Modulo de Acreditacion AWS Intro

En este módulo, explorará los siguientes conceptos y aprenderá sobre sus beneficios:
Identificar qué es una nube privada virtual de Amazon (Amazon VPC)
Describir la diferencia entre una Amazon VPC predeterminada y una Amazon VPC
personalizada.
Demostración: implementación de una Amazon VPC simple a través de la consola de

administración de AWS
Demostración: implementación de una Amazon VPC simple a través de la interfaz de línea de

comandos de AWS (AWS CLI)
Nube privada virtual
Lección 4 de 19
¿Qué es una Amazon VPC?
Una VPC es una nube privada virtual. En esencia, una VPC es un centro de datos virtual en la nube.
Las Amazon VPC son redes virtuales, asociadas a una única región de AWS, y es un servicio que
define un límite alrededor de los servicios y recursos de AWS que los clientes eligen implementar y
cómo esos servicios y recursos se comunican entre sí y con redes externas como Internet. AWS
admite configuraciones de nube híbrida que facilitan una conexión entre una Amazon VPC y una
ubicación local, como un centro de datos físico.
Hay dos tipos de Amazon VPC en una cuenta de AWS: una Amazon VPC predeterminada y una
Amazon VPC personalizada.
Amazon VPC predeterminada
Cuando crea una cuenta de AWS, las Amazon VPC predeterminadas se crean en cada región de
AWS admitida. Con la Amazon VPC predeterminada, puede comenzar a implementar recursos de
inmediato y no tener que pensar en la red subyacente.
*Cada Amazon VPC predeterminada crea una subred pública dentro de cada zona de
disponibilidad dentro de la región admitida.
*Cada subred pública está configurada con una ruta predeterminada para todo el tráfico entrante
y saliente que enruta el tráfico IP a Internet en general.
*AWS establece la configuración que permite todo el tráfico, por lo que no hay privacidad ni
aislamiento de forma predeterminada.
*Solo se permite una Amazon VPC predeterminada por región.
*Cada valor predeterminado viene con un rango de enrutamiento entre dominios sin clase (CIDR)
de Amazon VPC, que es un rango determinado de direcciones IP.
*Este CIDR de Amazon VPC predeterminado define el rango de inicio y finalización de la dirección
IP que la Amazon VPC predeterminada puede usar. Todo lo que hay dentro de una Amazon VPC
usa este rango de CIDR. Todas las comunicaciones a Amazon VPC deberán utilizar el CIDR de
Amazon VPC y las comunicaciones salientes serán desde este CIDR de Amazon VPC.
Todas las Amazon VPC predeterminadas se configuran de la misma manera. Para mayor
resistencia, la Amazon VPC predeterminada se divide automáticamente en subredes en las zonas
de disponibilidad.
*Cada Amazon VPC predeterminada está configurada para tener una subred ubicada en cada zona
de disponibilidad de esa región.
* Cada subred de la Amazon VPC predeterminada utiliza parte del rango de direcciones IP del CIDR
de Amazon VPC.
*El rango de direcciones IP de cada subred debe ser único para el rango de direcciones IP de las
otras subredes y no puede superponerse.
Si una zona de disponibilidad falla en su Amazon VPC predeterminada, la subred asociada también
fallará, pero con la Amazon VPC predeterminada, las otras subredes en otras zonas de
disponibilidad seguirán funcionando.
El CIDR de IPv6 de Amazon VPC para su rango de subred es / 64 y el rango de CIDR de Amazon VPC
es / 56. La ruta local se utiliza para comunicarse entre subredes dentro de su Amazon VPC. El CIDR
IPv4 de Amazon VPC predeterminado, 172.31.0.0 / 16, es siempre el mismo y también está
diseñado y configurado del mismo modo.
Amazon VPC personalizado
Una Amazon VPC personalizada es una red virtual aislada lógicamente dentro de una región
compatible con una sola cuenta, lo que la convierte en un servicio regional.
bala
A diferencia de una Amazon VPC predeterminada, cada componente de una Amazon VPC
personalizada debe definirse explícitamente al crearlo; no se permite ni la entrada ni la salida sin
una configuración explícita.
bala
Algunas decisiones, como la compatibilidad con IPv4 e IPv6 y el bloque CIDR para Amazon VPC,
no se pueden modificar más adelante.
bala
Otras características de una Amazon VPC, como subredes, enrutamiento y puntos finales de
VPC, se pueden modificar según sea necesario.
Una Amazon VPC personalizada, similar a una Amazon VPC predeterminada, proporciona una red
virtual aislada lógicamente que admite la implementación de recursos y servicios admitidos por la
región en la que se crea Amazon VPC. Se proporciona un control completo sobre la red virtual
definida por Amazon. VPC.
Esto incluye:
bala
Elegir los rangos de direcciones IP admitidos mediante la definición de cada subred
bala
Administrar el flujo de tráfico interno de la red

bala
Administrar cómo entra y sale el tráfico de Amazon VPC a través de tablas de enrutamiento y
puertas de enlace de red
En una sección posterior de este curso, aprenderá cómo se puede configurar una subred pública
para permitir que una aplicación o recurso tenga acceso a Internet y cómo se puede utilizar una
subred privada, una subred sin acceso a una red externa, para ayudar a proteger una base de
datos. o sistema backend. También aprenderá sobre las múltiples capas de seguridad disponibles a
través de una Amazon VPC y cómo se puede utilizar una Amazon VPC; por ejemplo, ACL de red y
grupos de seguridad para controlar quién y qué tiene acceso a los recursos implementados dentro
de Amazon VPC.
AWS admite la ampliación de su entorno de AWS mediante el establecimiento de una conexión

