Redes

Conectividad privada con AWS PrivateLink - VPC Endpoints y Endpoint Services

Accede a servicios AWS y servicios de terceros de forma privada sin pasar por internet. Presentamos el diseño de Interface Endpoints y Gateway Endpoints.

約 3 分で読めます

Descripción general de PrivateLink

PrivateLink permite acceder a servicios AWS, servicios de socios SaaS y servicios propios de forma privada a través de la red de AWS sin pasar por internet. El tráfico permanece dentro de la red de AWS, eliminando la exposición a internet y reduciendo la superficie de ataque. Se implementa mediante Interface Endpoints (ENI con IP privada en la subnet de la VPC) y Gateway Endpoints (entrada en la tabla de rutas para S3 y DynamoDB).

Interface Endpoints y Gateway Endpoints

Los Interface Endpoints crean una ENI (Elastic Network Interface) en la subnet especificada de la VPC, proporcionando una IP privada para acceder al servicio. Soportan más de 100 servicios AWS y servicios de terceros en AWS Marketplace. Se pueden asociar Security Groups para controlar el acceso a nivel de red. Los Gateway Endpoints son entradas en la tabla de rutas que dirigen el tráfico hacia S3 o DynamoDB a través de la red de AWS. No generan cargos por hora ni por datos procesados, siendo la opción más económica para acceso a S3 y DynamoDB. La elección entre ambos depende del servicio objetivo y los requisitos de control de acceso.

Endpoint Services y conectividad entre cuentas

Endpoint Services permite publicar servicios propios (detrás de un Network Load Balancer) como servicio PrivateLink, permitiendo que otras cuentas AWS o VPCs accedan de forma privada. Es ideal para proveedores SaaS que quieren ofrecer conectividad privada a sus clientes, o para organizaciones que quieren compartir servicios internos entre cuentas sin peering de VPC. El modelo de permisos permite controlar qué cuentas pueden crear endpoints hacia el servicio. La comunicación es unidireccional: el consumidor inicia la conexión hacia el proveedor, pero el proveedor no puede iniciar conexiones hacia el consumidor. Para profundizar en diseño de redes AWS, consulte libros técnicos (Amazon).

Precios de PrivateLink

Los Interface Endpoints se cobran por hora de disponibilidad (aproximadamente 0.01 dólares/hora por AZ) y por datos procesados (aproximadamente 0.01 dólares/GB). Los Gateway Endpoints para S3 y DynamoDB son gratuitos. Para Endpoint Services, el proveedor paga por hora de NLB y datos procesados, mientras que el consumidor paga por el Interface Endpoint. En entornos con alto volumen de tráfico hacia S3, los Gateway Endpoints ofrecen ahorro significativo comparado con NAT Gateway.

Resumen

AWS PrivateLink proporciona conectividad privada a servicios AWS y servicios propios sin exposición a internet. Interface Endpoints ofrecen acceso privado con control de Security Groups, Gateway Endpoints proporcionan acceso gratuito a S3 y DynamoDB, y Endpoint Services permite publicar servicios propios para acceso privado entre cuentas. Es fundamental para arquitecturas de seguridad zero-trust y cumplimiento regulatorio.

Servicios relacionados

AWS PrivateLinkConecte de forma privada desde su VPC a servicios de AWS y servicios de terceros sin atravesar internetAmazon VPCRed virtual aislada lógicamente en la nube de AWS donde puede lanzar recursosAmazon S3Servicio de almacenamiento de objetos escalable

Artículos relacionados

Redes de servicios con Amazon VPC Lattice - Simplificación de la comunicación entre microserviciosSimplifica la comunicación entre microservicios cross-VPC y cross-cuenta con redes de servicios L7 sin necesidad de proxy Envoy. Presentamos la autenticación IAM y la diferenciación con App Mesh.Diseño de red en Amazon VPC - Configuración de subredes y optimización de NAT GatewayPresentamos el diseño de separación de subredes públicas/privadas, la gestión por capas de Security Groups y la reducción de costos de NAT Gateway mediante Gateway VPC Endpoints.Centralización de registros de auditoría SaaS con AWS AppFabric - Estandarización OCSF e integración con Security LakeExplicamos la recopilación de registros de auditoría de aplicaciones SaaS con AppFabric, la estandarización al formato OCSF y la construcción de pipelines de análisis.

