Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Puntos de conexión de la puerta de enlace
Los puntos de conexión de VPC de puerta de enlace proporcionan conectividad fiable a Amazon S3 y DynamoDB sin necesidad de una puerta de enlace de Internet o un dispositivo NAT para su VPC. Los puntos finales de puerta de enlace no utilizan AWS PrivateLink, a diferencia de otros tipos de puntos finales de VPC.
Amazon S3 y DynamoDB admiten tanto puntos de conexión de puerta de enlace como puntos de conexión de interfaz. Para comparar las opciones, consulte lo siguiente:
Precios
El uso de puntos de conexión de puerta de enlace no supone ningún cargo adicional.
Contenido
Descripción general
Puede acceder a Amazon S3 y DynamoDB a través de sus puntos de conexión de servicio públicos o mediante puntos de conexión de la puerta de enlace. Esta descripción general compara estos métodos.
Acceso mediante una puerta de enlace de Internet
En el siguiente diagrama, se muestra cómo las instancias acceden a Amazon S3 y DynamoDB mediante sus puntos de conexión de servicio públicos. El tráfico a Amazon S3 o DynamoDB desde una instancia en una subred pública se dirige a la puerta de enlace de Internet de la VPC y, a continuación, al servicio. Las instancias en una subred privada no pueden enviar tráfico a Amazon S3 o DynamoDB, porque, por definición, las subredes privadas no tienen rutas a una puerta de enlace de Internet. Para permitir que las instancias de la subred privada envíen tráfico a Amazon S3 o DynamoDB, agregue un dispositivo NAT a la subred pública y dirija el tráfico de la subred privada al dispositivo NAT. Si bien el tráfico a Amazon S3 o DynamoDB atraviesa la puerta de enlace de Internet, no sale de la red. AWS
Acceso a través de un punto de conexión de la puerta de enlace
En el siguiente diagrama, se muestra cómo las instancias acceden a Amazon S3 y DynamoDB mediante un punto de conexión de la puerta de enlace. El tráfico desde su VPC hasta Amazon S3 o DynamoDB se dirige al punto de conexión de la puerta de enlace. Cada tabla de enrutamiento de subred debe tener una ruta que envíe el tráfico destinado al servicio al punto de conexión de la puerta de enlace mediante la lista de prefijos del servicio. Para obtener más información, consulte la lista de prefijos administrados de AWS en la Guía del usuario de Amazon VPC.
Enrutamiento
Cuando se crea un punto de conexión de la puerta de enlace, se seleccionan las tablas de enrutamiento de la VPC para las subredes que habilita. La siguiente ruta se agregará de forma automática a cada tabla de enrutamiento que seleccione. El destino es una lista de prefijos del servicio propiedad de AWS y el destino es el punto final de la puerta de enlace.
| Destino | Destino |
|---|---|
prefix_list_id |
gateway_endpoint_id |
Consideraciones
-
Puede revisar las rutas del punto de conexión que agregamos a su tabla de enrutamiento, pero no puede modificarlas ni eliminarlas. Para agregar una ruta de punto de conexión a una tabla de enrutamiento, asóciela con el punto de conexión de la puerta de enlace. Eliminamos la ruta del punto de conexión cuando desasocia la tabla de enrutamiento del punto de conexión de la puerta de enlace o cuando elimina el punto de conexión de la puerta de enlace.
-
Todas las instancias en las subredes asociadas con una tabla de enrutamiento asociada con un punto de conexión de la puerta de enlace utilizan de forma automática el punto de conexión de la puerta de enlace para acceder al servicio. Las instancias en las subredes que no están asociadas a estas tablas de enrutamiento utilizan el punto de conexión de servicio público, no el punto de conexión de la puerta de enlace.
-
Una tabla de enrutamiento puede tener tanto una ruta de punto de conexión a Amazon S3 como una ruta de punto de conexión a DynamoDB. Puede tener rutas de punto de conexión al mismo servicio (Amazon S3 o DynamoDB) en varias tablas de enrutamiento. No puede tener varias rutas de punto de conexión al mismo servicio (Amazon S3 o DynamoDB) en una sola tabla de enrutamiento.
-
Para determinar cómo dirigir tráfico, se usa la ruta más específica que coincida con el tráfico en cuestión (coincidencia del prefijo más largo). Para las tablas de enrutamiento con una ruta de punto de conexión, esto significa lo siguiente:
-
Si hay una ruta que envía todo el tráfico de Internet (0.0.0.0/0) a una puerta de enlace de Internet, la ruta del punto de conexión tiene prioridad sobre el tráfico destinado para el servicio (Amazon S3 o DynamoDB) en la región actual. El tráfico destinado a un destino diferente Servicio de AWS utiliza la puerta de enlace de Internet.
-
El tráfico destinado al servicio (Amazon S3 o DynamoDB) en una región diferente va a la puerta de enlace de Internet porque las listas de prefijos son específicas de una región.
-
Si hay una ruta que especifica el intervalo exacto de direcciones IP para el servicio (Amazon S3 o DynamoDB) en la misma región, esa ruta tiene prioridad sobre la ruta del punto de conexión.
