AWS Cloud MapGuía para desarrolladores

AWS Cloud Map Guía para desarrolladores

AWS Cloud Map: Guía para desarrolladoresCopyright © Amazon Web Services, Inc. and/or its affiliates. All rights reserved.

Las marcas comerciales y la imagen comercial de Amazon no se pueden utilizar en relación con ningún producto oservicio que no sea de Amazon de ninguna manera que pueda causar confusión entre los clientes y que menosprecieo desacredite a Amazon. Todas las demás marcas comerciales que no son propiedad de Amazon son propiedad desus respectivos propietarios, que pueden o no estar afiliados, conectados o patrocinados por Amazon.

AWS Cloud Map Guía para desarrolladores

Table of Contents¿Qué es AWS Cloud Map? .................................................................................................................. 1

Acceso a AWS Cloud Map .......................................................................................................... 1AWS Identity and Access Management .......................................................................................... 2Precios de AWS Cloud Map ......................................................................................................... 2AWS Cloud MapyAWSConformidad en la nube de .......................................................................... 2

Configuración ..................................................................................................................................... 4Inscripción en AWS .................................................................................................................... 4Acceso a la cuenta ..................................................................................................................... 4

Obtenga acceso aAWS Management Console ........................................................................ 4Acceso a la API, la AWS CLI, los AWS Tools for Windows PowerShell o los SDK de AWS .............. 5

Creación de un usuario de IAM .................................................................................................... 5Configuración de AWS Command Line Interface o AWS Tools for Windows PowerShell ......................... 7Descargar un SDK de AWS ......................................................................................................... 7

Uso AWS Cloud Map .......................................................................................................................... 8Información general sobre cómo usar AWS Cloud Map .................................................................... 8Configuración de AWS Cloud Map .............................................................................................. 10

Trabajar con espacios de nombres ...................................................................................... 11Trabajar con los servicios .................................................................................................. 15Trabajar con instancias de servicio ...................................................................................... 22AWS Cloud MapCaracterísticas de que no están disponibles en laAWS Cloud MapConsola .......... 27

Seguridad ........................................................................................................................................ 28AWS Identity and Access Management ........................................................................................ 28

Autenticación .................................................................................................................... 29Control de acceso ............................................................................................................. 30Información general sobre la administración de acceso ........................................................... 30Uso de políticas de IAM paraAWS Cloud Map ...................................................................... 33Referencia de permisos de la API de AWS Cloud Map ........................................................... 37

Registro y monitorización ........................................................................................................... 40Registro de llamadas a la API de AWS Cloud Map con AWS CloudTrail .................................... 41

Validación de la conformidad ...................................................................................................... 43Resiliencia ............................................................................................................................... 43Seguridad de la infraestructura ................................................................................................... 44

Etiquetado de los recursos ................................................................................................................. 45Conceptos básicos de etiquetas .................................................................................................. 45Etiquetado de los recursos ......................................................................................................... 45Restricciones de las etiquetas .................................................................................................... 46Uso de etiquetas mediante la CLI o la API ................................................................................... 46

AWS Cloud MapCuotas de ................................................................................................................ 48Cuota limitación limitante de solicitudes de API ............................................................................. 48

Cómo se aplica la limitación ............................................................................................... 48Ajuste de las cuotas de limitación limitada de la API .............................................................. 49

Información relacionada ..................................................................................................................... 50Recursos de AWS .................................................................................................................... 50Herramientas y bibliotecas de terceros ......................................................................................... 50

Historial de revisión ........................................................................................................................... 51AWSGlosario .................................................................................................................................... 52....................................................................................................................................................... liii

iii

AWS Cloud Map Guía para desarrolladoresAcceso a AWS Cloud Map

¿Qué es AWS Cloud Map?AWS Cloud Map es un servicio completamente administrado que puede utilizar para crear y mantener unmapa de los recursos y servicios de backend de los que dependen sus aplicaciones. Así es como funcionaAWS Cloud Map:

1. Cree un espacio de nombres que identifique el nombre que desea utilizar para localizar sus recursosy que especifique cómo localizarlos: medianteAWS Cloud Map DiscoverInstancesLlamadas a API,consultas DNS en una VPC o consultas DNS públicas. En la mayoría de los casos, un espacio denombres contiene todos los servicios de una aplicación, por ejemplo, una aplicación de facturación.

2. Cree un servicio de AWS Cloud Map para cada tipo de recurso con el que desee utilizar AWS CloudMap para localizar los puntos de enlace. Por ejemplo, puede crear servicios para servidores web yservidores de bases de datos.

Un servicio es una plantilla que AWS Cloud Map utiliza cuando la aplicación añade otro recurso, porejemplo, otro servidor web. Si, al crear el espacio de nombres, eligió localizar los recursos medianteDNS, un servicio contiene información sobre los tipos de registros que desea utilizar para localizar elservidor web. También indica si desea comprobar el estado del recursoy, en caso afirmativo,si deseautilizar las comprobaciones de estado de Amazon Route 53 o un comprobador de estado de terceros.

3. Cuando la aplicación añade un recurso, puede llamar alAWS Cloud Map RegisterInstanceAcción dela API de, que crea una instancia de servicio. La instancia de servicio contiene información acerca decómo la aplicación puede localizar el recurso, ya sea mediante DNS o mediante elAWS Cloud MapDiscoverInstancesAcción de la API.

4. Cuando la aplicación necesita conectarse a un recurso, llamaDiscoverInstancesy especifica el espaciode nombres y el servicio asociados al recurso.AWS Cloud Mapdevuelve información sobre cómolocalizar uno o varios recursos. Si especificó la comprobación de estado al crear el servicio, AWS CloudMap solo devuelve instancias con estado correcto.

AWS Cloud Mapestá perfectamente integrado con Amazon Elastic Container Service (Amazon ECS). Amedida que las tareas de contenedor nuevas aumentan o disminuyen, se registran automáticamente enAWS Cloud Map. Puede utilizar el conector ExternalDNS de Kubernetes para integrar Amazon ElasticKubernetes Service conAWS Cloud Map. También puede utilizarAWS Cloud Mappara registrar y localizarrecursos en la nube, como instancias de Amazon EC2, tablas de Amazon DynamoDB, buckets deAmazon S3, colas de Amazon Simple Queue Service (Amazon SQS) o API implementadas en AmazonAPI Gateway, entre otros. Puede especificar valores de atributos para las instancias de los servicios ylos clientes pueden utilizar dichos atributos para filtrar los recursos que devuelve AWS Cloud Map. Porejemplo, una aplicación puede solicitar recursos que estén en una fase de implementación concreta, comoBETA o PROD.

Temas• Acceso a AWS Cloud Map (p. 1)• AWS Identity and Access Management (p. 2)• Precios de AWS Cloud Map (p. 2)• AWS Cloud MapyAWSConformidad en la nube de (p. 2)

Acceso a AWS Cloud MapPuede obtener acceso a AWS Cloud Map de las siguientes formas:

• AWS Management Console: los procedimientos a lo largo de esta guía explican cómo utilizar la AWSManagement Console para realizar tareas.

1

AWS Cloud Map Guía para desarrolladoresAWS Identity and Access Management

• AWSSDK de— Si utilizas un lenguaje de programación queAWSproporciona un SDK para, puedeutilizar un SDK para obtener acceso aAWS Cloud Map. Los SDK simplifican la autenticación, se integranfácilmente con su entorno de desarrollo y proporcionan acceso a los comandos de AWS Cloud Map.Para obtener más información, consulte Herramientas para Amazon Web Services.

• AWS Cloud MapAPI— Si utiliza un lenguaje de programación para el que no exista un SDK, consultelaAWS Cloud MapReferencia de la APIpara obtener información acerca de las acciones de API y cómorealizar solicitudes de API.

• AWS Command Line Interface: para obtener más información, consulte Configuración inicial de la AWSCommand Line Interface en la Guía del usuario de AWS Command Line Interface.

• AWS Tools for Windows PowerShell: para obtener más información, consulte Configuración de AWSTools for Windows PowerShell en la Guía del usuario de AWS Tools for Windows PowerShell.

AWS Identity and Access ManagementAWS Cloud Mapse integra conAWS Identity and Access Management(IAM), un servicio que puede utilizarsu organización para realizar las siguientes acciones:

• Crear usuarios y grupos en la cuenta de AWS de su organización• Cómo compartir suAWSrecursos de cuenta de los usuarios de la cuenta de manera eficiente• Asignar credenciales de seguridad exclusivas a los usuarios• Controlar de manera detallada el acceso de los usuarios a los servicios y recursos

Por ejemplo, puede utilizar IAM conAWS Cloud Mappara controlar qué usuarios de tuAWScuenta puedecrear un nuevo espacio de nombres o registrar instancias.

