Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Redes en AWS Control Tower
AWS Control Tower proporciona soporte básico para la creación de redes a través de VPCs.
Si la configuración o las capacidades predeterminadas de la VPC de la Torre de Control de AWS no satisfacen sus necesidades, puede utilizar otros AWS servicios para configurar la VPC. Para obtener más información sobre cómo trabajar con VPCs una Torre de Control Tower de AWS, consulte [Creación de una infraestructura de AWS red multiVPC escalable y segura](https://d1.awsstatic.com/whitepapers/building-a-scalable-and-secure-multi-vpc-aws-network-infrastructure.pdf).
Los IPv6 protocolos IPv4 y los soportes de AWS Control Tower se basan en direcciones IP de doble pila. Para obtener más información, consulte [Puntos de conexión y cuotas de AWS Control Catalog](https://docs.aws.amazon.com//general/latest/gr/controlcatalog.html) y [Puntos de conexión y cuotas de AWS Control Tower](https://docs.aws.amazon.com//general/latest/gr/controltower.html).
**Temas relacionados**
+ Para obtener información sobre cómo funciona AWS Control Tower al inscribir cuentas que ya existen VPCs, consulte[Inscriba las cuentas existentes en VPCs](enroll-account.md#enroll-existing-accounts-with-vpcs).
+ Con el generador de cuentas, puede aprovisionar cuentas que incluyan una VPC de AWS Control Tower o bien aprovisionar cuentas sin una VPC. Para obtener información sobre cómo eliminar la VPC de AWS Control Tower o configurar las cuentas de AWS Control Tower sin una VPC, consulte [Tutorial: Configuración de AWS Control Tower sin una VPC](configure-without-vpc.md).
+ Para obtener información sobre cómo cambiar la configuración de la cuenta VPCs, consulta la [documentación de Account Factory](https://docs.aws.amazon.com//controltower/latest/userguide/account-factory.html#configuring-account-factory-with-VPC-settings) sobre la actualización de una cuenta.
+ Para obtener más información sobre cómo trabajar con redes y VPCs en la Torre de Control de AWS, consulte la sección sobre [redes](https://docs.aws.amazon.com//controltower/latest/userguide/related-information.html#networking) en la página de *información relacionada* de esta *Guía del usuario*.
## VPCs y AWS regiones en la Torre de Control de AWS
Como parte estándar de la creación de la cuenta,AWS crea una VPC AWS predeterminada en cada región, incluso en las regiones que no gobierna con AWS Control Tower. Esta VPC predeterminada no es la misma que una VPC que AWS Control Tower crea para una cuenta aprovisionada, pero los usuarios de IAM pueden acceder a la AWS VPC predeterminada de una región no gobernada.
Los administradores pueden habilitar el control de denegación de regiones, de modo que los usuarios finales no tengan permiso para conectarse a *una región compatible con AWS Control Tower*, pero fuera de las regiones gobernadas. Para configurar el control de denegación de regiones, vaya a la página **Configuración de la zona de almacenamiento** y seleccione **Modificar configuración**.
El control de denegación de regiones bloquea las llamadas a la API a la mayoría de los servicios en Regiones de AWS no gobernadas. Para obtener más información, consulte [Denegar el acceso a](https://docs.aws.amazon.com//controltower/latest/userguide/primary-region-deny-policy.html) en función de la solicitud.AWSRegión de AWS.
**nota**
Es posible que el control de denegación de regiones no impida que los usuarios de IAM se conecten a una VPC predeterminada de AWS en una región en la que no se admite AWS Control Tower.
Si lo desea, puede eliminar el AWS valor predeterminado VPCs en las regiones no gobernadas. Para mostrar la VPC predeterminada en una región, puede utilizar un comando de la CLI similar al de este ejemplo:
```
aws ec2 --region us-west-1 describe-vpcs --filter Name=isDefault,Values=true
```
# Información general sobre AWS Control Tower y VPCs
Estos son algunos datos esenciales sobre la Torre de Control de AWS VPCs:
+ La VPC creada por AWS Control Tower al aprovisionar una cuenta en Account Factory no es la misma que la AWS VPC predeterminada.
+ Cuando AWS Control Tower configura una nueva cuenta en una AWS región compatible, AWS Control Tower elimina automáticamente la AWS VPC predeterminada y configura una nueva VPC configurada por AWS Control Tower.
+ A cada cuenta de AWS Control Tower se le permite una VPC creada por AWS Control Tower. Una cuenta puede tener más AWS VPCs dentro del límite de la cuenta.
