. Active la casilla que hay junto a la ACL de red. Para ver la configuración, fíjese en cada una de las pestañas. Para cambiar una opción de configuración de una pestaña, elija **Edit** (Editar), si corresponde, y siga las instrucciones en pantalla.

Para usar AWS CLI o `aws-shell` para ver la configuración, ejecute el comando Amazon EC2 **`describe-network-acls`**.

```
aws ec2 describe-network-acls --output table --region us-east-2 --network-acl-ids acl-1234ab56
```

En el comando anterior, `us-east-2` sustitúyalo por el Región de AWS que contiene la ACL de red y sustitúyalo por `acl-1234ab56` el ID de ACL de red. Para ejecutar el comando anterior con el `aws-shell`, omita `aws`.

### Create a network ACL (Crear una ACL de red)
<a name="vpc-settings-requirements-network-acl-create"></a>

Para usar la consola Amazon VPC, selecciona **Red ACLs** en el panel de navegación. Elija **Create Network ACL (Crear ACL de red)** y luego siga las instrucciones en pantalla.

Para utilizar el AWS CLI o`aws-shell`, ejecute el comando Amazon EC2 **`create-network-acl`**.

```
aws ec2 create-network-acl --region us-east-2 --vpc-id vpc-1234ab56
```

En el comando anterior, `us-east-2` sustitúyalo por el Región de AWS que contiene la VPC a la que quieres conectar la nueva ACL de red. Además, reemplace `vpc-1234ab56` por el ID de la VPC. Para ejecutar el comando anterior con el `aws-shell`, omita `aws`.

## Creación de una VPC y otros recursos de la VPC
<a name="vpc-settings-create-vpc"></a>

Utilice el siguiente procedimiento para crear una VPC y los recursos adicionales de la VPC que necesita para ejecutar su aplicación. Los recursos de VPC incluyen subredes, tablas de enrutamiento, puertas de enlace de Internet y puertas de enlace NAT.

**Para crear una VPC, subredes y otros recursos de la VPC mediante la consola**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de VPC, elija **Create VPC (Crear VPC)**.

1. En **Recursos para crear**, elija **VPC y más**.

1. Para crear etiquetas de nombre para los recursos de la VPC, mantenga seleccionada **la generación automática de etiquetas de nombre**. Para proporcionar sus propias etiquetas de nombre para los recursos de la VPC, desactívela.

1. Para el **bloque IPv4 CIDR**, debe introducir un rango de IPv4 direcciones para la VPC. El IPv4 rango recomendado para AWS Cloud9 es. `10.0.0.0/16`

1. (Opcional) Para admitir IPv6 el tráfico, elige el bloque **IPv6 CIDR, el bloque** CIDR **proporcionado por Amazon IPv6 **.

1. Elija una opción de **tenencia**. Esta opción define si las instancias de EC2 que lance en la VPC se ejecutarán en hardware compartido con otras Cuentas de AWS o en hardware dedicado para su uso exclusivo. Si elige que la tenencia de la VPC sea `Default`, las instancias de EC2 lanzadas en esta VPC utilizarán el atributo de tenencia especificado al lanzar la instancia. Para obtener más información, consulte [Lanzar una instancia mediante parámetros definidos](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-launch-instance-wizard.html) en la *Guía del usuario de Linux de Amazon EC2*. 

   Si elige que la tenencia de la VPC sea `Dedicated`, las instancias siempre se ejecutarán como [Instancias dedicadas](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html) en hardware dedicado para su uso. Si está utilizando AWS Outposts, su Outpost requiere conectividad privada, y debe usar la tenencia `Default`.

1. Para **el número de zonas de disponibilidad (AZs)**, se recomienda aprovisionar subredes en al menos dos Availability Zones para un entorno de producción. **Para elegir las AZs subredes, expanda Personalizar. AZs** De lo contrario, puede dejar que AWS elija el AZs por usted.

1. Para configurar las subredes, elija valores para **Cantidad de subredes públicas** y **Cantidad de subredes privadas**. Para elegir los rangos de direcciones IP para las subredes, expanda **Personalizar bloques CIDR de subredes**. De lo contrario, deja que los AWS elijan por ti.

1. (Opcional) Si los recursos de una subred privada necesitan acceso a Internet pública a través de IPv4: en el caso de las puertas de **enlace NAT, elija el número de puertas** de enlace NAT AZs en las que desee crear las puertas de enlace NAT. En producción, se recomienda implementar una puerta de enlace de NAT en cada AZ con recursos que necesiten acceso a la Internet pública.