Para obtener información general sobre IAM, consulte los siguientes recursos:

• AWS Identity and Access Management en AWS Cloud Map (p. 28)• AWS Identity and Access Management• Guía del usuario de IAM

Precios de AWS Cloud MapLos precios de AWS Cloud Map se basan en los recursos que incluye en el registro de servicios y en lasllamadas a la API que realiza para detectarlos. Con AWS Cloud Map no hay pagos iniciales y solo pagapor lo que usa.

Si lo desea, puede habilitar la detección basada en DNS para los recursos con direcciones IP. Tambiénpuede habilitar la comprobación de estado de los recursos mediante las comprobaciones de estado deAmazon Route 53 de, independientemente de que la detección de las instancias se realice mediantellamadas a la API o consultas de DNS. Incurrirá en gastos adicionales en relación con el uso de lacomprobación de estado y DNS de Route 53.

Para obtener más información, consulte Precios de AWS Cloud Map.

AWS Cloud MapyAWSConformidad en la nube dePara obtener más información sobre la conformidad de AWS Cloud Map con las diversas normativas deseguridad y estándares de auditorías, consulte las siguientes páginas:

2

AWS Cloud Map Guía para desarrolladoresAWS Cloud MapyAWSConformidad en la nube de

• AWS Conformidad en la nube• Servicios de AWS en el ámbito del programa de conformidad

3

AWS Cloud Map Guía para desarrolladoresInscripción en AWS

Configuración de AWS Cloud MapLa información general y los procedimientos de esta sección lo ayudarán a comenzar a utilizarAWS.

Temas• Inscripción en AWS (p. 4)• Acceso a la cuenta (p. 4)• Creación de un usuario de IAM (p. 5)• Configuración de AWS Command Line Interface o AWS Tools for Windows PowerShell (p. 7)• Descargar un SDK de AWS (p. 7)

Inscripción en AWSAl registrarse en AWS, la cuenta de AWS se registra automáticamente en todos los servicios de AWS,incluido AWS Cloud Map. Solo se le cobrará por los servicios que utilice.

Si ya tiene una cuenta de AWS configurada, pase a Acceso a la cuenta (p. 4). Si no dispone de unacuenta de AWS, utilice el siguiente procedimiento para crear una.

Para crear una cuenta de AWS

1. Abra https://portal.aws.amazon.com/billing/signup.2. Siga las instrucciones en línea.

Parte del procedimiento de inscripción consiste en recibir una llamada telefónica e indicar un código deverificación en el teclado del teléfono.

Anote su número de cuenta de AWS porque lo necesitará más adelante.

Acceso a la cuentaUtilice los servicios de AWS mediante una de las siguientes opciones:

• AWS Management Console• API de cada servicio• AWS Command Line Interface (AWS CLI)• AWS Tools for Windows PowerShell• AWS SDK

Para cada una de esas opciones, debe acceder a su cuenta de AWS con las credenciales que verifiquenque tiene permisos para utilizar los servicios.

Obtenga acceso aAWS Management ConsolePara obtener acceso aAWS Management ConsolePor primera vez, debe proporcionar una dirección decorreo electrónico y una contraseña. La combinación de su dirección de correo electrónico y contraseñase denominaidentidad raízocredenciales de cuenta raíz. Recomendamos encarecidamente que, después

4

AWS Cloud Map Guía para desarrolladoresAcceso a la API, la AWS CLI, los AWS Toolsfor Windows PowerShell o los SDK de AWS

de acceder a su cuenta por primera vez, no vuelva a utilizar las credenciales de la cuenta raíz de nuevopara el uso diario. En su lugar, debe crear nuevas credenciales mediante AWS Identity and AccessManagement. Para ello, creas una cuenta de usuario para ti, conocida comoUsuario de IAMy añadael usuario de IAM a un grupo de IAM con permisos administrativos. O bien, puede conceder permisosadministrativos al usuario de IAM. De este modo podrá tener acceso a AWS mediante una URL especial ylas credenciales del usuario de IAM. Después podrá agregar también otros usuarios de IAM y restringir suacceso a determinados recursos de la cuenta.

Note

Algunos complementos para el bloqueo de anuncios de los navegadores web interfierenen las operaciones de la consola de AWS Cloud Map y pueden provocar comportamientosimpredecibles. Si ha instalado un complemento para bloqueo de anuncios en el navegador,le recomendamos que agregue la dirección URL deAWS Cloud MapConsola de,https://console.aws.amazon.com/cloudmap/home, a la lista aprobada del complemento.

Acceso a la API, la AWS CLI, los AWS Tools forWindows PowerShell o los SDK de AWSPara utilizar la API, la AWS CLI, los AWS Tools for Windows PowerShell o los SDK de AWS, debe crearclaves de acceso. Estas claves constan de un ID de clave de acceso y una clave de acceso secreta, quese utilizan para firmar mediante programación las solicitudes que realiza a AWS.

Para crear las claves, inicie sesión en la AWS Management Console. Le recomendamos que inicie sesióncon sus credenciales de usuario de IAM en lugar de hacerlo con sus credenciales raíz. Para obtener másinformación, consulte Administración de claves de acceso para usuarios de IAM en la Guía de usuario deIAM.

Creación de un usuario de IAMEfectúe los procedimientos siguientes para crear un grupo de administradores, crear un usuario de IAM yagregarlo después al grupo de administradores. Si se ha inscrito en AWS pero no ha creado un usuariode IAM, puede crear uno en la consola de IAM. Si no está familiarizado con el uso de la consola, consulteTrabajar con la AWS Management Console para obtener una visión general.

Para crearse usted mismo un usuario administrador y agregarlo a un grupo de administradores(consola)

1. Inicie sesión en la consola de IAM como el propietario de la cuenta; para ello, elija Root user (Usuarioraíz) e ingrese el email de su Cuenta de AWS. En la siguiente página, escriba su contraseña.

Note

Le recomendamos que siga la práctica recomendada de utilizar el usuario de IAMAdministrator como se indica a continuación y guardar de forma segura las credencialesdel usuario raíz. Inicie sesión como usuario raíz únicamente para realizar algunas tareas deadministración de servicios y de cuentas.

2. En el panel de navegación, elija Usuarios y, a continuación, elija Agregar usuarios.3. En User name (Nombre de usuario), escriba Administrator.4. Seleccione la casilla de verificación situada junto a AWS Management Console access (Acceso a la

consola). A continuación, seleccione Custom password (Contraseña personalizada) y luego escriba lanueva contraseña en el cuadro de texto.

5. (Opcional) De forma predeterminada, AWS requiere al nuevo usuario que cree una nueva contraseñala primera vez que inicia sesión. Puede quitar la marca de selección de la casilla de verificación

5

AWS Cloud Map Guía para desarrolladoresCreación de un usuario de IAM

situada junto a User must create a new password at next sign-in (El usuario debe crear una nuevacontraseña en el siguiente inicio de sesión) para permitir al nuevo usuario restablecer su contraseñadespués de iniciar sesión.

6. Seleccione Next (Siguiente): Permisos.7. En Set permissions (Establecer permisos), elija Add user to group (Añadir usuario a grupo).8. Elija Create group (Crear grupo).9. En el cuadro de diálogo Create group (Crear grupo), en Group name (Nombre del grupo) escriba

Administrators.10. Elija Filter policies (Filtrar políticas) y, a continuación, seleccione AWS managed - job function

(Función de trabajo administrada por AWS) para filtrar el contenido de la tabla.11. En la lista de políticas, active la casilla de verificación AdministratorAccess. A continuación, elija

Create group (Crear grupo).

Note

Debe activar el acceso de usuarios y roles de IAM a Facturación para poder utilizar lospermisos AdministratorAccess para acceder a la consola de AWS Billing and CostManagement. Para ello, siga las instrucciones que se indican en el paso 1 del tutorial sobrecómo delegar el acceso a la consola de facturación.

12. Retroceda a la lista de grupos y active la casilla de verificación del nuevo grupo. Elija Refresh si esnecesario para ver el grupo en la lista.

13. Seleccione Next (Siguiente): Tags (Etiquetas).14. (Opcional) Añadir metadatos al rol asociando las etiquetas como pares de clave-valor. Para obtener

más información sobre el uso de etiquetas en IAM, consulte Etiquetado de entidades de IAM en laguía del usuario de IAM.

15. Seleccione Next (Siguiente): Review (Revisar)para ver la lista de suscripciones a grupos que se van aañadir al nuevo usuario. Cuando esté listo para continuar, elija Create user (Crear usuario).

Puede usar este mismo proceso para crear más grupos y usuarios, y para otorgar a los usuarios accesoa los recursos de la Cuenta de AWS. Para obtener información acerca de cómo usar las políticas querestringen los permisos de los usuarios a recursos de AWS específicos, consulte Administración deaccesos y Ejemplos de políticas.