+ Cada VPC de AWS Control Tower tiene tres zonas de disponibilidad en todas las regiones, excepto en la región del Oeste de EE. UU. (Norte de California), `us-west-1`, y dos zonas de disponibilidad en `us-west-1`. De forma predeterminada, a cada zona de disponibilidad se le asigna una subred pública y dos subredes privadas. Por lo tanto, en las regiones, excepto el Oeste de EE. UU. (Norte de California), cada VPC de AWS Control Tower contiene nueve subredes de forma predeterminada, divididas en tres zonas de disponibilidad. En el Oeste de EE. UU. (Norte de California), seis subredes se dividen en dos zonas de disponibilidad.
+ A cada una de las subredes de la VPC de AWS Control Tower se le asigna un rango único, de igual tamaño.
+ El número de subredes de una VPC se puede configurar. Para obtener más información acerca de cómo cambiar la configuración de la subred de VPC, consulte [el tema Account Factory](https://docs.aws.amazon.com//controltower/latest/userguide/account-factory.html).
+ Dado que las direcciones IP no se solapan, las seis o nueve subredes de su VPC de AWS Control Tower pueden comunicarse entre sí de manera ilimitada.
Cuando se trabaja con VPCs AWS Control Tower no se hace ninguna distinción a nivel regional. Cada subred se asigna desde el rango de CIDR exacto que especifique. Las subredes de VPC pueden existir en cualquier región.
**Notas**
**Administración de los costes de la VPC**
Si establece la configuración de VPC del generador de cuentas para que las subredes públicas estén habilitadas al aprovisionar una cuenta nueva, el generador de cuentas configura la VPC para crear una gateway NAT. Amazon VPC le facturará por su uso.
**Configuración de control y VPC**
Si aprovisiona cuentas del generador de cuentas con la configuración de acceso a Internet de la VPC habilitada, esa configuración del generador de cuentas invalida el control [No permitir el acceso a Internet para una instancia de Amazon VPC administrada por un cliente](https://docs.aws.amazon.com//controltower/latest/controlreference/data-residency-controls.html#disallow-vpc-internet-access). Para evitar habilitar el acceso a Internet para las cuentas recién aprovisionadas, debe cambiar la configuración en el generador de cuentas. Para obtener más información, consulte [Walkthrough: Configure AWS Control Tower Without a VPC](https://docs.aws.amazon.com//controltower/latest/userguide/configure-without-vpc.html).
# CIDR e interconexión para VPC y AWS Control Tower
Esta sección está destinada principalmente a los administradores de red. El administrador de red de su empresa suele ser la persona que selecciona el rango de CIDR general para su organización de AWS Control Tower. A continuación, el administrador de red asigna subredes dentro de ese rango para fines específicos.
Cuando elige un rango de CIDR para la VPC, AWS Control Tower valida los rangos de direcciones IP de acuerdo con la especificación RFC 1918. El generador de cuentas permite un bloque de CIDR de hasta `/16` en los siguientes rangos:
+ `10.0.0.0/8`
+ `172.16.0.0/12`
+ `192.168.0.0/16`
+ `100.64.0.0/10` (solo si su proveedor de Internet permite el uso de este rango)
El delimitador `/16` permite hasta 65 536 direcciones IP distintas.
Puede asignar cualquier dirección IP válida de los siguientes rangos:
+ `10.0.x.x to 10.255.x.x`
+ `172.16.x.x – 172.31.x.x`
+ `192.168.0.0 – 192.168.255.255`(no IPs fuera del `192.168` rango)
Si el rango especificado está fuera de estos rangos, AWS Control Tower proporciona un mensaje de error.
El rango de CIDR predeterminado es `172.31.0.0/16`.
Cuando AWS Control Tower crea una VPC con el rango de CIDR que ha seleccionado, asigna el rango de CIDR idéntico a *cada VPC* para cada cuenta que cree dentro de la unidad organizativa (OU). Debido a la superposición predeterminada de las direcciones IP, esta implementación inicialmente no permite la interconexión entre ninguna de las torres de control de AWS de VPCs la OU.
**Subredes**
Dentro de cada VPC, AWS Control Tower divide el rango de CIDR especificado de manera uniforme en nueve subredes (excepto en el oeste de EE. UU. (norte de California), donde hay seis subredes). Ninguna de las subredes de una VPC se solapan. Por lo tanto, todos pueden comunicarse entre sí dentro de la VPC
En resumen, de forma predeterminada, la comunicación de subred dentro de la VPC no está restringida. La práctica recomendada para controlar la comunicación entre las subredes de VPC, si es necesario, consiste en configurar listas de control de acceso con reglas que definan el flujo de tráfico permitido. Utilice grupos de seguridad para controlar el tráfico entre instancias específicas. Para obtener más información sobre la configuración de grupos de seguridad y firewalls en AWS Control Tower, consulte [Tutorial: Configurar grupos de seguridad en AWS Control Tower con AWS Firewall Manager](https://docs.aws.amazon.com//controltower/latest/userguide/firewall-setup-walkthrough.html).