segura entre una Amazon VPC y una red local mediante:
AWS Direct Connect
Red privada virtual (VPN) de sitio a sitio de AWS
VPN cliente de AWS
Esto se trata con más detalle en el curso Opciones de conectividad de red de AWS.
Amazon VPC predeterminada frente a Amazon VPC personalizada
Amazon VPC predeterminada
Cust
********************************************************************************
**************
Texto original
That handy route table you created in the last lesson? You don't need to create a replica to use it
with your new subnet. Associate the same route table with both subnets because they'll be using
the same routes.
Note that while you can associate one route table with multiple subnets, a subnet cannot be
associated with more than one route table.
2840 / 5000
Resultados de traducción
Descripción general de IAM
Cuando se crea una cuenta de AWS, AWS crea un usuario raíz de la cuenta que tiene permisos
completos para la cuenta de AWS y los permisos para el usuario raíz de la cuenta no se pueden
ajustar. Sin embargo, en la mayoría de los casos, es necesario otorgar permisos a otras personas
de su organización dentro de la cuenta de AWS.
Las organizaciones tienen diferentes usuarios, tal vez un equipo de almacenamiento, ingenieros,
administradores de sistemas, y esas personas necesitan acceso a la cuenta de AWS y también
necesitan acceso a los servicios en la cuenta de AWS. Es una buena práctica de AWS seguir el
principio de privilegios mínimos, lo que significa que solo se debe dar acceso a los usuarios de la
cuenta de AWS a los servicios específicos a los que necesitan acceder. Los usuarios de una cuenta
de AWS solo necesitan permisos para realizar su trabajo; Los permisos extraños aumentan el
riesgo de acciones que están fuera del alcance de su función individual y pueden tener impactos
imprevistos en su entorno de AWS.
Al utilizar el principio de privilegio mínimo, limita el riesgo potencial y se asegura de que los
usuarios solo tengan los permisos necesarios, nada más. Cada cuenta de AWS tiene una cuenta de
usuario raíz. El usuario raíz de la cuenta siempre tiene acceso completo a la cuenta y a los servicios
de AWS, lo que le permite anular cualquier control de seguridad excesivamente restrictivo
implementado por cuentas IAM no raíz.
Los usuarios de IAM representan personas y también aplicaciones que necesitan acceso a una
cuenta de AWS.
Los grupos de IAM son grupos de usuarios relacionados, por ejemplo, su equipo de desarrollo,
administradores de sistemas, ingenieros de almacenamiento y el equipo de finanzas.
Los servicios de AWS utilizan los roles de IAM. Los roles de IAM también se pueden utilizar para
otorgar acceso externo a su cuenta de AWS junto con acceso a recursos y servicios en la cuenta de
AWS. Por ejemplo, una instancia de Amazon Elastic Compute Cloud (Amazon EC2) dentro de su
cuenta de AWS requiere acceso programable a Amazon CloudWatch, Amazon Simple Storage
Service (Amazon S3) y similares.
Las políticas de IAM se utilizan para permitir o denegar el acceso a los servicios de AWS. Las
políticas de IAM deben estar asociadas a un usuario de IAM, un grupo de IAM o una función de
IAM. AWS proporciona políticas preconfiguradas, políticas administradas por AWS, que se pueden
asignar según sea necesario. Los clientes también pueden crear políticas en línea personalizadas
que permitan o denieguen combinaciones únicas de permisos que se adapten mejor al entorno de
AWS del cliente. Por sí solas, las políticas simplemente se quedan ahí, para tomar medidas deben
estar vinculadas a un usuario, un grupo o un rol.
En una descripción general de alto nivel, IAM actúa como un proveedor de identidad (IdP) y
administra las identidades dentro de una cuenta de AWS. IAM autentica estas identidades
facilitando que las actividades de inicio de sesión de la cuenta de AWS puedan iniciar sesión en la
cuenta de AWS, y luego autoriza a esas identidades a acceder a los recursos o denegar el acceso a
los recursos según las políticas adjuntas.
La siguiente lección trata sobre cómo agregar controles de seguridad a una Amazon VPC.
Hay dos funciones de seguridad principales disponibles para su Amazon VPC: listas de control de
acceso a la red (ACL de red) y grupos de seguridad.
ACL de red
Las listas de control de acceso a la red (ACL de red) son un tipo de filtro de seguridad como un
firewall que puede filtrar el tráfico que intenta entrar o salir de una subred. Las ACL de red se
adjuntan a nivel de subred y, de forma predeterminada, se crea una ACL de red para una Amazon
VPC predeterminada y se asocia con todas las subredes en su Amazon VPC predeterminada.
Las ACL de red administran el tráfico que entra o sale de una subred porque las ACL de red están
asociadas con la subred, no con recursos dentro de la subred. Las ACL de red solo administran el
tráfico que cruza el límite de la subred.
Si dos instancias de Amazon EC2 en una subred se están comunicando, las ACL de red no estarán
involucradas si la comunicación entre las dos instancias no cruza el límite de la subred.
***************************
Grupos de seguridad
Los grupos de seguridad son la otra característica de seguridad de una Amazon VPC. A diferencia
de las ACL de red, los grupos de seguridad se adjuntan a los recursos de AWS, específicamente a
las interfaces de red elásticas (ENI), no a las subredes de Amazon VPC.
Los grupos de seguridad ofrecen algunas ventajas en comparación con las ACL de red, ya que
pueden reconocer los recursos de AWS y filtrar en función de ellos. Los grupos de seguridad
pueden hacer referencia a otros grupos de seguridad y también a sí mismos.
Sin embargo, los grupos de seguridad no pueden bloquear explícitamente el tráfico. Si necesita
bloquear una determinada dirección IP o un bloque de direcciones IP, necesitará ayuda de las ACL
de la red.
Límite de subred: ACL de red
De forma predeterminada, todas las Amazon VPC vienen con una lista de control de acceso a la
red predeterminada (ACL de red), asociada automáticamente con cualquier subred que no esté
asociada con otra ACL de red. La ACL de red predeterminada permite que todo el tráfico entre y
salga de forma predeterminada. La ACL de red predeterminada solo se aplica a las subredes con
las que está asociada.
Al igual que con las tablas de enrutamiento, puede editar la ACL de red predeterminada o crear
nuevas ACL de red que luego se pueden asociar con una o más subredes.
Las ACL de red son una excelente manera de limitar un amplio rango de direcciones IP para que no
obtengan acceso a una subred o desde ella. Por ejemplo, si está protegiendo una aplicación
comercial y desea evitar que ingrese todo el tráfico público, debe configurar la ACL de la red para
que solo permita el paso de direcciones IP privadas, lo que proporciona una línea de defensa
adicional.
Más información sobre este texto de origen
Para obtener más información sobre la traducción, se necesita el texto de origen
Enviar comentarios
Paneles laterales
Límite de instancia: grupos de seguridad
Las instancias de Amazon EC2 tienen una capa adicional de seguridad de tráfico a través de grupos
de seguridad. Estos operan en el límite de la instancia.
Nota: Si bien las instancias pueden pertenecer al mismo grupo de seguridad (como se muestra
aquí), eso no significa que las instancias del mismo grupo puedan acceder entre sí de forma
predeterminada. Los grupos de seguridad son solo grupos de reglas que se aplican a cada instancia
por separado.
Las ACL de red especifican explícitamente qué tráfico está o no está permitido. Las reglas del
grupo de seguridad solo especifican qué tráfico está permitido, mientras que el resto del tráfico
está bloqueado.
De forma predeterminada, los nuevos grupos de seguridad no tienen reglas de tráfico entrante, lo
que bloquea todo el tráfico entrante. Esto evita exponer accidentalmente su nueva instancia a
Internet sin los controles de seguridad adecuados en su lugar.
Antes de cambiar las reglas del grupo de seguridad en sus instancias, asegúrese de restringirlas
correctamente. La seguridad dentro de su Amazon VPC es su responsabilidad.
Sin estado en comparación con los controles con estado
Las ACL de red no tienen estado, lo que significa que si se permite la entrada de tráfico, la
respuesta de salida a ese tráfico NO se permite de forma predeterminada.
Para las reglas de ACL de red, la dirección y el puerto entrantes y salientes deberán agregarse
explícitamente.
Las ACL de red solo ven el tráfico en una dirección, por lo que si hay un permiso para una regla de
entrada, también debe haber un permiso para la regla de salida. Luego, la ACL de la red verá
explícitamente que el tráfico que se permitió la entrada también se permite la salida.
Las ACL de red ven el tráfico como dos flujos diferentes, se necesitan dos reglas, una regla para
cada flujo. Si no se agrega una regla de salida, solo se permitirá la entrada del tráfico.
Sin embargo, los grupos de seguridad tienen estado. Si se permite la entrada de tráfico, la
respuesta de salida a ese tráfico se permite salir automáticamente.
Los grupos de seguridad tienen reglas de entrada y salida, pero debido a que los grupos de
seguridad tienen estado, eso significa que si se permite la entrada de tráfico, se permite la salida
de tráfico automáticamente.
Los grupos de seguridad ven el tráfico entrante y saliente como parte del mismo flujo.
Una diferencia entre los grupos de seguridad y las ACL de red es que los grupos de seguridad
reconocen los recursos de AWS. Por lo tanto, para una instancia de Amazon EC2, el ID de instancia
podría agregarse a la regla del grupo de seguridad para esa instancia para permitir el tráfico desde
la instancia. Los clientes también pueden agregar reglas para otros grupos de seguridad o agregar
una regla para el grupo de seguridad ellos mismos.
Otra gran distinción es que los grupos de seguridad tienen una denegación explícita oculta, lo que
significa que se niega cualquier cosa que no esté explícitamente permitida.
Mejores prácticas de seguridad adicionales de Amazon VPC
Utilice Amazon CloudWatch para supervisar sus componentes de Amazon VPC
CloudWatch no es solo para monitorear sus necesidades de capacidad; también es otra forma de
saber si su infraestructura se ha visto comprometida.
Detectar y alertar a sus administradores sobre picos inusuales en la CPU, la memoria o las
necesidades de capacidad de la red lo ayuda a identificar la actividad maliciosa de la que debe
ocuparse lo antes posible.
CloudWatch también puede monitorear sus puntos de enlace VPN, puertas de enlace NAT y AWS
Transit Gateways, todos los cuales son recursos de Amazon VPC.
Para obtener más información, consulte CloudWatch.
Enviar comentarios
Paneles laterales
Utilice registros de flujo de VPC para capturar información sobre el tráfico
Utilice registros de flujo de VPC para capturar información sobre el tráfico
Los registros de flujo de VPC capturan información sobre el tráfico de IP que va y viene de las
interfaces de red en su Amazon VPC. Son una gran herramienta para identificar problemas con el
tráfico de su red, incluso de actividad no deseada o incluso simplemente para identificar reglas de
seguridad que están creando bloqueos innecesarios en el flujo de su tráfico deseado.
Los datos del registro de flujo no afectan el rendimiento ni la latencia de la red porque se recopilan
fuera de la ruta del tráfico de su red.
Una vez que haya configurado un registro de flujo para su Amazon VPC, puede designar un bucket
de Amazon S3 para almacenarlos. Luego, esos registros pueden revisarse manualmente o incluso
manejarse mediante una solución de procesamiento de datos para automatizar la detección de
problemas en el tráfico de su red. .
Nota: Los registros de flujo de VPC no capturan la carga útil del paquete.
Para obtener más información, consulte Registros de flujo de VPC.
Enviar comentarios
Paneles laterales
Encadenar grupos de seguridad juntos
Encadenar grupos de seguridad agrega seguridad por capas.
Permita el acceso del puerto 22 [Secure Shell (SSH)] a cada nivel para la administración.
Solo permita que sus servidores web tengan el puerto 80 (HTTP) o el puerto 443 (HTTPS)
abiertos a Internet.
Sus servidores de aplicaciones solo permitirían el tráfico que se originó en el grupo de seguridad
del servidor web.
Los servidores de su base de datos solo permitirían el tráfico que se originó en el grupo de
seguridad del servidor de aplicaciones.
De esta manera, sus grupos de seguridad se encadenan juntos desde el servidor web al servidor de
aplicaciones y la base de datos, evitando el acceso no autorizado que no siguió ese patrón.
Enviar comentarios
Paneles laterales
Añadiendo alta disponibilidad
¿Cómo se manejan las interrupciones en la disponibilidad de los recursos de su aplicación?