Para iniciar sesión con su nuevo usuario de IAM

1. Cierre la sesión de la AWS Management Console.2. Inicie la sesión con la URL siguiente, donde your_aws_account_id es su número de cuenta de

AWS, sin los guiones. Por ejemplo, si lasAWSEl número de cuenta de1234-5678-9012, suAWSIDde la cuenta de123456789012:

https://your_aws_account_id.signin.aws.amazon.com/console/

3. Especifique el nombre de usuario de IAM (no su dirección de correo electrónico) y la contraseñaque acaba de crear. Cuando haya iniciado sesión, en la barra de navegación se mostrará"su_nombre_de_usuario @ su_id_de_cuenta_de_aws".

Si no desea que la dirección URL de la página de inicio de sesión contenga el ID de su cuenta de AWS,puede crear un alias de cuenta.

Para crear un alias de su cuenta y ocultar el ID de su cuenta

1. En la consola de IAM, elija Dashboard (Panel) en el panel de navegación.2. En el panel, elija Customize (Personalizar) y especifique un alias, como el nombre de su empresa.

6

AWS Cloud Map Guía para desarrolladoresConfiguración de AWS Command Line

Interface o AWS Tools for Windows PowerShell

3. Cierre la sesión de la AWS Management Console.4. Inicie la sesión usando la URL siguiente:

https://your_account_alias.signin.aws.amazon.com/console/

Para verificar el enlace de inicio de sesión de los usuarios de IAM de su cuenta, abra la consola de IAMy compruebe el valor de IAM users sign-in link (Enlace de inicio de sesión de los usuarios de IAM) en elpanel.

Para obtener más información acerca del uso de IAM, consulte AWS Identity and Access Management enAWS Cloud Map (p. 28).

Configuración de AWS Command Line Interface oAWS Tools for Windows PowerShell

LaAWS Command Line Interface(AWS CLI) es una herramienta unificada para administrarAWSServiciosde . Para obtener más información sobre cómo instalar y configurar la AWS CLI, consulte Configuracióninicial de la AWS Command Line Interface en la Guía del usuario de AWS Command Line Interface.

Si tiene experiencia con Windows PowerShell, es posible que prefiera utilizar AWS Tools for WindowsPowerShell. Para obtener más información, consulte Configuración de AWS Tools for Windows PowerShellen la Guía del usuario de AWS Tools for Windows PowerShell.

Descargar un SDK de AWSSi utilizas un lenguaje de programación queAWSproporciona un SDK para, recomendamos utilizar unSDK en lugar deAWS Cloud MapAPI. El uso de un SDK tiene varios beneficios. Los SDK simplifican laautenticación, se integran fácilmente en su entorno de desarrollo y proporcionan acceso aAWS CloudMapcommands. Para obtener más información, consulte Herramientas para Amazon Web Services.

7

AWS Cloud Map Guía para desarrolladoresInformación general sobre cómo usar AWS Cloud Map

Uso AWS Cloud MapAWS Cloud Mapes una solución administrada que puede utilizar para asignar nombres lógicos a losrecursos de una aplicación. También ayuda a sus aplicaciones a descubrir recursos utilizando uno delosAWSSDK, llamadas a API RESTful o consultas DNS.AWS Cloud Mapsolo sirve recursos en buenestado, que pueden ser tablas de Amazon DynamoDB (DynamoDB), colas de Amazon Simple QueueService (Amazon SQS) o cualquier servicio de aplicaciones de nivel superior creado mediante instanciasde Amazon Elastic Compute Cloud (Amazon EC2) o tareas de Amazon Elastic Container Service (AmazonECS).

Temas• Información general sobre cómo usar AWS Cloud Map (p. 8)• Configuración de AWS Cloud Map (p. 10)

Información general sobre cómo usar AWS CloudMap

A continuación, se ofrece información general sobre cómo puede utilizarAWS Cloud Map:

1. Cree un espacio de nombres, que es una agrupación lógica de servicios. Al crear un espacio denombres, debe especificar el nombre que desea que las aplicaciones utilicen para detectar instancias.También debe especificar cómo desea que se detecten las instancias de servicio que registra en AWSCloud Map: mediante llamadas a la API o consultas de DNS.

Para obtener más información, consulte los siguientes temas:

• Creación de espacios de nombres (p. 11)• CreatePublicDnsNamespace,CreatePrivateDnsNamespace, yCreateHttpNamespaceen laAWS

Cloud MapReferencia de la API

Si crea un espacio de nombres DNS público o privado,AWS Cloud Mapcrea automáticamenteuna zona alojada pública o privada de Amazon Route 53 con el mismo nombre que el espacio denombres. Incluso con espacios de nombres DNS públicos y privados, aún puedes descubrir instanciasmedianteAWS Cloud Map DiscoverInstancessolicitudes.

Para ver una lista de los puntos de enlace que puede enviarAWS Cloud MapSolicitudes de API a,consulteAWS Cloud Mapen el»AWSRegiones y puntos finales» del capítuloAmazon Web ServicesReferencia general.

2. Si ha creado un espacio de nombres de DNS público, realice los siguientes pasos para cambiar losnombres de servidor del registro de dominio a los nombres de servidor de la zona alojada de Route 53queAWS Cloud Mapcreado al crear el espacio de nombres:

a. Si ya ha registrado un dominio con el mismo nombre que el espacio de nombres de DNS público,vaya al paso 2b.

Si no ha registrado ningún dominio con el mismo nombre que el espacio de nombres, hágalo.Si desea utilizar Route 53 para el registro de dominio, consulteRegistro de un nuevo dominioenlaGuía para desarrolladores de Amazon Route 53. Después, vaya al paso 3.

8

AWS Cloud Map Guía para desarrolladoresInformación general sobre cómo usar AWS Cloud Map

b. Utilice el valor OperationId que se devolvió al crear el espacio de nombres para obtener el IDcorrespondiente. Para obtener más información, consulte GetOperation.

Note

Si está utilizando un método de programación para realizar estos pasos, también utilizaráel ID de espacio de nombres mas adelante, durante el proceso, para crear un servicio.

c. Utilice el ID de espacio de nombres que ha obtenido en el paso 2b para obtener el ID dela zona alojada de Route 53 queAWS Cloud Mapcreado. Para obtener más información,consulteGetNamespaceen laAWS Cloud MapReferencia de la API.

d. Utilice el ID de zona alojada que ha obtenido en el paso 2c para obtener los nombres de servidorque Route 53 ha asignado a su zona alojada. Para obtener más información, consulte Obtener losservidores de nombres para una zona alojada pública.

e. Cambie los servidores de nombres asignados al dominio. Si el dominio está registrado en Route53, consulteAdición o modificación de servidores de nombres y registros de conexión de undominiopara obtener más información, consulte.

3. Cree un servicio que contenga las instancias de servicio que identifican cómo ponerse en contactocon los recursos de una aplicación, como un servidor web, una tabla de DynamoDB o un bucket deAmazon S3.

Si ha creado un espacio de nombres de DNS público o privado en el paso 1, el nombre que especificapara el servicio pasa a formar parte de los nombres de registros en la zona alojada pública o privadade Route 53 queAWS Cloud Mapcreado automáticamente en el paso 1. Al registrar una instanciaen el paso siguiente, AWS Cloud Map crea registros en la zona alojada. Los nombres de registroson una combinación del nombre del servicio (como backend) y el del espacio de nombres (comoexample.com): backend.example.com.

Al crear un servicio, también puede elegir si desea comprobar el estado de los recursos a los queapuntan las instancias del servicio:

• Si elige que no haya comprobación de estado,AWS Cloud Mapo Route 53 devuelven instancias delservicio con independencia del estado de los recursos correspondientes.

• Si elige la comprobación de estado de Route 53 (solo disponible para espacios de nombres DNSpúblicos),AWS Cloud Mapcrea automáticamente una comprobación de estado de Route 53 y laasocia al registro de Route 53 correspondiente. Route 53 responde a las consultas de DNS solo conregistros de recursos en buen estado.

• Si opta por la comprobación de estado personalizada, utilice una aplicación de terceros paradeterminar el estado de sus recursos. En función de los resultados de las comprobaciones deestado de terceros, envíe solicitudes UpdateInstanceCustomHealthStatus a AWS Cloud Map paraactualizar el estado de las instancias del servicio.

Si configura la comprobación de estado,AWS Cloud Mapo Route 53 solo devuelve instanciasde servicio para obtener recursos en buen estado en respuesta aDiscoverInstancessolicitudes oconsultas DNS.

Para obtener más información, consulte los siguientes temas:

• Creación de servicios (p. 15)• CreateServiceen laAWS Cloud MapReferencia de la API

4. Registre una o varias instancias de servicio. Cada instancia de servicio contiene información sobrecómo su aplicación puede ponerse en contacto con un recurso para una aplicación.