**Intercambio de tráfico**
AWS Control Tower no restringe la VPC-to-VPC interconexión para la comunicación entre múltiples VPCs. Sin embargo, de forma predeterminada, todas las torres de control de AWS VPCs tienen el mismo rango de CIDR predeterminado. Para admitir la interconexión, puede modificar el rango de CIDR en la configuración del generador de cuentas para que las direcciones IP no se superpongan.
Si cambia el rango de CIDR en la configuración del generador de cuentas, a todas las cuentas nuevas creadas posteriormente por AWS Control Tower (utilizando el generador de cuentas) se les asigna el nuevo rango de CIDR. Las cuentas antiguas no se actualizan. Por ejemplo, puede crear una cuenta y, a continuación, cambiar el rango de CIDR y crear una cuenta nueva, y lo VPCs asignado a esas dos cuentas se puede emparejar. La interconexión es posible porque sus rangos de direcciones IP no son idénticos.
# Acceso a AWS Control Tower mediante un punto de conexión de interfaz (AWS PrivateLink)
Puede utilizarla AWS PrivateLink para crear una conexión privada entre su VPC y AWS Control Tower. Puede acceder a AWS Control Tower como si estuviera en su VPC, sin utilizar una pasarela de Internet, un dispositivo NAT, una conexión VPN o Direct Connect una conexión. Las instancias de la VPC no necesitan direcciones IP públicas para acceder a AWS Control Tower.
Esta conexión privada se establece mediante la creación de un *punto de conexión de interfaz* alimentado por AWS PrivateLink. Creamos una interfaz de red de punto de conexión en cada subred habilitada para el punto de conexión de interfaz. Se trata de interfaces de red administradas por el solicitante que sirven como punto de entrada para el tráfico destinado a AWS Control Tower.
Para obtener más información, consulte [Acceso Servicios de AWS directo AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html) en la *AWS PrivateLink guía*.
## Consideraciones sobre AWS Control Tower
Antes de configurar un punto de conexión de interfaz para AWS Control Tower, consulte [Consideraciones](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints) en la *Guía de AWS PrivateLink *.
AWS Control Tower admite la realización de llamadas a todas las acciones de la API a través del punto de conexión de interfaz.
## Creación de un punto de conexión de interfaz para AWS Control Tower
Puede crear un punto final de interfaz para la Torre de Control de AWS mediante la consola Amazon VPC o el AWS Command Line Interface ()AWS CLI. Para obtener más información, consulte [Creación de un punto de conexión de interfaz](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) en la *Guía de AWS PrivateLink *.
Cree un punto de conexión de interfaz para AWS Control Tower utilizando los siguientes nombres de servicio:
```
com.amazonaws.region.controltower
com.amazonaws.region.controltower-fips
```
Si habilita DNS privado para el punto de conexión de interfaz, puede realizar solicitudes a la API para AWS Control Tower usando su nombre de DNS predeterminado para la región. Por ejemplo, `controltower.us-east-1.amazonaws.com`.
## Creación de una política de puntos de conexión para el punto de conexión de interfaz
Una política de punto de conexión es un recurso de IAM que puede adjuntar al punto de conexión de su interfaz. La política de puntos de conexión predeterminada permite acceso completo a AWS Control Tower a través del punto de conexión de interfaz. Para controlar el acceso permitido a AWS Control Tower desde la VPC, adjunte una política de puntos de conexión personalizada al punto de conexión de interfaz.
Una política de punto de conexión especifica la siguiente información:
+ Las entidades principales que pueden llevar a cabo acciones (Cuentas de AWS, usuarios de IAM y roles de IAM).
+ Las acciones que se pueden realizar.
+ El recurso en el que se pueden realizar las acciones.
Para obtener más información, consulte [Control del acceso a los servicios con políticas de punto de conexión](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) en la *Guía del usuario de AWS PrivateLink *.
**Ejemplo: política de punto de conexión de VPC para acciones de AWS Control Tower**
El siguiente es un ejemplo de una política de un punto de conexión personalizado. Cuando se asocia con un punto de conexión, esta política concede acceso a las acciones de AWS Control Tower mostradas para todas las entidades principales en todos los recursos.
```
{
"Statement": [
{
"Principal": "*",
"Effect": "Allow",
"Action": [
"controltower:ListEnabledControls",
"controltower:ListLandingZones"
],
"Resource":"*"
}
]
}
```
**nota**
Para obtener una lista completa de operaciones de la API AWS Control Tower, consulte [Referencia de la API AWS Control Tower](https://docs.aws.amazon.com//controltower/latest/APIReference/Welcome.html).