¿Recuerda la Amazon VPC personalizada que se creó en el primer módulo? ¿Cómo puede hacer
que esté altamente disponible para reducir las interrupciones y agregar alta disponibilidad y
escalabilidad a la Amazon VPC personalizada?
AWS proporciona equilibradores de carga para lograr alta disponibilidad, tolerancia a fallas y
escalado, y también Amazon VPC personalizadas donde se pueden configurar dos subredes, cada
una en una zona de disponibilidad separada que crea un diseño Multi-AZ.
Un equilibrador de carga es un recurso que se utiliza para distribuir las conexiones entrantes entre
un grupo de servidores o servicios. Las conexiones entrantes se realizan al equilibrador de carga,
que luego distribuye las conexiones a los servidores o servicios. Los balanceadores de carga son
excelentes para combinar con un grupo de Auto Scaling de AWS para mejorar la alta
disponibilidad, tolerancia a fallas y escalabilidad de una aplicación.
Elastic Load Balancing (ELB) distribuye automáticamente el tráfico de aplicaciones entrante a

través de múltiples destinos, como instancias de Amazon EC2, contenedores, direcciones IP,
funciones de AWS Lambda y dispositivos virtuales. Puede manejar la carga variable del tráfico de
su aplicación en una única zona de disponibilidad o en varias zonas de disponibilidad.
Todos los balanceadores de carga elásticos ofrecen alta disponibilidad, escalado automático y
seguridad sólida necesaria para que sus aplicaciones sean tolerantes a fallas. AWS proporciona
cuatro tipos de equilibradores de carga; cada uno ofrece ventajas para configuraciones específicas.
Enviar comentarios
Paneles laterales

Balanceador de carga clásico
Balanceador de carga de aplicaciones
Equilibrador de carga de red
Balanceador de carga de puerta de enlace
********************************************
Módulo 1: Implementación de Amazon VPC
personalizada.


Módulo 2: Asegurar y configurar la alta disponibilidad
Describir AWS Identity and Access Management (IAM)

Identificar listas de control de acceso a la red (ACL de red)
Identificar grupos de seguridad
Comparar y contrastar controles sin estado y con estado
Identificar Elastic Load Balancing y los diferentes tipos
Module 3: Multi-Tier Application Architecture
In this module, you explore the following concepts and learn about their benefits:
Explain how to design a custom Amazon VPC for your requirements
Describe a multi-tier application architecture design
Identify how to strengthen security by customizing an Amazon VPC
Identify how to limit exposure to resources in an Amazon VPC
Módulo 4: Compruebe su comprensión
Aplicar los conocimientos de los módulos 1 a 3.
********************************************
personalizada.


