Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Empiece a utilizar AWS PrivateLink
<a name="getting-started"></a>

Este tutorial demuestra cómo enviar una solicitud desde una instancia de EC2 en una subred privada a Amazon CloudWatch mediante AWS PrivateLink.

En el diagrama siguiente se proporciona información general sobre esta situación. Para conectarse desde el equipo a la instancia de la subred privada, primero se conectará a un host bastión de una subred pública. Tanto el host bastión como la instancia deben usar el mismo par de claves. Como el archivo `.pem` de la clave privada está en el equipo, no en el host bastión, utilizará el reenvío de claves SSH. A continuación, puede conectarse a la instancia desde el host bastión sin especificar el archivo `.pem` en el comando **ssh**. Tras configurar un punto de conexión de VPC para CloudWatch, el tráfico de la instancia destinada a CloudWatch se resuelve en la interfaz de red del punto de conexión y, a continuación, se envía a CloudWatch mediante el punto de conexión de VPC.

![\[Una instancia de una subred privada accede a CloudWatch mediante un punto de conexión de VPC.\]](http://docs.aws.amazon.com/es_es/vpc/latest/privatelink/images/getting-started.png)


Para probar, puede utilizar una única zona de disponibilidad. En producción, se recomienda utilizar al menos dos zonas de disponibilidad para conseguir baja latencia y alta disponibilidad.

**Topics**
+ [Paso 1: Creación de una VPC con subredes](#create-vpc-subnets)
+ [Paso 2: Lanzamiento de las instancias](#launch-instances)
+ [Paso 3: Prueba de acceso a CloudWatch](#test-cloudwatch-access)
+ [Paso 4: Creación de un punto de conexión de VPC para acceder a CloudWatch](#create-vpc-endpoint-cloudwatch)
+ [Paso 5: Prueba del punto de conexión de VPC](#test-vpc-endpoint)
+ [Paso 6: limpiar](#clean-up)

## Paso 1: Creación de una VPC con subredes
<a name="create-vpc-subnets"></a>

Utilice el siguiente procedimiento para crear una VPC con una subred pública y una subred privada.

**Para crear la VPC**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Seleccione **Creación de VPC**.

1. En **Resources to create** (Recursos para crear), elija **VPC and more** (VPC y más).

1. En **Generación automática de etiquetas de nombre**, ingrese un nombre para la VPC.

1. Para configurar las subredes, haga lo siguiente:

   1. En **Number of Availability Zones** (Número de zonas de disponibilidad), elija **1** o **2**, según sus necesidades.

   1. En **Number of public subnets** (Número de subredes públicas), asegúrese de tener una subred pública por zona de disponibilidad.

   1. En **Number of private subnets** (Número de subredes privadas), asegúrese de tener una subred privada por zona de disponibilidad.

1. Seleccione **Creación de VPC**.

## Paso 2: Lanzamiento de las instancias
<a name="launch-instances"></a>

Con la VPC que creó en el paso anterior, lance el host bastión en la subred pública y la instancia en la subred privada.

**Requisitos previos**
+ Cree un par de claves con el formato **.pem**. Debe elegir este par de claves al lanzar tanto el host bastión como la instancia.
+ Cree un grupo de seguridad para el host bastión que permita el tráfico SSH entrante desde el bloque CIDR para su equipo.
+ Cree un grupo de seguridad para la instancia que permita el tráfico SSH entrante desde el grupo de seguridad para el host bastión.
+ Cree un perfil de instancia de IAM y asocie la política **CloudWatchReadOnlyAccess**.

**Para lanzar el host bastión**

1. Abra la consola de Amazon EC2 en [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Seleccione **Iniciar instancia**.

1. En **Name** (Nombre), ingrese un nombre para el host bastión.

1. Conserve la imagen y el tipo de instancia predeterminados.

1. En **Key pair** (Par de claves), seleccione su par de claves.

1. En **Network settings** (Configuración de red), haga lo siguiente:

   1. En **VPC**, elija su VPC.

   1. En **Subnet** (Subred), elija la subred pública.

   1. En **Auto-assign public IP** (Autoasignar IP pública), elija **Enable** (Habilitar).

   1. Para **Firewall**, elija **Select existing security group** (Seleccionar un grupo de seguridad existente) y, a continuación, elija el grupo de seguridad para el host bastión.

1. Seleccione **Iniciar instancia**.

**Para lanzar la instancia**

1. Abra la consola de Amazon EC2 en [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Seleccione **Iniciar instancia**.

1. En **Name** (Nombre), ingrese un nombre para la instancia.

1. Conserve la imagen y el tipo de instancia predeterminados.

1. En **Key pair** (Par de claves), seleccione su par de claves.

1. En **Network settings** (Configuración de red), haga lo siguiente:

   1. En **VPC**, elija su VPC.

   1. En **Subnet** (Subred), elija la subred privada.

   1. En **Auto-assign public IP** (Autoasignar IP pública), elija **Disable** (Deshabilitar).

   1. Para **Firewall**, elija **Select existing security group** (Seleccionar un grupo de seguridad existente) y, a continuación, elija el grupo de seguridad para la instancia.

1. Amplíe **Advanced details** (Detalles avanzados). En **IAM instance profile** (Perfil de instancia de IAM), elija el perfil de instancia de IAM.

1. Seleccione **Iniciar instancia**.

## Paso 3: Prueba de acceso a CloudWatch
<a name="test-cloudwatch-access"></a>

Utilice el siguiente procedimiento para confirmar que la instancia no puede acceder a CloudWatch. Lo hará mediante un comando AWS CLI de solo lectura para CloudWatch.