Para obtener más información, consulte los siguientes temas:

• Registro de instancias (p. 23)

9

AWS Cloud Map Guía para desarrolladoresConfiguración de AWS Cloud Map

• RegisterInstanceen laAWS Cloud MapReferencia de la API5. Escriba su aplicación para descubrir instancias mediante elAWS Cloud Map DiscoverInstancesAcción

de la API o uso de consultas DNS:

• Si la aplicación utilizaDiscoverInstances,AWS Cloud Mapdevuelve información sobre las instanciasdisponibles que cumplen los criterios especificados.

• Si la aplicación utiliza consultas DNS, Route 53 devuelve uno o varios registros.

Si especificó la configuración de una comprobación de estado al crear el servicio,AWS Cloud MapoRoute 53 devuelve valores solo para instancias en buen estado.

6. Cuando desee dejar de utilizar un recurso, anule el registro de la instancia de serviciocorrespondiente.AWS Cloud Mapelimina automáticamente la comprobación de estado y el registro deRoute 53 asociados, si los hay.

Para obtener más información, consulte los siguientes temas:

• Anulación del registro de las instancias de servicio (p. 26)• DeregisterInstanceen laAWS Cloud MapReferencia de la API

7. Si ya no necesita un servicio y un espacio de nombres, puede eliminarlos. Tenga en cuenta losiguiente:

• Para poder eliminar un servicio, antes debe anular el registro de todas las instancias registradas coneste.

• Para poder eliminar un espacio de nombres, antes debe eliminar todos los servicios creados endicho espacio.

Para obtener más información, consulte los siguientes temas:

• Eliminación de servicios (p. 22)• Eliminación de espacios de nombres (p. 14)• DeleteServiceen laAWS Cloud MapReferencia de la API• DeleteNamespaceen laAWS Cloud MapReferencia de la API

Configuración de AWS Cloud MapEn las secciones siguientes se explica cómo utilizar elAWS Cloud MapConsola yAWS CLIpara crear, ver yeliminar espacios de nombres y servicios, así como registrar y anular el registro de las instancias.

En un entorno de producción, es probable que la mayoría de las acciones de AWS Cloud Map lasrealice mediante programación. Para obtener más información acerca del acceso a AWS Cloud Mapmediante programación, consulte las páginas siguientes, donde encontrará documentación y descargasrelacionadas:

• Configuración de AWS Cloud Map (p. 4)• Herramientas para Amazon Web Servicesenumera los SDK, las herramientas de línea de comandos y

otros recursos para desarrolladores.• AWS Cloud MapReferencia de la APIproporciona información sobre el uso de laAWS Cloud MapAPI

cuando usas un lenguaje de programación queAWSNo proporciona un SDK para.

Temas• Trabajar con espacios de nombres (p. 11)

10

AWS Cloud Map Guía para desarrolladoresTrabajar con espacios de nombres

• Trabajar con los servicios (p. 15)• Trabajar con instancias de servicio (p. 22)• AWS Cloud MapCaracterísticas de que no están disponibles en laAWS Cloud MapConsola (p. 27)

Trabajar con espacios de nombresUn espacio de nombres es una forma de agrupar los servicios de una aplicación. Al crear un espacio denombres, debe especificar cómo desea que se detecten las instancias del servicio que registra en AWSCloud Map: mediante llamadas a la API o consultas de DNS. También debe especificar el nombre quedesea que la aplicación utilice para detectar las instancias.

Temas• Creación de espacios de nombres (p. 11)• Valores que se especifican al crear los espacios de nombres (p. 12)• Visualización de una lista de espacios de nombres (p. 14)• Eliminación de espacios de nombres (p. 14)

Creación de espacios de nombresPara crear un espacio de nombres, siga el procedimiento que se indica a continuación.

AWS Management Console

1. Inicie sesión enAWS Management Consoley abraAWS Cloud MapConsola enhttps://console.aws.amazon.com/cloudmap/.

2. Elija Create namespace (Crear espacio de nombres).3. En la página Create namespace (Crear espacio de nombres), especifique los valores

correspondientes. Para obtener más información, consulte Valores que se especifican al crear losespacios de nombres (p. 12).

4. Elija Create namespace (Crear espacio de nombres).

AWS CLI

• Cree un espacio de nombres con el comando para el tipo de detección de instancias que prefiera(sustituya laredvalores propios):

• Crear un espacio de nombres de HTTP mediantecreate-http-namespace. Las instanciasde servicio registradas mediante un espacio de nombres de HTTP pueden detectarsemedianteDiscoverInstancessolicitud, pero no se pueden descubrir mediante DNS.

aws servicediscovery create-http-namespace --name name-of-namespace

• Crear un espacio de nombres privado basado en DNS y solo visible dentro de unaAmazon VPC especificada mediantecreate-private-dns-namespace. Puededetectar instancias que se registraron en un espacio de nombres DNS privado medianteunDiscoverInstancessolicitud o uso de DNS.

aws servicediscovery create-private-dns-namespace --name name-of-namespace --vpc vpc-xxxxxxxxx

• Crear un espacio de nombres público basado en DNS que se pueda ver en Internetmediantecreate-public-dns-namespace. Puede detectar instancias registradas en unespacio de nombres DNS público mediante unDiscoverInstancessolicitar o utilizar DNS.

11

AWS Cloud Map Guía para desarrolladoresTrabajar con espacios de nombres

aws servicediscovery create-public-dns-namespace --name name-of-namespace

Note

Requisitos de espacio de nombres:

• Los espacios de nombres configurados para consultas DNS públicas deben terminarcon un dominio de nivel superior (por ejemplo, .com).

• El nombre del espacio de nombres puede tener hasta 1.024 caracteres y debecomenzar y terminar con una letra.

• Caracteres válidos: a-z, A-Z, 0-9,. (punto), _ (guion bajo) y - (guion).

Valores que se especifican al crear los espacios de nombresCuando se crea un espacio de nombres de AWS Cloud Map, debe especificar los siguientes valores.

Note

Una vez creado un espacio de nombres, puede cambiar las etiquetas. Sin embargo, no puedecambiar ningún otro valor.

Valores

• Namespace name• Namespace description• Instance discovery• Tags• VPC

Nombre del espacio de nombres

El nombre que especifique para un espacio de nombres depende de la forma en que desea que laaplicación detecte las instancias. El método de cómo se detectan las instancias viene determinado porla opción que elija paraDetección de instancias. Las opciones aparecen más adelante en la páginaactual de la consola. Son los siguientes:Llamadas a la API

Si elige esta opción, la aplicación detecta las instancias del servicio al especificarse el nombre delespacio de nombres y del servicio en unDiscoverInstancesrequest. Para obtener más información,consulteDiscoverInstancesen laAWS Cloud MapReferencia de la API.

Puede especificar un nombre que tenga una longitud máxima de 1024 caracteres. Un nombrepuede contener letras en mayúsculas y minúsculas, números, guiones bajos (_) y guiones (-).

Llamadas a la API y consultas de DNS en las VPC

Escriba el nombre del dominio que desea que utilicen sus aplicaciones en una VPCcuando detecten instancias mediante el envío de consultas de DNS.AWS Cloud Mapcreaautomáticamente una zona alojada privada de Amazon Route 53 con este nombre. Al registrar lasinstancias del servicio, AWS Cloud Map crea registros de DNS en la zona alojada cuyos nombrestienen el formato siguiente:

nombre-servicio.nombre-espacioNombres

12

AWS Cloud Map Guía para desarrolladoresTrabajar con espacios de nombres

Si elige esta opción, la aplicación también puede detectar las instancias al especificarse elnombre del espacio de nombres y del servicio en unDiscoverInstancesrequest. Para obtener másinformación, consulteDiscoverInstancesen laAWS Cloud MapReferencia de la API.

Puede especificar un nombre de dominio internacionalizado (IDN) si convierte primero el nombrea Punycode. Para obtener información sobre convertidores online, busque en Internet “convertidorde punycode”.

También puede convertir un nombre de dominio internacionalizado a Punycode al crear espaciosde nombres mediante programación. Por ejemplo, si utiliza Java, puede convertir un valor Unicodea Punycode mediante el método toASCII de la biblioteca de IDN de java.net.

Llamadas a la API y consultas públicas de DNS

Escriba el nombre de dominio que desea que sus aplicaciones utilicen al detectar instanciasmediante el envío de consultas públicas de DNS. Debe ser un nombre de dominio que hayaregistrado. Cuando creas el espacio de nombres,AWS Cloud Mapcrea automáticamente una zonaalojada pública de Amazon Route 53 con el mismo nombre. Al registrar las instancias del servicio,AWS Cloud Map crea registros de DNS en la zona alojada cuyos nombres tienen el formatosiguiente:

nombre-servicio.nombre-espacioNombres

Si elige esta opción, la aplicación también puede detectar las instancias al especificarse elnombre del espacio de nombres y del servicio en unDiscoverInstancesrequest. Para obtener másinformación, consulteDiscoverInstancesen laAWS Cloud MapReferencia de la API.