Más sobre este tema

Construcción de service mesh con AWS App Mesh - Control de comunicación entre microservicios y observabilidadPresentamos cómo configurar de forma declarativa despliegues canary con sidecar Envoy, políticas de reintento y cifrado mTLS, y cómo visualizar las dependencias entre servicios con la integración de X-Ray.Descubrimiento de servicios con AWS Cloud Map - Resolución dinámica de nombres para microserviciosDescubra dinámicamente endpoints de microservicios usando enfoques basados en DNS y API. Aprenda cómo automatizar el registro y desregistro de servicios mediante integración con ECS y EKS.Cómo funcionan los más de 600 PoPs de CloudFront - Enrutamiento Anycast y la jerarquía de cachéAprenda cómo CloudFront enruta las solicitudes de los usuarios al PoP más cercano usando Anycast, la estructura de dos niveles de edge locations y cachés de borde regionales, y los factores de diseño que determinan las tasas de acierto de caché.Diseño de conexión dedicada - Conexión de red privada estable con Direct ConnectExplicamos las técnicas de diseño de conexión dedicada con AWS Direct Connect, presentando la selección entre conexión dedicada y conexión hospedada, la configuración redundante y la integración con VPC para lograr una conexión de red privada estable.Conexión dedicada con AWS Direct Connect - Configuración redundante y control de tráficoDiseñe configuraciones redundantes de conexión dedicada y conéctese a VPCs de múltiples regiones con Direct Connect Gateway. También presentamos la agregación de ancho de banda con LAG y el cifrado MACsec.Gestión y diseño de Elastic IP - Uso de IP estáticas y optimización de costosExplicamos la asignación de Elastic IP, la asociación con EC2, el impacto en costos de EIP no utilizadas y la consideración de alternativas.Por qué ELB tiene 3 tipos - La lógica de diseño detrás de la separación de ALB, NLB y CLBExplicamos por qué los 3 tipos de balanceadores de carga ALB, NLB y CLB (Classic) coexisten sin unificarse, desde la perspectiva de las capas del modelo OSI, las características de rendimiento y la evolución histórica.Optimización de red global con AWS Global Accelerator - Entrega de baja latencia y failoverAprende a enrutar tráfico hacia la red global de AWS usando IPs Anycast, diseñar grupos de endpoints y lograr failover mediante health checks.

Artículos y servicios similares

AWS PrivateLinkFunción de red que permite conexión privada a servicios AWS y servicios de terceros desde dentro de la VPC sin pasar por InternetDiseño de red en Amazon VPC - Configuración de subredes y optimización de NAT GatewayPresentamos el diseño de separación de subredes públicas/privadas, la gestión por capas de Security Groups y la reducción de costos de NAT Gateway mediante Gateway VPC Endpoints.Redes Zero Trust en AWS - Seguridad sin perímetro con Verified Access y PrivateLinkExplicamos la implementación de redes Zero Trust con AWS Verified Access, PrivateLink y VPC Lattice, comparando las diferencias de diseño con Azure Private Link.La profundidad de los servicios de red de AWS - Diseño de redes empresariales con VPC, Transit Gateway y PrivateLinkComparamos los servicios de red de AWS centrados en VPC, Transit Gateway, PrivateLink, Direct Connect y Network Firewall con Azure VNet/ExpressRoute y GCP VPC/Cloud Interconnect, explicando la ventaja en flexibilidad para el diseño de redes empresariales.