************************************************************************
La tenencia define cómo se distribuyen las instancias EC2 en el hardware físico y afecta a los
precios. Hay tres opciones de tenencia disponibles: Compartido ( default ): varios Cuentas de AWS
Puede compartir el mismo hardware físico.
las coneciones de esta: como crear un gatewate, redirecionar el trafico con las
Las puertas de enlace de Internet son:
Escalado horizontalmente
Redundante
Altamente disponible
Recordar:
Las Amazon VPC viven completamente dentro de la nube de AWS.
Una Amazon VPC vive en una región.
Una subred solo puede vivir en una zona de disponibilidad.
Algunos recursos de AWS deben iniciarse en una Amazon VPC.
Las puertas de enlace de Internet permiten que sus recursos de VPC lleguen a Internet.
Las tablas de ruta controlan el enrutamiento del tráfico que entra, sale y se mueve dentro de su
Amazon VPC.
***************
* Los usuarios de IAM representan personas y también aplicaciones que necesitan acceso a una
cuenta de AWS.
* Los grupos de IAM son grupos de usuarios relacionados, por ejemplo, su equipo de desarrollo,
administradores de sistemas, ingenieros de almacenamiento y el equipo de finanzas.
* Los servicios de AWS utilizan los roles de IAM. Los roles de IAM también se pueden utilizar para
otorgar acceso externo a su cuenta de AWS junto con acceso a recursos y servicios en la cuenta de
AWS. Por ejemplo, una instancia de Amazon Elastic Compute Cloud (Amazon EC2) dentro de su
cuenta de AWS requiere acceso programable a Amazon CloudWatch, Amazon Simple Storage
Service (Amazon S3) y similares.
* Las políticas de IAM se utilizan para permitir o denegar el acceso a los servicios de AWS. Las
políticas de IAM deben estar asociadas a un usuario de IAM, un grupo de IAM o una función de
IAM. AWS proporciona políticas preconfiguradas, políticas administradas por AWS, que se pueden
asignar según sea necesario. Los clientes también pueden crear políticas en línea personalizadas
que permitan o denieguen combinaciones únicas de permisos que se adapten mejor al entorno de
AWS del cliente. Por sí solas, las políticas simplemente se quedan ahí, para tomar medidas deben
estar vinculadas a un usuario, un grupo o un rol.
* En una descripción general de alto nivel, IAM actúa como un proveedor de identidad (IdP) y
administra las identidades dentro de una cuenta de AWS. IAM autentica estas identidades
facilitando que las actividades de inicio de sesión de la cuenta de AWS puedan iniciar sesión en la
cuenta de AWS, y luego autoriza a esas identidades a acceder a los recursos o denegar el acceso a
los recursos según las políticas adjuntas.
Hay dos funciones de seguridad principales disponibles para su Amazon VPC: listas de control de
acceso a la red (ACL de red) y grupos de seguridad.
ACL de red
Las listas de control de acceso a la red (ACL de red) son un tipo de filtro de seguridad como un
firewall que puede filtrar el tráfico que intenta entrar o salir de una subred. Las ACL de red se
adjuntan a nivel de subred y, de forma predeterminada, se crea una ACL de red para una Amazon
VPC predeterminada y se asocia con todas las subredes en su Amazon VPC predeterminada.
Las ACL de red administran el tráfico que entra o sale de una subred porque las ACL de red están
asociadas con la subred, no con recursos dentro de la subred. Las ACL de red solo administran el
tráfico que cruza el límite de la subred.
Si dos instancias de Amazon EC2 en una subred se están comunicando, las ACL de red no estarán
involucradas si la comunicación entre las dos instancias no cruza el límite de la subred.
Grupos de seguridad
Los grupos de seguridad son la otra característica de seguridad de una Amazon VPC. A diferencia
de las ACL de red, los grupos de seguridad se adjuntan a los recursos de AWS, específicamente a
las interfaces de red elásticas (ENI), no a las subredes de Amazon VPC.
Los grupos de seguridad ofrecen algunas ventajas en comparación con las ACL de red, ya que
pueden reconocer los recursos de AWS y filtrar en función de ellos. Los grupos de seguridad
pueden hacer referencia a otros grupos de seguridad y también a sí mismos.
Sin embargo, los grupos de seguridad no pueden bloquear explícitamente el tráfico. Si necesita
bloquear una determinada dirección IP o un bloque de direcciones IP, necesitará ayuda de las ACL
de la red.
*********************************************************************
By default, all Amazon VPCs come with a default network access control list (network ACL),
automatically associated with any subnets not associated with another network ACL. The default
network ACL allows all traffic in and out by default. The default network ACL only applies to
subnets it is associated with.
Like with route tables, you can edit the default network ACL or create new network ACLs that can
then be associated with one or more subnets.
Las ACL de red son una excelente manera de limitar un amplio rango de direcciones IP para que no
obtengan acceso a una subred o desde ella. Por ejemplo, si está protegiendo una aplicación
comercial y desea evitar que ingrese todo el tráfico público, debe configurar la ACL de la red para
que solo permita el paso de direcciones IP privadas, lo que proporciona una línea de defensa
adicional.
Las instancias de Amazon EC2 tienen una capa adicional de seguridad de tráfico a través de grupos
de seguridad. Estos operan en el límite de la instancia.
Nota: Si bien las instancias pueden pertenecer al mismo grupo de seguridad (como se muestra
aquí), eso no significa que las instancias del mismo grupo puedan acceder entre sí de forma
predeterminada. Los grupos de seguridad son solo grupos de reglas que se aplican a cada instancia
por separado.
Las ACL de red especifican explícitamente qué tráfico está o no está permitido. Las reglas del
grupo de seguridad solo especifican qué tráfico está permitido, mientras que el resto del tráfico
está bloqueado.
De forma predeterminada, los nuevos grupos de seguridad no tienen reglas de tráfico entrante, lo
que bloquea todo el tráfico entrante. Esto evita exponer accidentalmente su nueva instancia a
Internet sin los controles de seguridad adecuados en su lugar.
Antes de cambiar las reglas del grupo de seguridad en sus instancias, asegúrese de restringirlas
correctamente. La seguridad dentro de su Amazon VPC es su responsabilidad.
**************************************************************
Sin estado en comparación con los controles con estado
Las ACL de red no tienen estado, lo que significa que si se permite la entrada de tráfico, la
respuesta de salida a ese tráfico NO se permite de forma predeterminada.
* Para las reglas de ACL de red, la dirección y el puerto entrantes y salientes deberán agregarse
explícitamente.
* Las ACL de red solo ven el tráfico en una dirección, por lo que si hay un permiso para una regla
de entrada, también debe haber un permiso para la regla de salida. Luego, la ACL de la red verá
explícitamente que el tráfico que se permitió la entrada también se permite la salida.
* Las ACL de red ven el tráfico como dos flujos diferentes, se necesitan dos reglas, una regla para
cada flujo. Si no se agrega una regla de salida, solo se permitirá la entrada del tráfico.
Sin embargo, los grupos de seguridad tienen estado. Si se permite la entrada de tráfico, la
respuesta de salida a ese tráfico se permite salir automáticamente.
* Los grupos de seguridad tienen reglas de entrada y salida, pero debido a que los grupos de
seguridad tienen estado, eso significa que si se permite la entrada de tráfico, se permite la salida
de tráfico automáticamente.
* Los grupos de seguridad ven el tráfico entrante y saliente como parte del mismo flujo.
* Una diferencia entre los grupos de seguridad y las ACL de red es que los grupos de seguridad
reconocen los recursos de AWS. Por lo tanto, para una instancia de Amazon EC2, el ID de instancia
podría agregarse a la regla del grupo de seguridad para esa instancia para permitir el tráfico desde
la instancia. Los clientes también pueden agregar reglas para otros grupos de seguridad o agregar
una regla para el grupo de seguridad ellos mismos.
* Otra gran distinción es que los grupos de seguridad tienen una denegación explícita oculta, lo
que significa que se niega cualquier cosa que no esté explícitamente permitida.
Mejores prácticas de seguridad adicionales de Amazon VPC
Utilice varias implementaciones de la zona de disponibilidad para tener alta disponibilidad
En la siguiente lección aprenderá que las implementaciones Multi-AZ se consideran una práctica
recomendada para cualquier aplicación que necesite alta disponibilidad. Los recursos adicionales
extienden la superficie de ataque potencial y brindan una forma rápida de reemplazar los recursos
que se han eliminado debido a actividades maliciosas.
Detectar y alertar a sus administradores sobre picos inusuales en la CPU, la memoria o las
necesidades de capacidad de la red lo ayuda a identificar la actividad maliciosa de la que debe
ocuparse lo antes posible.
CloudWatch también puede monitorear sus puntos de enlace VPN, puertas de enlace NAT y AWS
Transit Gateways, todos los cuales son recursos de Amazon VPC.
Para obtener más información, consulte CloudWatch.
******************
Use VPC flow logs to capture traffic information
VPC flow logs capture information about IP traffic going to and from network interfaces in your
Amazon VPC. They're a great tool for identifying problems with your network's traffic, including
from undesired activity or even just to identify security rules that are creating unnecessary blocks
in the flow of your desired traffic.
Flow log data does not affect network throughput or latency because it's collected outside of the
path of your network traffic.
Once you've set up a flow log for your Amazon VPC, you can designate an Amazon S3 bucket to
store them in. Those logs can then be reviewed manually or even handled by a data processing
solution to automate detection of problems in your network traffic.
Note: VPC flow logs do not capture packet payload.
For more information see VPC flow logs.
***********************************************************
Encadenar grupos de seguridad juntos
-
Encadenar grupos de seguridad agrega seguridad por capas.
Permita el acceso del puerto 22 [Secure Shell (SSH)] a cada nivel para la administración.
Solo permita que sus servidores web tengan el puerto 80 (HTTP) o el puerto 443 (HTTPS)
abiertos a Internet.
Sus servidores de aplicaciones solo permitirían el tráfico que se originó en el grupo de seguridad
del servidor web.
Los servidores de su base de datos solo permitirían el tráfico que se originó en el grupo de
seguridad del servidor de aplicaciones.
De esta manera, sus grupos de seguridad se encadenan juntos desde el servidor web al servidor de
aplicaciones y la base de datos, evitando el acceso no autorizado que no siguió ese patrón.
**************************
***************************************************************
Añadiendo alta disponibilidad
¿Cómo se manejan las interrupciones en la disponibilidad de los recursos de su aplicación?