Puede especificar un nombre de dominio internacionalizado (IDN) si convierte primero el nombrea Punycode. Para obtener información sobre convertidores online, busque en Internet “convertidorde punycode”.

También puede convertir un nombre de dominio internacionalizado a Punycode al crear espaciosde nombres mediante programación. Por ejemplo, si utiliza Java, puede convertir un valor Unicodea Punycode mediante el método toASCII de la biblioteca de IDN de java.net.

Descripción del espacio de nombres

Escriba una descripción del espacio de nombres. El valor que escriba aquí aparece en la páginaNamespaces (Espacios de nombres) y en la página de detalles de cada espacio de nombres.

Detección de instancias

Elija cómo quiere que su aplicación detecte las instancias registradas:Llamadas a la API

Elija esta opción si desea que su aplicación solamente utilice llamadas a la API para detectar lasinstancias registradas.

Llamadas a la API y consultas de DNS en las VPC

Elija esta opción si desea que la aplicación pueda detectar las instancias mediante llamadas a laAPI o consultas de DNS en una VPC. No es necesario que utilice ambos métodos.

Llamadas a la API y consultas públicas de DNS

Elija esta opción si desea que la aplicación pueda detectar las instancias mediante llamadas a laAPI o consultas públicas de DNS. No es necesario que utilice ambos métodos.

SOA TTL

ParaLlamadas a la API y consultas de DNS en las VPCoLlamadas a la API y consultas públicasde DNS, el valor del tiempo de vida (TTL) del registro DNS de inicio de autoridad (SOA) de la zonaalojada de Route 53 creada con su espacio de nombres. El valor determina durante cuánto tiempo lossolucionadores de DNS guardan en memoria caché la información para este registro antes de reenviar

13

AWS Cloud Map Guía para desarrolladoresTrabajar con espacios de nombres

otra consulta de DNS a Amazon Route 53 para actualizar la configuración. Un valor menor tambiénreducirá el tiempo que falta se almacena en caché (almacenamiento en caché negativo) a expensasde consultas adicionales para ese espacio de nombres.

Etiquetas

Puede especificar una o varias etiquetas para agregarlas al espacio de nombres. Una etiqueta es unamarca opcional que se puede asignar a unAWSrecurso. Cada etiqueta consta de una key (clave) y unvalue (valor). Por ejemplo, puede definir una etiqueta con Clave = Entorno y Valor = Producción. Lasetiquetas le permiten clasificar suAWSrecursos para que puedas administrarlos con mayor facilidad.

Puede actualizar o eliminar etiquetas en los espacios de nombres después de que se hayan creado.Para obtener más información, consulte Etiquetado de los recursos de AWS Cloud Map (p. 45).

VPC:

Cuando eligeLlamadas a la API y consultas de DNS en las VPCpor el valor deDetección deinstancias,AWS Cloud Mapcrea una zona alojada privada de Amazon Route 53 con el mismonombre.AWS Cloud Mapasocia la VPC que elijas en elVPC:lista con esa zona alojada privada.

Route 53 Resolver resuelve las consultas de DNS que se originan en la VPC mediante los registrosde la zona alojada privada. Si la zona alojada privada no incluye ningún registro que coincida con elnombre de dominio en una consulta de DNS, Route 53 responde a la consulta conNXDOMAIN(dominioinexistente).

Puede asociar VPC adicionales a la zona alojada privada. Para obtener más información,consulteAssociateVPCWithHostedZoneen laReferencia de la API de Amazon Route 53.

Visualización de una lista de espacios de nombresPara ver una lista de espacios de nombres, siga el procedimiento que se indica a continuación.

AWS Management Console

1. Inicie sesión enAWS Management Consoley abraAWS Cloud Mapconsola enhttps://console.aws.amazon.com/cloudmap/.

2. En el panel de navegación, seleccione Namespaces (Espacios de nombres).

AWS CLI

• Listar espacios de nombres con ellist-namespacescomando.

aws servicediscovery list-namespaces

Eliminación de espacios de nombresAl eliminar un espacio de nombres, ya no podrá utilizarlo para registrar o detectar instancias de servicio.Tenga en cuenta lo siguiente:

• Para poder eliminar un espacio de nombres, antes debe eliminar todos los servicios creados en dichoespacio. Para obtener más información, consulte Eliminación de servicios (p. 22).

• Para poder eliminar un servicio, antes debe anular el registro de todas las instancias del servicioregistradas con este. Para obtener más información, consulte Anulación del registro de las instancias deservicio (p. 26).

• Si, al crear un espacio de nombres, especifica que desea utilizar consultas públicas de DNS o consultasde DNS en las VPC para detectar las instancias del servicio,AWS Cloud MapCrea una zona alojada

14

AWS Cloud Map Guía para desarrolladoresTrabajar con los servicios

pública o privada de Amazon Route 53. Al eliminar el espacio de nombres, AWS Cloud Map elimina lazona alojada correspondiente.

Para eliminar un espacio de nombres, siga el procedimiento que se indica a continuación.

AWS Management Console

1. Inicie sesión enAWS Management Consoley abraAWS Cloud MapConsola de enhttps://console.aws.amazon.com/cloudmap/.

2. En el panel de navegación, seleccione Namespaces (Espacios de nombres).3. Elija la opción correspondiente al espacio de nombres que desea eliminar.4. Elija Delete (Eliminar).5. Confirme que desea eliminar el servicio.

AWS CLI

• Eliminar un espacio de nombres con eldelete-namespacecomando (sustituya elredvalor con elsuyo propio). Si el espacio de nombres sigue conteniendo uno o varios servicios, se produce unerror en la solicitud.

aws servicediscovery delete-namespace --id srv-xxxxxxxx

Trabajar con los serviciosUn servicio es una plantilla para registrar instancias de servicio, que le permite localizar los recursos deuna aplicación mediante consultas DNS o elAWS Cloud Map DiscoverInstancesAcción de la API, segúncómo haya configurado el espacio de nombres.

Temas• Creación de servicios (p. 15)• Valores que se especifican al crear los servicios (p. 16)• Visualización de una lista de servicios que ha creado en un espacio de nombres (p. 21)• Eliminación de servicios (p. 22)

Creación de serviciosPara crear un servicio, siga el procedimiento que se indica a continuación.

AWS Management Console

1. Inicie sesión enAWS Management Consoley abraAWS Cloud Mapconsola enhttps://console.aws.amazon.com/cloudmap/.

2. En el panel de navegación, seleccione Namespaces (Espacios de nombres).3. En la página Namespaces (Espacios de nombres), elija el espacio de nombres al que desea

añadir el servicio.4. En la página Namespace: (Espacio de nombres:) espacioNombres-nombre, elija Create

service (Crear servicio).5. En la página Create service (Crear servicio), especifique los valores correspondientes. Para

obtener más información, consulte Valores que se especifican al crear los servicios (p. 16).6. Elija Create service.

15

AWS Cloud Map Guía para desarrolladoresTrabajar con los servicios

AWS CLI

• Cree un servicio concreate-servicecomando (sustituya elredvalor con su propio).

aws servicediscovery create-service \ --name service-name \ --namespace-id ns-xxxxxxxxxxx \ --dns-config "NamespaceId=ns-xxxxxxxxxxx,RoutingPolicy=MULTIVALUE,DnsRecords=[{Type=A,TTL=60}]"

Salida:

{ "Service": { "Id": "srv-xxxxxxxxxxx", "Arn": "arn:aws:servicediscovery:us-west-2:803642222207:service/srv-xxxxxxxxxxx", "Name": "service-name", "NamespaceId": "ns-xxxxxxxxxxx", "DnsConfig": { "NamespaceId": "ns-xxxxxxxxxxx", "RoutingPolicy": "MULTIVALUE", "DnsRecords": [ { "Type": "A", "TTL": 60 } ] }, "CreateDate": 1587081768.334, "CreatorRequestId": "567c1193-6b00-4308-bd57-ad38a8822d25" }}

Note

En el caso de los servicios a los que se puede acceder mediante consultas DNS, no puede crearvarios servicios con nombres que difieran solo por mayúsculas y minúsculas (como EJEMPLO yejemplo). De lo contrario, estos servicios tendrán el mismo nombre DNS. Si utilizas un espacio denombres al que solo se puede acceder mediante llamadas a la API, puedes crear servicios quetengan nombres que solo difieran por mayúsculas y minúsculas.

Valores que se especifican al crear los serviciosCuando se crea un servicio de AWS Cloud Map, hay que especificar los siguientes valores.

Note

Solo puede cambiar las etiquetas de un servicio después de crearlo.