1. **(Opcional) Si los recursos de una subred privada necesitan acceder a la Internet pública a través de IPv6: para la puerta de enlace de **Internet solo de salida**, seleccione Sí.**

1. (Opcional) Para acceder a Amazon S3 directamente desde su VPC, elija **Puntos de conexión de VPC**, **Puerta de enlace de S3**. Se crea un punto de conexión de VPC de puerta de enlace para Amazon S3. Para obtener más información, consulte [Puntos de conexión de VPC de puerta de enlace](https://docs.aws.amazon.com/vpc/latest/privatelink/gateway-endpoints.html) en la *Guía de AWS PrivateLink *.

1. (Opcional) En **Opciones de DNS**, ambas opciones de resolución de nombres de dominio están activadas de forma predeterminada. Si el valor predeterminado no satisface sus necesidades, puede deshabilitar estas opciones.

1. (Opcional) Para agregar una etiqueta a su VPC, expanda **Etiquetas adicionales**, elija **Agregar etiqueta nueva** e ingrese una clave y un valor de etiqueta.

1. En el panel **Vista previa**, puede visualizar las relaciones entre los recursos de la VPC que configuró. Las líneas continuas representan las relaciones entre los recursos. Las líneas punteadas representan el tráfico de red a las puertas de enlace de NAT, las puertas de enlace de Internet y los puntos de conexión de las puertas de enlace. Una vez que creó la VPC, puede visualizar los recursos de la VPC en este formato en cualquier momento en la pestaña **Mapa de recursos**.

1. Cuando termine de configurar la VPC, elija **Crear VPC**.

## Crear una sola VPC
<a name="create-vpc-only"></a>

Utilice el siguiente procedimiento para crear una VPC sin recursos adicionales mediante la consola de Amazon VPC.

**Para crear una VPC sin recursos adicionales de VPC mediante la consola**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de VPC, elija **Create VPC (Crear VPC)**.

1. En **Recursos para crear**, elija **Solo VPC**.

1. (Opcional) En **Etiqueta de nombre**, ingrese un nombre para su VPC. Esta acción creará una etiqueta con una clave de `Name` y el valor que especifique.

1. Para el **bloqueo IPv4 CIDR, realice** una de las siguientes acciones:
   + Elija la **entrada manual IPv4 CIDR** e introduzca un rango de IPv4 direcciones para su VPC. El IPv4 rango recomendado es. AWS Cloud9 `10.0.0.0/16`
   + Elija un **bloque IPv4 CIDR asignado a IPAM**, seleccione un conjunto de direcciones del administrador de direcciones IP (IPAM) IPv4 de Amazon VPC y una máscara de red. El tamaño del bloque CIDR está limitado por las reglas de asignación del grupo de IPAM. IPAM es una función de VPC que le ayuda a planificar, rastrear y monitorear las direcciones IP de sus cargas de AWS trabajo. Para obtener más información, consulte [¿Qué es IPAM?](https://docs.aws.amazon.com/vpc/latest/ipam/what-it-is-ipam.html) en la *Guía del administrador de Amazon Virtual Private Cloud*.

     Si utiliza IPAM para administrar las direcciones IP, le recomendamos que elija esta opción. De lo contrario, el bloque CIDR que especifique para la VPC podría superponerse con una asignación de CIDR de IPAM.

1. (Opcional) Para crear una VPC de doble pila, especifique un rango de IPv6 direcciones para la VPC. Para el **bloque IPv6 CIDR, realice** una de las siguientes acciones:
   + Elija el **bloque IPv6 CIDR asignado por IPAM** y seleccione su conjunto de direcciones de IPAM. IPv6 El tamaño del bloque CIDR está limitado por las reglas de asignación del grupo de IPAM.
   + Para solicitar un bloque IPv6 CIDR de un grupo de IPv6 direcciones de Amazon, elige el bloque CIDR **proporcionado por Amazon IPv6 **. En **Network Border Group, selecciona el grupo** desde el que AWS se anuncian las direcciones IP. Amazon proporciona un tamaño de bloque IPv6 CIDR fijo de /56.
   + Elija el **IPv6 CIDR de mi propiedad** para usar un bloque de IPv6 CIDR que utilizó BYOIP ([traiga sus propias direcciones IP](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-byoip.html)). AWS En **Pool**, elija el conjunto de IPv6 direcciones desde el que desea asignar el bloque CIDR. IPv6 

1. (Opcional) Elija una opción de **tenencia**. Esta opción define si las instancias EC2 que lance en la VPC se ejecutarán en hardware compartido con Cuentas de AWS otros o en hardware dedicado únicamente a su uso. Si elige que la tenencia de la VPC sea `Default`, las instancias de EC2 lanzadas en esta VPC utilizarán el atributo de tenencia especificado al lanzar la instancia. Para obtener más información, consulte [Lanzar una instancia mediante parámetros definidos](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-launch-instance-wizard.html) en la *Guía del usuario de Linux de Amazon EC2*. 

