Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés. # Conéctese a un punto final AWS KMS de VPC Puede conectarse a AWS KMS través del punto de enlace de la VPC mediante un AWS SDK AWS CLI, el o. Herramientas de AWS para PowerShell Para especificar el punto de conexión de VPC, utilice su nombre de DNS. Por ejemplo, este comando [list-keys](https://docs.aws.amazon.com/cli/latest/reference/kms/list-keys.html) utiliza el parámetro `endpoint-url` para especificar el punto de conexión de VPC. Para utilizar un comando de este tipo, sustituya el ID del punto de conexión de VPC del ejemplo por uno de su cuenta. ``` $ aws kms list-keys --endpoint-url https://vpce-1234abcdf5678c90a-09p7654s-us-east-1a.ec2.us-east-1.vpce.amazonaws.com ``` **Permisos necesarios** Para que una AWS KMS solicitud que utiliza un punto de conexión de VPC se realice correctamente, el director requiere permisos de dos fuentes: + Una [política de claves](key-policies.md), [política de IAM](iam-policies.md), o bien [concesión](grants.md) debe dar permiso a la entidad principal para llamar a la operación en el recurso (clave KMS o alias). + Una política de extremo de VPC debe conceder a la entidad principal permiso para utilizar el punto de conexión para realizar la solicitud. Por ejemplo, una política de clave puede conceder permiso a una entidad principal para llamar a [Descifrado](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) en una clave KMS en particular. Sin embargo, es posible que la política de punto de conexión de VPC no permita que la entidad principal llame a `Decrypt` en esa clave KMS mediante el punto de conexión. O bien, una política de punto final de VPC podría permitir que un principal utilice el punto final para invocar determinadas claves [DisableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html)de KMS. Pero si la entidad principal no tiene esos permisos de una política de clave, política de IAM o concesión, se produce un error en la solicitud. Puede crear una política de punto de conexión de VPC cuando cree el punto de conexión y puede cambiar la política de punto de conexión de VPC en cualquier momento. Utilice la consola de administración de VPC o las operaciones [CreateVpcEndpoint](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateVpcEndpoint.html)o [ModifyVpcEndpoint](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpcEndpoint.html). También puede crear y cambiar una política de puntos finales de VPC [mediante una AWS CloudFormation plantilla](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-ec2-vpcendpoint.html). Para obtener ayuda sobre el uso de la consola de administración de la VPC, consulte [Creación de un punto de conexión de interfaz](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint) y [Modificación de un punto de conexión de interfaz](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#modify-interface-endpoint) en la *Guía de AWS PrivateLink *. **Nombres de host DNS privados** Si ha habilitado los nombres de host privados al crear el punto de conexión de VPC, no es necesario que especifique la URL de este en los comandos de la CLI ni en la configuración de la aplicación. El nombre del host de DNS de AWS KMS estándar se resuelve en el punto de conexión de VPC. AWS CLI Y SDKs usa este nombre de host de forma predeterminada para que puedas empezar a usar el punto de enlace de la VPC para conectarte a AWS KMS un punto de enlace regional sin cambiar nada en tus scripts y aplicaciones. Para utilizar nombres de host privados, se deben establecer los atributos `enableDnsHostnames` y `enableDnsSupport` de la VPC en `true`. Para configurar estos atributos, utilice la [ModifyVpcAttribute](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpcAttribute.html)operación. Para obtener más información, consulte [Ver y actualizar los atributos de DNS de su VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating) en la *Guía del usuario de Amazon VPC*.