Valores

• Service name• Service description• Service discovery configuration• Routing policy• Record type• TTL

16

AWS Cloud Map Guía para desarrolladoresTrabajar con los servicios

• Health check options• Failure threshold• Health check protocol• Health check path• Tags

Nombre del servicio

Introduzca un nombre que describa las instancias que registra al utilizar este servicio. El valor seutiliza para descubrirAWS Cloud Mapinstancias de servicio en llamadas a API o en consultas DNS.Esto depende del método de detección de instancias que eligió al crear el espacio de nombres. Puedeutilizar alguno de los siguientes métodos:• Llamadas a la API— Cuando tu aplicación llamaDiscoverInstances, la llamada a la API incluye el

espacio de nombres y los nombres de servicio.• Llamadas a la API y consultas de DNS en las VPCoLlamadas a la API y consultas públicas de

DNS— Al registrar instancias de servicio y crear el espacio de nombres,AWS Cloud Mapcrea unazona alojada privada o pública de Amazon Route 53. También crea registros DNS en esa zonaalojada. Los nombres de los registros tienen el formato siguiente:

nombre-servicio.nombre-espacioNombres

Cuando la aplicación envía una consulta de DNS para detectar instancias de servicio, la consulta espara un registro que incluye el nombre del servicio en su nombre.

Note

Al crear un servicio en un espacio de nombres que admite consultas DNS, puedeelegir que las instancias de servicio de ese servicio se detecten solo con llamadasalDiscoverInstancesFuncionamiento de API y no consultas DNS. Consulte Service discoveryconfiguration.

Si deseaAWS Cloud Mappara crear unSRVgrabar cuando registras una instancia y estás utilizando unsistema que requiere unSRVformato (tales comoHAProxy), especifique lo siguiente paraNombre delservicio:• Inicie el nombre con un guion bajo (_), por ejemplo_servicio de ejemplo.• Finaliza el nombre con. _protocol, por ejemplo. _tcp.

Al registrar una instancia, AWS Cloud Map crea un registro SRV y asigna un nombre concatenando elnombre del servicio y el del espacio de nombres, por ejemplo:

_servicioejemplo._tcp.ejemplo.com

Note

En el caso de los servicios que se pueden detectar mediante consultas DNS, no puedecrear varios servicios con nombres que difieran solo por mayúsculas y minúsculas (comoEJEMPLO y ejemplo). De lo contrario, estos servicios tienen el mismo nombre DNS y no sepueden distinguir.

Descripción del servicio

Escriba una descripción del servicio. El valor que escriba aquí aparece en la página Services(Servicios) y en la página de detalles de cada servicio.

Configuración de detección de servicios

Si el espacio de nombres admite consultas DNS,AWS Cloud Mapadmite las siguientes opciones dedetección de servicios:

17

AWS Cloud Map Guía para desarrolladoresTrabajar con los servicios

API y DNS

AWS Cloud MapcrearáSRVregistra cuando registra una instancia para el servicio de. También sepueden detectar las instancias de servicio medianteDiscoverInstancesOperación de la API.

Solo API

AWS Cloud Mapno crearáSRVregistros, por ejemplo, para el servicio. Las instancias de serviciosolo se pueden detectar mediante elDiscoverInstancesOperación de la API.

Política de direccionamiento (solo espacios de nombres de DNS públicos y privados)

Si está utilizando un espacio de nombres de DNS público o privado para crear el servicio, elija lapolítica de direccionamiento de Amazon Route 53 para los registros DNS queAWS Cloud Mapcreacuando registra las instancias. [Los espacios de nombres de DNS públicos tienen el valor API callsand public DNS queries (Llamadas a la API y consultas públicas de DNS) para Instance discovery(Detección de instancias) y los espacios de nombres de DNS privados tienen el valor API calls andDNS queries in VPCs (Llamadas a la API y consultas de DNS en las VPC)].

Note

No puede utilizar la consola de para configurarAWS Cloud Mappara crear un registro de aliasde Route 53 cuando registra una instancia. Si deseaAWS Cloud Mappara crear registros dealias para el balanceador de carga de Elastic Load Balancing al registrar instancias medianteprogramación, elijaDireccionamiento ponderadoparaPolítica de direccionamiento.

AWS Cloud Mapadmite las siguientes políticas de direccionamiento de Route 53:Direccionamiento ponderado

Route 53 devuelve el valor aplicable de una instancia seleccionada al azar entre las instanciasque registró utilizando el mismo servicio. Todos los registros tienen el mismo valor deponderación, por lo que no se puede dirigir más o menos tráfico a las instancias.

Por ejemplo, supongamos que el servicio incluye configuraciones para unoUNARegistro y unacomprobación de estado, y utiliza el servicio para registrar 10 instancias. Route 53 responde a lasconsultas de DNS con la dirección IP de una instancia seleccionada de forma aleatoria entre lasinstancias con estado correcto. Si ninguna de las instancias tiene un estado correcto, Route 53responde a las consultas DNS como si todas las instancias tuvieran un estado correcto.

Si no define ninguna comprobación de estado para el servicio, Route 53 entiende que todas lasinstancias tienen estado correcto y devuelve el valor aplicable de una instancia seleccionada alazar.

Para obtener más información, consulteDireccionamiento ponderadoen laGuía paradesarrolladores de Amazon Route 53.

Direccionamiento de respuesta con varios valores

Si define una comprobación de estado para el servicio y el resultado de esta es correcto, Route 53devuelve el valor aplicable para un máximo de ocho instancias.

Por ejemplo, supongamos que el servicio incluye configuraciones para unoUNAun registro y unacomprobación de estado. Utilice el servicio para registrar 10 instancias. Route 53 responde a lasconsultas DNS con direcciones IP para un máximo de ocho instancias en estado correcto. Si elnúmero de instancias en buen estado es inferior a ocho, Route 53 responde a todas las consultasDNS con las direcciones IP de todas las instancias en buen estado.

Si no define ninguna comprobación de estado para el servicio, Route 53 entiende que todas lasinstancias tiene estado correcto y devuelve los valores de hasta ocho instancias.

Para obtener más información, consulteDireccionamiento de respuesta con varios valoresenlaGuía para desarrolladores de Amazon Route 53.

18

AWS Cloud Map Guía para desarrolladoresTrabajar con los servicios

Tipo de registro (solo espacios de nombres de DNS públicos y privados)

Si está utilizando un espacio de nombres de DNS público o privado para crear el servicio, elija el tipode registro DNS para los registros queAWS Cloud Mapcrea cuando registra las instancias. AmazonRoute 53 devuelve el valor aplicable en respuesta a las consultas DNS para las instancias registradas.

Los tipos de registro siguientes son compatibles:A

Al registrar una instancia, especifica la dirección IP del recurso en formato IPv4, como 192.0.2.44.AAAA

Al registrar una instancia, especifica la dirección IP del recurso en formato IPv6, como2001:0db8:85a3:0000:0000:abcd:0001:2345.

CNAME

Al registrar una instancia, especifica el nombre de dominio del recurso (como www.example.com).Tenga en cuenta lo siguiente:• Si desea elegir CNAME, debe seleccionar Weighted routing (Direccionamiento ponderado) para

Routing policy (Política de direccionamiento).• Si elige CNAME, no puede elegir Route 53 health check (Comprobación de estado de Route 53)

para Health check options (Opciones de comprobación de estado).SRV

Estos son los valores que se utilizan para un registro de SRV:

priority weight port service-hostname

Tenga en cuenta lo siguiente sobre los valores:• Los valores de priority y weight están establecidos en 1 y no se pueden cambiar.• Para port, AWS Cloud Map utiliza el valor que ha especificado para Port (Puerto) al registrar

una instancia.• El valor de service-hostname es una concatenación de los valores siguientes:

• El valor que especifica para Service instance ID (ID de la instancia de servicio) al registraruna instancia

• El nombre del servicio• El nombre del espacio de nombres

Por ejemplo, supongamos que especificapruebaparaID de la instancia de serviciocuandoregistra una instancia. El nombre del servicio esbackendy el nombre del espacio de nombresesexample.com.AWS Cloud Mapasigna el siguiente valor a laservice-hostnameAtributodeSRVregistro:

test.backend.example.com

Si especifica la configuración de un registro SRV, tenga en cuenta lo siguiente:• Si define valores para Dirección IPv4, Dirección IPv6 o ambas opciones, AWS Cloud Map crea

automáticamente registros A o AAAA que tienen el mismo nombre que el valor de service-hostname en el registro SRV.

• Si utiliza un sistema que requiere un formato SRV específico, como HAProxy, consulte nombrede servicio (p. 17) para obtener información sobre cómo especificar el formato de nombrecorrecto.