**Para probar el acceso a CloudWatch**

1. Desde el equipo, agregue el par de claves al agente SSH mediante el siguiente comando, donde *key.pem* es el nombre del archivo .pem.

   ```
   ssh-add ./key.pem
   ```

   Si recibe un error que indica que los permisos de su par de claves están demasiado abiertos, ejecute el siguiente comando y, a continuación, vuelva a intentar el comando anterior.

   ```
   chmod 400 ./key.pem
   ```

1. Conéctese al bastión host desde el equipo. Debe especificar la opción `-A`, el nombre de usuario de la instancia (por ejemplo, `ec2-user`) y la dirección IP pública del host bastión.

   ```
   ssh -A ec2-user@bastion-public-ip-address
   ```

1. Conéctese a la instancia desde el host bastión. Debe especificar el nombre de usuario de la instancia (por ejemplo, `ec2-user`) y la dirección IP privada de la instancia.

   ```
   ssh ec2-user@instance-private-ip-address
   ```

1. Ejecute el comando [list-metrics](https://docs.aws.amazon.com/cli/latest/reference/cloudwatch/list-metrics.html) de CloudWatch en la instancia de la siguiente manera. Para la opción `--region`, especifique la región en la que creó la VPC.

   ```
   aws cloudwatch list-metrics --namespace AWS/EC2 --region us-east-1
   ```

1. Transcurridos unos minutos, se agota el tiempo de espera del comando. Esto demuestra que no puede acceder a CloudWatch desde la instancia con la configuración de VPC actual.

   ```
   Connect timeout on endpoint URL: https://monitoring.us-east-1.amazonaws.com/
   ```

1. Manténgase conectado a la instancia. Tras crear el punto de conexión de VPC, volverá a intentar este comando **list-metrics**.

## Paso 4: Creación de un punto de conexión de VPC para acceder a CloudWatch
<a name="create-vpc-endpoint-cloudwatch"></a>

Utilice el siguiente procedimiento para crear un punto de conexión de VPC que se conecte a CloudWatch.

**Requisito previo**  
Cree un grupo de seguridad para el punto de conexión de VPC que permita el tráfico a CloudWatch. Por ejemplo, agregue una regla que permita el tráfico HTTPS desde el bloque CIDR de VPC.

**Para crear un punto de conexión de VPC para CloudWatch**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de navegación, elija **Puntos de conexión**.

1. Elija **Crear punto de conexión**.

1. En **Name tag** (Etiqueta de nombre), ingrese un nombre para el punto de conexión.

1. En **Categoría de servicios**, elija **Servicios de AWS**.

1. En **Service** (Servicio), seleccione **com.amazonaws.*region*.monitoring**.

1. En **VPC**, seleccione la VPC.

1. En **Subnets** (Subredes), seleccione la zona de disponibilidad y, a continuación, seleccione la subred privada.

1. En **Security group** (Grupo de seguridad), seleccione el grupo de seguridad para el punto de conexión de VPC.

1. En **Política**, seleccione **Acceso completo** para permitir todas las operaciones de todas las entidades principales en todos los recursos del punto de conexión de VPC.

1. (Opcional) Para agregar una etiqueta, elija **Agregar etiqueta nueva** e ingrese la clave y el valor de la etiqueta.

1. Elija **Crear punto de conexión**. El estado inicial es **Pending** (Pendiente). Antes de continuar con el paso siguiente, espere a que el estado sea **Available** (Disponible). Este proceso puede tardar unos minutos.

## Paso 5: Prueba del punto de conexión de VPC
<a name="test-vpc-endpoint"></a>

Compruebe que el punto de conexión de VPC esté enviando solicitudes desde su instancia a CloudWatch.

**Para probar el punto de conexión de VPC**  
Ejecute el siguiente comando en la instancia. En la opción `--region`, especifique la región en la que creó el punto de conexión de VPC.

```
aws cloudwatch list-metrics --namespace AWS/EC2 --region us-east-1
```

Si recibe una respuesta, aunque sea una respuesta con resultados vacíos, sabrá que está conectado a CloudWatch mediante AWS PrivateLink.

Si aparece el error `UnauthorizedOperation`, asegúrese de que la instancia tenga un rol de IAM que le permita acceder a CloudWatch.

Si se agota el tiempo de espera de la solicitud, compruebe lo siguiente:
+ El grupo de seguridad del punto de conexión permite el tráfico a CloudWatch.
+ La opción `--region` especifica la región en la que creó el punto de conexión de VPC.

## Paso 6: limpiar
<a name="clean-up"></a>

Si ya no necesita el host bastión y la instancia que creó para este tutorial, puede terminarlos.

**Para terminar las instancias**

1. Abra la consola de Amazon EC2 en [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. En el panel de navegación, seleccione **Instances (Instancias)**.

1. Seleccione ambas instancias de prueba y elija **Instance state** (Estado de la instancia) y **Terminate instance** (Terminar instancia).

1. Cuando se le indique que confirme, elija **Finalizar**.

Si ya no necesita el punto de conexión de VPC, puede eliminarlo.

**Para eliminar el punto de conexión de VPC**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de navegación, elija **Puntos de conexión**.

1. Seleccione el punto de conexión de VPC.

1. Elija **Acciones**, **Eliminar puntos de conexión de VPC**.

1. Cuando se le pida confirmación, ingrese **delete** y elija **Eliminar**.