¿Recuerda la Amazon VPC personalizada que se creó en el primer módulo? ¿Cómo puede hacer
que esté altamente disponible para reducir las interrupciones y agregar alta disponibilidad y
escalabilidad a la Amazon VPC personalizada?
AWS proporciona equilibradores de carga para lograr alta disponibilidad, tolerancia a fallas y
escalado, y también Amazon VPC personalizadas donde se pueden configurar dos subredes, cada
una en una zona de disponibilidad separada que crea un diseño Multi-AZ.
Classsic Load Balancer
AWS comenzó con un tipo de equilibrador de carga que era un equilibrador de carga elástico. El
balanceador de carga elástico no proporcionó muchas funciones, por lo que AWS agregó más
funciones y creó un balanceador de carga de aplicaciones. Luego, AWS agregó aún más funciones y
lanzó Network Load Balancer, etc.
El balanceador de carga heredado para AWS, el balanceador de carga elástico, es en realidad el

balanceador de carga clásico. Classic Load Balancer, Application Load Balancer, Network Load
Balancer y Gateway Load Balancer, estos servicios conforman la familia de productos conocida
como Elastic Load Balancing (ELB).
No se recomienda el uso de Classic Load Balancers a menos que tenga servicios o aplicaciones
heredados que necesiten Classic Load Balancer. Se recomienda elegir Application Load Balancer en
lugar de Classic Load Balancer siempre que sea posible.
**********************************************
Application Load Balancer
El balanceador de carga de aplicaciones se conoce como un balanceador de carga de capa 7 del

modelo de interconexión de sistemas abiertos (OSI). La capa 7 significa que Application Load
Balancer puede inspeccionar los datos que se pasan a través de él y puede comprender la capa de
la aplicación, a saber, HTTP y HTTP. El Balanceador de carga de aplicaciones puede tomar acciones
basadas en elementos de ese protocolo, como rutas, encabezados y hosts.
Todos los balanceadores de carga de AWS son escalables y de alta disponibilidad. Application Load
Balancer tiene nodos individuales que se ejecutan en cada zona de disponibilidad que están
configurados con Application Load Balancer. Los Balanceadores de carga de aplicaciones pueden
estar conectados a Internet o ser internos; la diferencia es que los Application Load Balancers con
conexión a Internet tendrán direcciones IP públicas y los Application Load Balancers internos
tendrán direcciones IP privadas.
Un balanceador de carga de aplicaciones orientado a Internet está diseñado para conectarse

desde Internet y esas conexiones del balanceador de carga se conectan a las instancias de destino.
Los equilibradores de carga internos no son accesibles desde Internet y se utilizan para equilibrar
cargas dentro de Amazon VPC o entre las capas de una aplicación de varios niveles.
Una vez más, los Application Load Balancers externos escuchan desde el exterior y envían tráfico a
objetivos o grupos de objetivos dentro de una Amazon VPC. Los balanceadores de carga de
aplicaciones se facturan a una tarifa por hora y una tarifa adicional basada en la carga colocada en
su balanceador de carga.
**********************************************
Network Load Balancer.
Los Equilibradores de carga de red tienen ventajas sobre los Equilibradores de carga de
aplicaciones porque un Equilibrador de carga de red no necesita preocuparse por el protocolo de
capa superior y es mucho más rápido. Los Equilibradores de carga de red pueden manejar cargas
de trabajo de alto nivel y escalar a millones de solicitudes por segundo.
Los Equilibradores de carga de red pueden asignar direcciones IP estáticas, son más fáciles de
integrar con productos de seguridad y firewall. Los Equilibradores de carga de red también
admiten solicitudes de enrutamiento en varias aplicaciones en una sola instancia de Amazon EC2 y
admiten el uso de aplicaciones en contenedores.
Los Application Load Balancers son excelentes para el soporte de protocolo de capa 7 de gama
alta, y los Network Load Balancers admiten todos los demás protocolos y pueden manejar millones
de solicitudes.
**********************************************
Gateway Load Balancer.
357 / 5000
Los balanceadores de carga de puerta de enlace le permiten implementar, escalar y administrar