Puede especificar tipos de registros en las siguientes combinaciones:

19

AWS Cloud Map Guía para desarrolladoresTrabajar con los servicios

• A• AAAA• A y AAAA• CNAME• SRV

Si especifica los tipos de registro A y AAAA, puede especificar una dirección IP IPv4, IP IPv6 o ambasal registrar una instancia.

TTL (solo espacios de nombres de DNS públicos y privados)

Si está utilizando un espacio de nombres de DNS público o privado para crear el servicio,especifique un valor paraTTL, o tiempo de vivir. El valor deTTLdetermina durante cuánto tiempo lossolucionadores de DNS guardan en memoria caché la información para este registro antes de reenviarotra consulta DNS a Amazon Route 53 para actualizar la configuración.

Opciones de comprobación de estado

No hay comprobaciones de estado

Si no configura una comprobación de estado, el tráfico se dirige a instancias de servicio,independientemente de si su estado es correcto.

Comprobación de estado de Route 53 (no admitida para espacios de nombres DNS privados)

Si especificas la configuración de una comprobación de estado de Amazon Route 53,AWS CloudMapcrea una comprobación de estado de Route 53 siempre que registre una instancia y eliminaesta comprobación cuando anule su registro.

Para los espacios de nombres DNS públicos,AWS Cloud Mapasocia la comprobación de estado alregistro de Route 53 queAWS Cloud Mapcrea cuando registra una instancia.

Para los espacios de nombres para los que utiliza llamadas a API para detectar instancias,AWSCloud Mapcrea una comprobación de estado de Route 53. Sin embargo, no hay registroDNS paraAWS Cloud Mappara asociar la comprobación de estado. Para determinar si unacomprobación de estado es correcta, puede configurar la monitorización mediante la consolaRoute 53 o con Amazon CloudWatch. Para obtener más información sobre cómo usar la consolaRoute 53, consulteRecibir notificaciones cuando se produzca un error en una comprobación deestadoen laGuía para desarrolladores de Amazon Route 53. Para obtener más información sobrecómo usar CloudWatch, consultePutMetricAlarmen laReferencia del API de Amazon CloudWatch.

Para obtener más información acerca de los cargos por las comprobaciones de estado de Route53, consultePrecios de Route 53.

Comprobaciones de estado personalizadas

Si configura AWS Cloud Map para utilizar una comprobación de estado personalizada al registraruna instancia, debe utilizar un comprobador de estado de terceros para evaluar el estado desus recursos. Las comprobaciones de estado personalizadas son útiles en las circunstanciassiguientes:• No puede utilizar una comprobación de estado de Route 53 porque el recurso no está

disponible en Internet. Por ejemplo, supongamos que tiene una instancia que se encuentraen una Amazon VPC. Puede utilizar una comprobación de estado personalizada para estainstancia. Sin embargo, para que la comprobación de estado de funcione, su comprobador deestado también debe estar en la misma VPC que su instancia.

• Desea utilizar un comprobador de estado de terceros, independientemente de donde seencuentren sus recursos.

20

AWS Cloud Map Guía para desarrolladoresTrabajar con los servicios

Umbral de error (solo comprobaciones de estado Route 53)

El número de comprobaciones de estado de Route 53 consecutivas que un recurso debe superar ofallar para que Amazon Route 53 cambie el estado actual del recurso de correcto a incorrecto y en lasituación opuesta. Para obtener más información, consulteCómo determina Amazon Route 53 si elestado de una comprobación de estado es correcto Guía para desarrolladores de Amazon Route 53.

Protocolo de comprobación de estado (solo comprobaciones de estado Route 53)

El método que desea que utilice Amazon Route 53 para comprobar el estado de su recurso:HTTP

Route 53 intenta establecer una conexión TCP. Si se realiza correctamente, Route 53 envía unasolicitud HTTP y espera el código de estado HTTP con un formato 2xx o 3xx.

HTTPS

Route 53 intenta establecer una conexión TCP. Si se realiza correctamente, Route 53 envía unasolicitud HTTPS y espera el código de estado HTTP con un formato 2xx o 3xx.

Important

Si elige HTTPS, el recurso debe admitir TLS v1.0 o posterior.

Si elige HTTPS para el valor deProtocolo de comprobación de estado, se aplican cargosadicionales. Para obtener más información, consulte Precios de Route 53.

TCP

Route 53 intenta establecer una conexión TCP.

Para obtener más información, consulteCómo determina Amazon Route 53 si el estado de unacomprobación de estado es correcto.

Ruta de comprobación de Health (solo comprobaciones de estado HTTP y HTTPS de Route 53)

Ruta que desea que Amazon Route 53 solicite cuando realiza comprobaciones de estado. La rutapuede ser de cualquier valor, como el archivo/docs/route53-health-check.html. Cuandoel estado del recurso es correcto, el valor devuelto es un código de estado HTTP con un formato2xx o 3xx. También puede incluir parámetros de cadena de consulta, como /welcome.html?language=jp&login=y. La consola de AWS Cloud Map añade automáticamente un carácter debarra inclinada (/).

Etiquetas

Puede especificar una o varias etiquetas para agregarlas al servicio de. Una etiqueta es una marcaopcional que se puede asignar a unaAWSrecurso. Cada etiqueta consta de una key (clave) y un value(valor). Por ejemplo, puede definir una etiqueta con Clave = Entorno y Valor = Producción. Uso deetiquetas para clasificarAWSlos recursos pueden facilitar la administración de esos recursos.

Una vez creadas las etiquetas, siempre puedes actualizar o quitar etiquetas de los espacios denombres. Para obtener más información, consulte Etiquetado de los recursos de AWS CloudMap (p. 45).

Visualización de una lista de servicios que ha creado en unespacio de nombresPara ver una lista de los servicios que ha creado en un espacio de nombres, realice el siguienteprocedimiento.

21

AWS Cloud Map Guía para desarrolladoresTrabajar con instancias de servicio

AWS Management Console

1. Inicie sesión enAWS Management Consoley abraAWS Cloud MapConsola de enhttps://console.aws.amazon.com/cloudmap/.

2. En el panel de navegación, seleccione Namespaces (Espacios de nombres).3. Elija el espacio de nombres que contiene los servicios que desea enumerar.

AWS CLI

• Enumerar servicios con ellist-servicescomando.

aws servicediscovery list-services

Eliminación de serviciosPara poder eliminar un servicio, antes debe anular el registro de todas las instancias del servicioregistradas con este. Para obtener más información, consulte Anulación del registro de las instancias deservicio (p. 26).

Para eliminar un servicio, siga el procedimiento que se indica a continuación.

AWS Management Console

1. Inicie sesión enAWS Management Consoley abraAWS Cloud MapConsola de enhttps://console.aws.amazon.com/cloudmap/.

2. En el panel de navegación, seleccione Namespaces (Espacios de nombres).3. Elija como opción el espacio de nombres que contiene el servicio que desea eliminar.4. En la página Namespace: (Espacio de nombres:) espacioNombres-nombre, elija la opción del

servicio que desea eliminar.5. Elija Delete (Eliminar).6. Confirme que desea eliminar el servicio.

AWS CLI

• Eliminar un servicio con eldelete-servicecomando (sustituya elredvalor con su propio valor).

aws servicediscovery delete-service --id srv-xxxxxx

Trabajar con instancias de servicioUna instancia de servicio contiene información acerca de cómo localizar un recurso, como un servidor web,para una aplicación. Después de registrar las instancias, las localiza utilizando consultas de DNS o laAWSCloud Map DiscoverInstancesAcción de la API.

Temas• Registro de instancias (p. 23)• Valores que especifica cuando registra o actualiza las instancias (p. 23)• Actualización de instancias (p. 25)• Visualización de una lista de instancias de servicio (p. 26)• Anulación del registro de las instancias de servicio (p. 26)

22

AWS Cloud Map Guía para desarrolladoresTrabajar con instancias de servicio

Registro de instanciasPara registrar una instancia de servicio, lleve a cabo el siguiente procedimiento.

AWS Management Console

1. Inicie sesión enAWS Management Consoley abraAWS Cloud MapConsola enhttps://console.aws.amazon.com/cloudmap/.

2. En el panel de navegación, seleccione Namespaces (Espacios de nombres).3. En la página Namespaces (Espacios de nombres), elija el espacio de nombres que contiene el

servicio que desea utilizar como plantilla para registrar una instancia de servicio.4. En la página Namespace: (Espacio de nombres:) espacioNombres-nombre, elija el servicio que

desea utilizar.5. En la página Service: (Servicio:) servicio-nombre, elija Register service instance (Registrar

instancia de servicio).6. En la página Register service instance (Registrar instancia de servicio), escriba los valores

aplicables. Para obtener más información, consulte Valores que especifica cuando registra oactualiza las instancias (p. 23).