   Si elige que la tenencia de la VPC sea `Dedicated`, las instancias siempre se ejecutarán como [Instancias dedicadas](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html) en hardware dedicado para su uso. Si está utilizando AWS Outposts, su Outpost requiere conectividad privada, y debe usar la tenencia `Default`.

1. (Opcional) Para agregar una etiqueta a su VPC, elija **Agregar etiqueta nueva** e ingrese una clave y un valor de etiqueta.

1. Seleccione **Creación de VPC**.

1. Una vez creada una VPC, podrá agregar las subredes. 

## Cree una subred para AWS Cloud9
<a name="vpc-settings-create-subnet"></a>

Puede usar la consola de Amazon VPC para crear una subred para una VPC que sea compatible con. AWS Cloud9 El hecho de que pueda crear una subred privada o pública para su instancia de EC2 depende de cómo se conecte su entorno a ella: 
+ **Acceso directo a través de SSH:** solo subred pública
+ **Acceso a través de Systems Manager**: subred pública o privada

La opción de lanzar el EC2 de su entorno en una subred privada solo está disponible si crea un entorno de EC2 “sin entrada” mediante [la consola, la línea de comandos o CloudFormation](ec2-ssm.md).

Siga los [mismos pasos para crear una subred](#create-subnet-proc) que pueda convertirse en pública o privada. Si la subred está asociada a una tabla de enrutamiento que tiene una ruta a una gateway de internet, esta se convierte en una subred pública. No obstante, si la subred está asociada a una tabla de enrutamiento que no tiene ninguna ruta a una gateway de internet, se convierte en una subred privada. Para obtener más información, consulte [Configuración de una subred como pública o privada](#public-private-subnet) 

Si ha seguido el procedimiento anterior para crear una VPC AWS Cloud9, no es necesario que también siga este procedimiento. Esto se debe a que el asistente para **Create new VPC (Crear nueva VPC)** crea una subred automáticamente.

**importante**  
 Cuenta de AWS Deben tener ya una VPC compatible en la misma Región de AWS para el entorno. Para obtener más información, consulte los requisitos de VPC en [Requisitos de Amazon VPC para AWS Cloud9](#vpc-settings-requirements).
Para este procedimiento, le recomendamos que inicie sesión en la consola de Amazon VPC Consola de administración de AWS y la abra con las credenciales de un administrador de IAM en su cuenta. Cuenta de AWS Si no puede hacerlo, consulte con su Cuenta de AWS administrador.
Es posible que algunas organizaciones no le permitan crear subredes. Si no puede crear una subred, póngase en contacto con el Cuenta de AWS administrador o el administrador de la red.<a name="create-subnet-proc"></a>

**Para crear una subred**

1. [Si la consola de Amazon VPC aún no está abierta, inicie sesión en Consola de administración de AWS y abra la consola de Amazon VPC en /vpc. https://console.aws.amazon.com](https://console.aws.amazon.com/vpc)

1. En la barra de navegación, si Región de AWS no es la misma que la región del entorno, elija la región correcta.

1. Elija **Subnets (Subredes)** en el panel de navegación, si todavía no se muestra la página **Subnets (Subredes)**.

1. Elija **Create Subnet (Crear subred)**.

1. En el cuadro de diálogo **Create Subnet** (Crear subred), en **Name tag** (Etiqueta de nombre), ingrese el nombre de la subred.

1. En **VPC**, elija la VPC con la que desea asociar la subred.

1. En **Zona de disponibilidad**, elija la zona de disponibilidad que Región de AWS desee utilizar en la subred o seleccione **Sin preferencias** para que pueda AWS elegir una zona de disponibilidad por usted.

1. Para el **bloque IPv4 CIDR**, introduzca el rango de direcciones IP que utilizará la subred, en formato CIDR. Este rango de direcciones IP debe ser un subconjunto de direcciones en la VPC.