dispositivos virtuales, como firewalls, sistemas de detección y prevención de intrusiones y
sistemas de inspección profunda de paquetes. Combina una puerta de enlace de red transparente
(es decir, un único punto de entrada y salida para todo el tráfico) y distribuye el tráfico mientras
escala sus dispositivos virtuales con la demanda.
Un Gateway Load Balancer opera en la tercera capa del modelo de interconexión de sistemas
abiertos (OSI), la capa de red.
Escucha todos los paquetes IP en todos los puertos y reenvía el tráfico al grupo objetivo que se
especifica en la regla de escucha.
Mantiene la rigidez de los flujos a un dispositivo de destino específico utilizando 5 tuplas (para
flujos TCP / UDP) o 3 tuplas (para flujos que no son TCP / UDP).
Gateway Load Balancer y sus instancias de dispositivos virtuales registrados intercambian tráfico
de aplicaciones utilizando el protocolo GENEVE en el puerto 6081. Admite un tamaño máximo de
unidad de transmisión (MTU) de 8.500 bytes.
Los balanceadores de carga de puerta de enlace utilizan puntos finales de balanceador de carga de
puerta de enlace para intercambiar tráfico de forma segura a través de los límites de la VPC. Un
extremo de Gateway Load Balancer es un extremo de VPC que proporciona conectividad privada
entre dispositivos virtuales en la VPC del proveedor de servicios y los servidores de aplicaciones en
la VPC del consumidor de servicios. Implementa Gateway Load Balancer en la misma VPC que los
dispositivos virtuales. Registre los dispositivos virtuales con un grupo de destino para Gateway
Load Balancer.
El tráfico hacia y desde un punto final de Gateway Load Balancer se configura mediante tablas de
enrutamiento.
El tráfico fluye desde la VPC del consumidor de servicios a través del punto de enlace de Gateway
Load Balancer al Gateway Load Balancer en la VPC del proveedor de servicios y luego regresa a la
VPC del consumidor de servicios.
Debe crear el punto final de Gateway Load Balancer y los servidores de aplicaciones en diferentes
subredes.
Esto le permite configurar el punto final de Gateway Load Balancer como el siguiente salto en la
tabla de enrutamiento para la subred de la aplicación.
Hacer que las Amazon VPC sean altamente disponibles, escalables y tolerantes a fallas
********************************************
Necesitarás una segunda subred
El primer paso es crear una segunda subred en la que ponga a disposición otro conjunto de
recursos similares a los del primero. Estos recursos pueden estar disponibles todo el tiempo,
absorbiendo una parte del tráfico para garantizar que su aplicación aún esté activa si los recursos
de uno no están disponibles por algún motivo.
La segunda subred también se puede utilizar para una opción de conmutación por error en frío. Si
su aplicación deja de estar disponible, con AWS Auto Scaling, puede designar que un nuevo
conjunto de recursos se lance automáticamente en su segunda subred. Sus usuarios pueden ser
redirigidos automáticamente a los nuevos recursos cuando estén disponibles, utilizando una
opción de administración de tráfico como Elastic Load Balancing o Amazon Route 53.
Esta opción tendría algún tiempo de inactividad, pero sus costos probablemente serían más bajos
que con la primera opción.
Para obtener más información, consulte AWS Auto Scaling.
*********************************************
Use un equilibrador de carga para administrar el tráfico
Ahora que tiene dos subredes, ¿cómo puede administrar el tráfico entre ellas?
Un Application Load Balancer (ALB) del servicio Elastic Load Balancing puede distribuir la carga
entre los puntos finales de sus subredes. Puede dividir el tráfico entre esos recursos según las
necesidades comerciales o usar su ALB para realizar pruebas A / B e implementaciones azul /
verde.
Para obtener más información, consulte Configuración de un equilibrador de carga para la

implementación azul / verde.
********************************************
Utilice un enfoque Multi-AZ
AWS recomienda mantener su segunda subred en una zona de disponibilidad separada para lograr
redundancia y tolerancia a fallas. Esto distribuye su riesgo, por lo que si los recursos de una zona
de disponibilidad dejan de estar disponibles, los recursos de la segunda zona de disponibilidad no
se verán afectados.
********************************************
Puede asociar tablas de enrutamiento con varias subredes
¿Esa práctica tabla de rutas que creó en la última lección? No es necesario crear una réplica para
usarla con su nueva subred. Asocie la misma tabla de rutas con ambas subredes porque usarán las
mismas rutas.
Tenga en cuenta que, si bien puede asociar una tabla de enrutamiento con varias subredes, una
subred no se puede asociar con más de una tabla de enrutamiento.
********************************************
Pasa de los recursos no saludables a los saludables.

Elastic Load Balancing también proporciona comprobaciones de estado de los recursos asociados,
lo que permite que su infraestructura cambie automáticamente por error las conexiones de
recursos en mal estado a recursos en buen estado.
********************************************
En este módulo, aprendió a:
Describir AWS Identity and Access Management (IAM)
Identificar listas de control de acceso a la red (ACL de red)
Identificar grupos de seguridad
Comparar y contrastar controles sin estado y con estado
Identificar Elastic Load Balancing y los diferentes tipos
En el siguiente módulo, explorará cómo limitar la exposición a los recursos en una Amazon VPC y
cómo diseñar una Amazon VPC personalizada para sus necesidades específicas.
También presentamos una arquitectura de aplicaciones de varios niveles para ver cómo agregar
capas adicionales de defensa a su Amazon VPC personalizada entre los atacantes y sus recursos
confidenciales agrega más seguridad.
***************************************
Introducción: arquitectura de varios niveles
Explique cómo diseñar una Amazon VPC personalizada para sus requisitos.
Describir un diseño de arquitectura de aplicaciones de varios niveles.
Identificar cómo fortalecer la seguridad personalizando una Amazon VPC
Identificar cómo limitar la exposición a los recursos en una Amazon VPC
Lista para la producción: arquitectura de varios niveles para una VPC de Amazon
Para fortalecer la seguridad de los recursos y el servicio dentro de su Amazon VPC, la utilización de
un diseño de arquitectura de aplicaciones de varios niveles puede proporcionar un control más
granular del tráfico de red.
********************************************************************
Estrategias de diseño de Amazon VPC
¿Cuál es su diseño de infraestructura? En un nivel alto, el diseño de su infraestructura es el

documento, diagrama o visión que abarca todas las características de su infraestructura que
respalda sus aplicaciones alojadas. Un diseño incluirá los requisitos, restricciones y supuestos que
abordan la disponibilidad, la capacidad de administración, el rendimiento, la capacidad de
recuperación y la seguridad de los sistemas y recursos que respaldan y alojan los flujos de trabajo
de automatización de su negocio. Para esta sección, el enfoque se limitará a un análisis del diseño
de la arquitectura de aplicaciones de un solo nivel y de varios niveles.
Una estrategia eficaz para proteger los recursos y los datos confidenciales en la nube requiere una
buena comprensión de los patrones generales de seguridad de los datos y una asignación clara de
estos patrones a los controles de seguridad de la nube. Estos controles se pueden aplicar en un
diseño de aplicación de varios niveles, a los detalles del nivel de implementación específicos de los
almacenes de datos, a la capa de la base de datos donde residen Amazon Relational Database
Service (Amazon RDS) y Amazon DynamoDB o la capa web o de aplicación donde las instancias
Amazon EC2 residir. Nuevamente, ¿cuál es el diseño de su infraestructura?
AWS proporciona AWS Cloud Adoption Framework (AWS CAF), que brinda orientación y mejores
prácticas para ayudar a crear un enfoque integral de la computación en la nube en toda su
organización. Dentro de este marco, la perspectiva de seguridad de AWS CAF cubre cinco
capacidades clave:
1 AWS Identity and Access Management (IAM): defina, aplique y audite los permisos de usuario en
los servicios, acciones y recursos de AWS.
2 Control de detectives: mejore su postura de seguridad, reduzca el perfil de riesgo de su entorno