-
Seguridad
Cuando sus instancias acceden a Amazon S3 o a DynamoDB a través de un punto de conexión de la puerta de enlace, acceden al servicio mediante su punto de conexión público. Los grupos de seguridad de estas instancias deben permitir el tráfico hacia y el servicio. A continuación, se muestra un ejemplo de una regla de salida. Hace referencia al ID de la lista de prefijos para el servicio.
| Destino | Protocolo | Intervalo de puertos |
|---|---|---|
prefix_list_id |
TCP | 443 |
La red ACLs de las subredes de estas instancias también debe permitir el tráfico hacia y desde el servicio. A continuación, se muestra un ejemplo de una regla de salida. No se puede hacer referencia a las listas de prefijos en las reglas de ACL de la red, pero se pueden obtener los rangos de direcciones IP del servicio desde su lista de prefijos.
| Destino | Protocolo | Intervalo de puertos |
|---|---|---|
service_cidr_block_1 |
TCP | 443 |
service_cidr_block_2 |
TCP | 443 |
service_cidr_block_3 |
TCP | 443 |
Tipo de dirección IP
El tipo de dirección IP determina qué lista de prefijos está asociada a la tabla de enrutamiento.
Requisitos para habilitar un punto IPv6 final de puerta de enlace
-
El tipo de dirección IP de un punto de conexión de puerta de enlace debe ser compatible con las subredes del punto de conexión de carga de puerta de enlace, como se describe a continuación:
-
IPv4— Agregue la lista de IPv4 prefijos del servicio a su tabla de rutas.
-
IPv6— Agregue la lista de IPv6 prefijos del servicio a su tabla de rutas. Esta opción solo se admite si todas las subredes seleccionadas son IPv6 solo subredes.
-
Dualstack: agregue la lista de IPv4 prefijos del servicio a la tabla de rutas y agregue la lista de prefijos del servicio a la tabla de IPv6 rutas. Esta opción solo se admite si todas las subredes seleccionadas tienen ambos rangos de direcciones. IPv4 IPv6
-
Tipo de IP de registro de DNS
De forma predeterminada, el punto final de una puerta de enlace devuelve los registros de DNS en función del punto final del servicio al que se llame. Si crea el punto de enlace mediante el punto de enlace del IPv4 servicio, por ejemplos3.us-east-2.amazonaws.com, Amazon S3 devuelve los registros A a sus clientes y todas las subredes de la tabla de enrutamiento los utilizan IPv4.
Por el contrario, si crea su punto de enlace de puerta de enlace mediante el punto de enlace del servicio de doble pilas3.dualstack.us-east-2.amazonaws.com, por ejemplo, Amazon S3 devuelve los registros A y AAAA a sus clientes, y las subredes de su tabla de rutas utilizan y. IPv4 IPv6
nota
En el caso de los buckets de directorio, o S3 Express One Zone, los puntos de enlace de la puerta de enlace para el plano de datos serían y, respectivamente. s3express-use2-az1.us-east-2.amazonaws.com s3express-use2-az1.dualstack.us-east-2.amazonaws.com
El tipo de IP del registro DNS afecta a la forma en que se enruta el tráfico a sus clientes. Si crea un punto de enlace mediante el punto de enlace del IPv4 servicio y, a continuación, llama al punto de enlace del servicio de doble pila, el tráfico que utiliza registros AAAA no se enrutará a través del punto de enlace de la puerta de enlace. El tráfico se interrumpirá o se enrutará a través de una ruta IPv6 compatible, si existe alguna. Si utilizas un tipo de IP de registro DNS definido por el servicio, asegúrate de que tu servicio pueda gestionar llamadas variables desde varios puntos de conexión del servicio.
En lugar del tipo de IP de registro DNS predeterminado definido por el servicio, puedes personalizar el tipo de IP del registro DNS para elegir qué registros se devuelven para un punto final específico. En la siguiente tabla se muestran los tipos de IP de registro de DNS admitidos y los tipos de registro devueltos:
| Tipo de IP de registro de DNS | Tipos de registros devueltos |
|---|---|
| IPv4 | A |
| IPv6 | AAAA |
| Pila doble | A y AAAA |
| definido por el servicio | Los registros dependen del punto final del servicio |
Para elegir un tipo de IP de registro DNS, debe usar un tipo de dirección IP compatible para el servicio de punto final. En la siguiente tabla se muestra el tipo de IP de registro DNS compatible para cada tipo de dirección IP de los puntos de enlace de puerta de enlace:
| Tipo de dirección IP | Tipos de IP de registros de DNS admitidos |
|---|---|
| IPv4 | IPv4, definido por el servicio* |
| IPv6 | IPv6, definido por el servicio* |
| Pila doble | IPv4, IPv6 Dualstack, definido por el servicio* |
* Representa el tipo de IP del registro de DNS predeterminado.
nota
Para usar tipos de IP de registro DNS distintos de los definidos por el servicio para su punto de enlace de puerta de enlace, debe permitir enableDnsSupport y enableDnsHostnames atribuir atributos en la configuración de la VPC.
No puede cambiar el tipo de IP del registro DNS de un punto final de puerta de enlace de DynamoDB. DynamoDB solo admite el tipo de IP de registro DNS definido por el servicio.
El comportamiento del tipo de IP del registro de DNS es diferente en los puntos de conexión de interfaz. Para obtener más información, consulte el tipo de IP del registro de DNS para los puntos de conexión de interfaz.