   Para obtener información acerca de los bloques de CIDR, consulte [Tamaño de VPC y subred](https://docs.aws.amazon.com/vpc/latest/userguide/subnet-sizing.html) en la *Guía del usuario de Amazon VPC*. Véase también [3.1. Concepto básico y notación de prefijos](http://tools.ietf.org/html/rfc4632#section-3.1) [en los bloques RFC 4632 o CIDR en Wikipedia. IPv4 ](http://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing#IPv4_CIDR_blocks)

Después de crear la subred, [configúrelo como una subred pública o privada](#public-private-subnet).

## Configuración de una subred como pública o privada
<a name="public-private-subnet"></a>

Después de crear una subred, puede convertirla en pública o privada. Para ello, especifique cómo se comunica con internet.

Una subred pública tiene una dirección IP pública y una puerta de enlace de Internet (IGW) asociada a esta que permite la comunicación entre la instancia de la subred e internet y otros Servicios de AWS.

Una instancia de una subred privada tiene una dirección IP privada y se utiliza una puerta de enlace de traducción de direcciones de red (NAT) para enviar tráfico de ida y vuelta entre la instancia de la subred e internet y otros Servicios de AWS. La gateway NAT debe estar alojada en una subred pública.

------
#### [ Public subnets ]

**nota**  
Incluso si la instancia de su entorno se lanza en una subred privada, la VPC debe incluir al menos una subred pública. Esto se debe a que la gateway NAT que reenvía el tráfico hacia y desde la instancia debe estar alojada en una subred pública. 

Configurar una subred como pública implica adjuntarle una gateway de internet (IGW), configurar una tabla de enrutamiento para especificar una ruta a esa IGW y definir la configuración de un grupo de seguridad para controlar el tráfico entrante y saliente.

 La orientación para llevar a cabo estas tareas se proporciona en [Creación de una VPC y otros recursos de la VPC](#vpc-settings-create-vpc). 

**importante**  
Si el entorno de desarrollo [usa SSM para acceder a una instancia de EC2](ec2-ssm.md), asegúrese de que la subred pública en la que se lanza la instancia asigna una dirección IP pública a la instancia. Para ello, debe habilitar la opción de asignación automática de una dirección IP pública para la subred pública y configurarla en `Yes`. Puede habilitarlo en la subred pública antes de crear un AWS Cloud9 entorno en la página de configuración de la subred. Para conocer los pasos necesarios para modificar la configuración de IP de asignación automática en una subred pública, consulte [Modificar el atributo de IPv4 direccionamiento público de su subred](https://docs.aws.amazon.com/vpc/latest/userguide/subnet-public-ip.html) en la Guía del usuario de Amazon *VPC*. Para obtener más información acerca de la configuración de subredes públicas y privadas, consulte [Configuración de una subred como pública o privada](#public-private-subnet).

------
#### [ Private subnets ]

Si va a crear una instancia sin entrada a la que se accede a través de Systems Manager, puede lanzarla en una subred privada. Una subred privada no tiene una dirección IP pública. Por lo tanto, necesita una puerta de enlace NAT para asignar la dirección IP privada a una dirección pública para las solicitudes, y también necesita asignar la dirección IP pública a la dirección privada para la respuesta.

**aviso**  
Se le cobrará por la creación y el uso de una gateway NAT en su cuenta. Se aplican las tarifas de procesamiento de datos y uso por horas de la gateway NAT. También se aplican cargos de Amazon EC2 por la transferencia de datos. Para obtener más información, consulte [Precios de Amazon VPC](https://aws.amazon.com/vpc/pricing/). 

Antes de crear y configurar la gateway NAT, debe hacer lo siguiente:
+ Cree una subred VPC pública para alojar la gateway NAT.
+ Aprovisione una [dirección IP elástica](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-eips.html#WorkWithEIPs) que se pueda asignar a la gateway NAT. 
+ Para la subred privada, desactive la casilla **Habilitar la asignación automática de IPv4 direcciones públicas** para que se asigne una dirección IP privada a la instancia lanzada en ella. Para obtener más información, consulte [Direcciones IP en su VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html) en la *Guía del usuario de Amazon VPC*.

Para conocer los pasos de esta tarea, consulte [Usar gateways NAT](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-working-with) en la *Guía del usuario de Amazon VPC*.

**importante**  
Actualmente, si la instancia EC2 de su entorno se lanza a una subred privada, no puede usar [credenciales temporales AWS administradas](security-iam.md#auth-and-access-control-temporary-managed-credentials) para permitir que el entorno EC2 acceda y Servicio de AWS en nombre de una AWS entidad, como un usuario de IAM.

------