y obtenga la visibilidad que necesita para detectar problemas antes de que afecten a su negocio.
3 Seguridad de la infraestructura: reduzca la superficie de la infraestructura que administra y

aumente la privacidad y el control de su infraestructura general en AWS.
4 Protección de datos: implemente medidas de seguridad adecuadas que ayuden a proteger los
datos en tránsito y en reposo mediante el uso de servicios cifrados integrados de forma nativa.
5 Respuesta a incidentes: Defina y lance una respuesta a incidentes de seguridad como guía para
la planificación de la seguridad.
El primer paso al implementar la Perspectiva de seguridad de AWS CAF es pensar en la seguridad
desde una perspectiva de datos. Es imperativo conocer y comprender las necesidades comerciales,
los objetivos comerciales y la estructura de la cuenta desde el principio. Los clientes deben incluir
esto al principio del proceso de diseño, ya que esto hará que la estrategia de la cuenta y el diseño
de la cuenta vuelvan al AWS Well-Architected Framework. En lugar de pensar en el diseño y la
seguridad de los datos locales y externos, piense en los datos que está protegiendo, cómo se
almacenan y quién tiene acceso a ellos.
¿Cuáles son las mejores prácticas para el diseño de arquitectura de aplicaciones?
Práctica recomendada: limitar la exposición de los recursos (Best practice: Limit exposure of
resources)
De un solo nivel - Single-tier
Cuando cree su Amazon VPC, piense en cuántas capas de seguridad colocará entre sus atacantes
potenciales y sus recursos críticos.
Una arquitectura de aplicación de un solo nivel pone todo en una sola subred. Esto expone todos
sus recursos a los atacantes que logran acceder a su red. Al utilizar subredes, la arquitectura de su
red puede proporcionar capas adicionales de seguridad.
Multi-Tier - Multinivel
En una arquitectura de aplicaciones de varios niveles, puede introducir capas adicionales de

defensa entre los atacantes y sus recursos sensibles. En este ejemplo, los datos son el recurso más
sensible, por lo que los colocaría al final de una cadena para introducir dos capas más de defensa
entre los atacantes y sus datos.
De hecho, no es necesario que exponga partes de su aplicación en la subred pública si utiliza

puntos de enlace de AWS administrados, como balanceadores de carga o opciones de traducción
de direcciones de red (NAT).
Patrón de diseño: arquitectura de aplicaciones de varios niveles
Construyamos una arquitectura de aplicaciones de varios niveles.
********************************************************************************
*************
Texto original
That handy route table you created in the last lesson? You don't need to create a replica to use it
with your new subnet. Associate the same route table with both subnets because they'll be using
the same routes.
Note that while you can associate one route table with multiple subnets, a subnet cannot be
associated with more than one route table.
340 / 5000
Capa 1: Su subred pública
Aquí hay una Amazon VPC con un CIDR de 10.0.0.0/20. También tiene dos subredes públicas, cada
una de las cuales reserva 512 direcciones IP a través de un rango / 24.
AWS recomienda reservar menos direcciones IP para sus subredes públicas que para sus subredes
privadas (la mejor práctica es tener la menor cantidad posible de recursos en su subred pública).
Capa 1: recursos de acceso a Internet
Para limitar su exposición a Internet, puede utilizar lo siguiente en su arquitectura:
Un balanceador de carga de aplicaciones orientado a Internet para el tráfico entrante
Una solución NAT (como una puerta de enlace NAT o una instancia NAT en Amazon EC2) para el
tráfico saliente
Dado que los balanceadores de carga y las puertas de enlace NAT son servicios administrados y
están altamente disponibles de forma predeterminada, no debe preocuparse de que sean un
cuello de botella.
Capa 2: Aplicaciones en una subred privada
Esta Amazon VPC también tiene una capa de subredes privadas para aplicaciones, probablemente
ejecutándose en instancias Amazon EC2. Hay 1.024 direcciones IP reservadas en cada una de estas
subredes para adaptarse a la necesidad de escalado de cada aplicación. También admitirá nuevas
aplicaciones a medida que se expanda la cartera de aplicaciones de la empresa.
El Balanceador de carga de aplicaciones adjunto a ambas subredes públicas distribuye el tráfico

entre los recursos de la aplicación en las subredes privadas.
Capa 3: datos en una segunda subred privada
Este diseño coloca los recursos de datos en una segunda subred privada detrás de la primera
subred privada. Este ejemplo reserva menos direcciones IP que la subred de la aplicación, pero
más direcciones IP que la subred pública (probablemente necesite escalar los recursos de la
aplicación que los recursos de datos detrás de la aplicación).
Sin embargo, al planificar su propia Amazon VPC, siempre debe reservar las direcciones IP de
acuerdo con la forma en que espera que sus aplicaciones y patrones de uso las necesiten.
La capa de datos puede ser una implementación de Amazon RDS o una base de datos que se
ejecuta en Amazon EC2. En cualquier caso, utilice una configuración Multi-AZ, como se muestra
aquí. El secundario podría ser una réplica de lectura o un modo de espera configurado para
reemplazar automáticamente al primario en caso de que ocurra una falla.
Para obtener más información, consulte Amazon RDS.
********************************************************************************
*
Deje direcciones IP adicionales disponibles
Si bien siempre debe reservar direcciones IP más que suficientes para su infraestructura
implementada, también es importante dejar algunas de las direcciones IP adicionales de su
Amazon VPC disponibles para cambios en la arquitectura de su red.
En este ejemplo, la arquitectura reserva 1024 direcciones IP en cada subred privada. También
puede dejar estas direcciones IP sin reservas, si lo prefiere.
********************************************************************************
*
Por supuesto, esta no es la única forma de crear una Amazon VPC resistente y de alta
disponibilidad en AWS. Puede tener muchas más subredes en una Amazon VPC (hasta 200 por
Amazon VPC) o puede usar más zonas de disponibilidad, replicando su infraestructura varias veces
más. Debe diseñar su infraestructura para que se adapte a las necesidades de sus cargas de
trabajo, pero este ejemplo de arquitectura de varios niveles es un excelente lugar para comenzar.
*******************************************************************************
¿Debería utilizar siempre la arquitectura de varios niveles?
Es posible que tenga situaciones en las que su Amazon VPC no necesite tres niveles. Puede que ni
siquiera necesite dos niveles. Es posible que incluso deba considerar conectar varias Amazon VPC
juntas en lugar de poner todo en una Amazon VPC. Cubramos brevemente las circunstancias en las
que podría considerar cada uno de estos tipos de diseños.
The Single-Tier Amazon VPC:
Si solo está tratando de ejecutar una aplicación simple, como un blog personal o un sitio web, es
posible que no sea rentable construirlo en arquitecturas complejas de varios niveles.
Debe considerar una Amazon VPC de un solo nivel si su aplicación:
No usa ningún dato privado
Puede no estar disponible durante períodos prolongados si algo falla (también considere las
implementaciones de una sola zona de disponibilidad)
Solo será usado por ti
The N-Tier Amazon VPC
Si bien le proporcionamos un patrón de diseño común aquí en la Amazon VPC de tres niveles,
también puede construirlo con dos niveles o más de tres niveles, según la arquitectura de su
aplicación. A este patrón lo llamamos diseño de Amazon VPC de n niveles.
En última instancia, debe pensar en cuántos niveles necesita para limitar el acceso y el
acoplamiento estrecho tanto como sea posible. Es por eso que recomendamos, por ejemplo,
separar su capa de datos de su capa de aplicación.
Una buena práctica es enrutar solo las cosas juntas que deben enrutarse juntas. Además, utilice
grupos de seguridad y ACL de red para limitar el tráfico enrutado tanto como sea posible.
Recordar:
Las subredes y las VPC de Amazon no cuestan dinero, solo cuestan direcciones IP.
Cada subred que cree debe reservar cinco direcciones IP para AWS, las cuatro primeras y la última.
No puede cambiar el tamaño de un bloque CIDR después de que se haya creado, por lo que
cualquier dirección IP que reserve en ese bloque CIDR se quedará potencialmente atascada allí
hasta que elimine esa subred.
El almacenamiento de recursos en subredes independientes aumenta las capas de seguridad entre

ellas, pero demasiadas subredes pueden hacer que su Amazon VPC se quede sin direcciones IP.
* Más consideraciones sobre Amazon VPC
Elija la configuración de Amazon VPC adecuada para sus necesidades
Diseñe su implementación de Amazon VPC en función de sus requisitos de expansión, con una
visión de futuro de al menos dos años.
* Elija un bloque CIDR para su implementación de Amazon VPC
Al diseñar su instancia de Amazon VPC, debe considerar la cantidad de direcciones IP requeridas y

el tipo de conectividad con el centro de datos antes de elegir el bloque CIDR. El tamaño permitido
del bloque varía entre una máscara de red / 16 y una máscara de red / 28.
No puede alterar ni modificar el bloque CIDR de una Amazon VPC implementada, por lo que es
mejor elegir un bloque CIDR que tenga más direcciones IP de las necesarias. Al diseñar su
arquitectura de Amazon VPC para comunicarse con el centro de datos local, el rango de CIDR
utilizado en Amazon VPC no debe superponerse ni causar un conflicto con el bloque CIDR en el
centro de datos local.
Aísle sus entornos de Amazon VPC
Recomendamos el uso de Amazon VPC independientes para los entornos de desarrollo,

producción y ensayo. Si decide mantener todos esos entornos en una Amazon VPC, asegúrese de
proporcionar el mayor aislamiento posible mediante el uso de ACL de red, subredes y otros
recursos de Amazon VPC.
En este módulo, aprendió a:
*Explique cómo diseñar una Amazon VPC personalizada para sus requisitos.
*Describir un diseño de arquitectura de aplicaciones de varios niveles.
*Identificar cómo fortalecer la seguridad personalizando una Amazon VPC
*Identificar cómo limitar la exposición a los recursos en una Amazon VPC
A continuación, compruebe su comprensión de los módulos anteriores a través de una evaluación

interactiva del curso.

Modulo de Acreditacion AWS Intro

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Modulo de Acreditacion AWS Intro

Cargado por

Copyright:

Formatos disponibles

En este módulo, explorará los siguientes conceptos y aprenderá sobre sus beneficios:

Identificar qué es una nube privada virtual de Amazon (Amazon VPC)

Demostración: implementación de una Amazon VPC simple a través de la consola de

Demostración: implementación de una Amazon VPC simple a través de la interfaz de línea de

Nube privada virtual

¿Qué es una Amazon VPC?

Amazon VPC predeterminada

*Solo se permite una Amazon VPC predeterminada por región.

Amazon VPC personalizado

Elegir los rangos de direcciones IP admitidos mediante la definición de cada subred

Administrar el flujo de tráfico interno de la red

AWS admite la ampliación de su entorno de AWS mediante el establecimiento de una conexión

AWS Direct Connect

Red privada virtual (VPN) de sitio a sitio de AWS

VPN cliente de AWS

Amazon VPC predeterminada frente a Amazon VPC personalizada

Amazon VPC predeterminada

Descripción general de IAM

Límite de subred: ACL de red

Para obtener más información sobre la traducción, se necesita el texto de origen

Límite de instancia: grupos de seguridad

Sin estado en comparación con los controles con estado

Mejores prácticas de seguridad adicionales de Amazon VPC

Utilice Amazon CloudWatch para supervisar sus componentes de Amazon VPC

Para obtener más información, consulte CloudWatch.

Más información sobre este texto de origen

Para obtener más información sobre la traducción, se necesita el texto de origen

Utilice registros de flujo de VPC para capturar información sobre el tráfico

Utilice registros de flujo de VPC para capturar información sobre el tráfico

Más información sobre este texto de origen

Para obtener más información sobre la traducción, se necesita el texto de origen

Encadenar grupos de seguridad juntos

Encadenar grupos de seguridad agrega seguridad por capas.

Más información sobre este texto de origen

Para obtener más información sobre la traducción, se necesita el texto de origen

Añadiendo alta disponibilidad

¿Cómo se manejan las interrupciones en la disponibilidad de los recursos de su aplicación?

Elastic Load Balancing (ELB) distribuye automáticamente el tráfico de aplicaciones entrante a

Más información sobre este texto de origen

Para obtener más información sobre la traducción, se necesita el texto de origen

Elastic Load Balancing (ELB) distribuye automáticamente el tráfico de aplicaciones entrante a

Balanceador de carga clásico

Balanceador de carga de aplicaciones

Equilibrador de carga de red

Balanceador de carga de puerta de enlace

Módulo 1: Implementación de Amazon VPC

Identificar qué es una nube privada virtual de Amazon (Amazon VPC)

Demostración: implementación de una Amazon VPC simple a través de la consola de

Demostración: implementación de una Amazon VPC simple a través de la interfaz de línea de

Módulo 2: Asegurar y configurar la alta disponibilidad

Describir AWS Identity and Access Management (IAM)

Identificar grupos de seguridad

Comparar y contrastar controles sin estado y con estado

Identificar Elastic Load Balancing y los diferentes tipos

Module 3: Multi-Tier Application Architecture

Explain how to design a custom Amazon VPC for your requirements

Describe a multi-tier application architecture design

Identify how to strengthen security by customizing an Amazon VPC

Identify how to limit exposure to resources in an Amazon VPC

Módulo 4: Compruebe su comprensión

Aplicar los conocimientos de los módulos 1 a 3.

Identificar qué es una nube privada virtual de Amazon (Amazon VPC)

Demostración: implementación de una Amazon VPC simple a través de la consola de