7. Elija Register service instance (Registrar instancia de servicio).

AWS CLI

• Cuando envías unRegisterInstancerequest:

• Para cada registro DNS que defina en el servicio especificado porServiceId, se creao actualiza un registro en la zona alojada que está asociada al espacio de nombrescorrespondiente.

• Si el servicio incluyeHealthCheckConfig, se crea una comprobación de estado basada en laconfiguración de la comprobación de estado.

• Las comprobaciones de estado están asociadas a cada uno de los registros nuevos oactualizados.

Registre una instancia de servicio conregister-instancecomando (sustituya elredvalorespropios).

aws servicediscovery register-instance \ --service-id srv-xxxxxxxxx \ --instance-id myservice-xx \ --attributes=AWS_INSTANCE_IPV4=172.2.1.3,AWS_INSTANCE_PORT=808

Valores que especifica cuando registra o actualiza las instanciasCuando registra una instancia de servicio, debe especificar los siguientes valores.

Valores

• Instance type• Service instance ID• IPv4 address• IPv6 address• Port

23

AWS Cloud Map Guía para desarrolladoresTrabajar con instancias de servicio

• EC2 instance ID• Custom attributes

Tipo de instancia

Todos los tipos de instancias siguientes están disponibles solamente para las configuracionesseleccionadas.Dirección IP

Elija esta opción cuando se pueda obtener acceso al recurso asociado a la instancia de serviciomediante una dirección IP.

Puede elegir esta opción para los tres tipos de espacios de nombres: HTTP, DNS público y DNSprivado.

Instancia de EC2

Elija esta opción cuando se pueda obtener acceso al recurso asociado a la instancia de serviciomediante una instancia EC2.

Puede elegir esta opción para espacios de nombres HTTP y DNS públicos.Identificando la información de otro recurso

Elija esta opción cuando se pueda obtener acceso al recurso asociado a la instancia de serviciomediante valores que no sean una dirección IP o una instancia EC2. Especifique los demásvalores en Custom attributes (Atributos personalizados).

Puede elegir esta opción para los tres tipos de espacios de nombres: HTTP, DNS público y DNSprivado.

ID de la instancia de servicio

Un identificador que desea asociar a la instancia. Tenga en cuenta lo siguiente:• Para registrar una instancia nueva, debe especificar un valor que sea único en las instancias que

registre mediante el mismo servicio.• Si el servicio especificado porID de la instancia de servicioincluye la configuración de unSRVrecord,

el valor deID de la instancia de serviciose incluye automáticamente como parte del valordeSRVregistro. Para obtener más información, consulte Record type (Tipo de registro) en la secciónValores que se especifican al crear los servicios (p. 16).

• Puede actualizar una instancia existente mediante programación. Llame a RegisterInstance,especifique el valor de ID de la instancia de servicio e ID de servicio y defina la nueva configuraciónde la instancia de servicio. Si AWS Cloud Map creó una comprobación de estado cuando registróla instancia originalmente, AWS Cloud Map elimina la comprobación de estado antigua y crea unanueva.

Note

La comprobación de estado no se elimina de forma inmediata, por lo que seguiráapareciendo durante un tiempo si envía Amazon Route 53ListHealthCheckssolicitud,por ejemplo.

Dirección IPv4

La dirección IP IPv4, si la hay, donde las aplicaciones pueden obtener acceso al recurso asociado aesta instancia de servicio.

Dirección IPv6

La dirección IP IPv6, si la hay, donde las aplicaciones pueden obtener acceso al recurso asociado aesta instancia de servicio.

24

AWS Cloud Map Guía para desarrolladoresTrabajar con instancias de servicio

Note

AWS Cloud MapLos extremos de API ya están disponibles enIPv6redes solo.Port (Puerto)

El puerto, si lo hay, que las aplicaciones deben incluir para obtener acceso al recurso asociado aesta instancia de servicio. Puertoes obligatoria cuando el servicio incluye unaSRVregistro o unacomprobación de estado de Amazon Route 53.

EC2 instance ID.

Id. de instancia en formato de ID de instancia EC2 del recurso.Custom attributes (Atributos personalizados)

Especifique los pares clave-valor que desea asociar con el recurso, si los hay.

Puede añadir hasta 30 atributos personalizados. Tenga en cuenta lo siguiente:• Debe especificar tanto Key (Clave) como Value (Valor).• Key (Clave) puede tener un máximo de 255 caracteres e incluir los caracteres a-z, A-Z, 0-9 y otros

caracteres ASCII imprimibles entre 33 y 126 (decimal). No se permiten espacios, tabulaciones yotros caracteres de espacios en blanco.

• Value (Valor) puede tener un máximo de 1024 caracteres e incluir los caracteres a-z, A-Z, 0-9, otroscaracteres ASCII imprimibles entre 33 y 126 (decimal), espacios y tabulaciones.

Actualización de instanciasPuede actualizar instancias de servicio de dos maneras, dependiendo de los valores que desee actualizar:

• Actualizar cualquier valor: Si desea actualizar cualquiera de los valores especificados para una instanciade servicio al registrarla, incluidos los atributos personalizados, vuelva a registrar la instancia de servicioy especificar todos los valores de nuevo. Consulte Para actualizar una instancia de servicio (p. 25).

• Actualizar solo atributos personalizados: Si desea actualizar solo los atributos personalizados de unainstancia de servicio, no es necesario volver a registrar la instancia. Solo puede actualizar esos valores.Consulte Para actualizar solo los atributos personalizados de una instancia de servicio (p. 26).

Para actualizar una instancia de servicio

1. Inicie sesión enAWS Management ConsoleAbra el símboloAWS Cloud MapConsola dehttps://console.aws.amazon.com/cloudmap/.

2. En el panel de navegación, seleccione Namespaces (Espacios de nombres).3. En la página Namespaces (Espacios de nombres), elija el espacio de nombres que contiene el servicio

que utilizó originalmente para registrar la instancia de servicio.4. En la página Namespace: (Espacio de nombres:) espacioNombres-nombre, elija el servicio que

utilizó para registrar la instancia de servicio.5. En la página Service: (Servicio:) servicio-nombre, copie el ID de la instancia de servicio que desea

actualizar.6. Elija Register service instance (Registrar instancia de servicio).7. En la página Register service instance (Registrar instancia de servicio), pegue en Service instance ID

(ID de la instancia de servicio) el ID que copió en el paso 5.8. Especifique el resto de valores que desea aplicar a la instancia de servicio. Los valores anteriores

de dicha instancia no se conservan. Para obtener más información, consulte Valores que especificacuando registra o actualiza las instancias (p. 23).

9. Elija Register service instance (Registrar instancia de servicio).

25

AWS Cloud Map Guía para desarrolladoresTrabajar con instancias de servicio

Para actualizar solo los atributos personalizados de una instancia de servicio

1. Inicie sesión enAWS Management ConsoleAbra el símboloAWS Cloud MapConsola dehttps://console.aws.amazon.com/cloudmap/.

2. En el panel de navegación, seleccione Namespaces (Espacios de nombres).3. En la página Namespaces (Espacios de nombres), elija el espacio de nombres que contiene el servicio

que utilizó originalmente para registrar la instancia de servicio.4. En la página Namespace: (Espacio de nombres:) espacioNombres-nombre, elija el servicio que

utilizó para registrar la instancia de servicio.5. En la página Service: (Servicio:) servicio-nombre, elija el nombre de la instancia de servicio que

desea actualizar.6. En la sección Custom attributes (Atributos personalizados), elija Edit (Editar).7. En la página Edit service instance: (Editar instancia de servicio:) nombre-instancia, añada, elimine

o modifique los atributos personalizados. Puede actualizar tanto las claves como los valores de losatributos.

8. Elija Update service instance (Modificar instancia de servicio).

Visualización de una lista de instancias de servicioPara ver una lista de las instancias de servicio que ha registrado con un servicio, realice el siguienteprocedimiento.

AWS Management Console

1. Inicie sesión enAWS Management Consoley abraAWS Cloud Mapconsola enhttps://console.aws.amazon.com/cloudmap/.

2. En el panel de navegación, seleccione Namespaces (Espacios de nombres).3. Elija el espacio de nombres que contiene el servicio cuyas instancias desea enumerar.4. Elija el nombre del servicio que ha utilizado para crear las instancias de servicio.

AWS CLI

• Listar instancias de servicio con ellist-instancescomando (sustituya elredvalor con supropio).

aws servicediscovery list-instances --service-id srv-xxxxxxxxx

Anulación del registro de las instancias de servicioPara poder eliminar un servicio, antes debe anular el registro de todas las instancias del servicioregistradas con este.

Para anular el registro de una instancia de servicio, lleve a cabo el siguiente procedimiento.

AWS Management Console

1. Inicie sesión enAWS Management Consoley abraAWS Cloud MapConsola de enhttps://console.aws.amazon.com/cloudmap/.

2. En el panel de navegación, seleccione Namespaces (Espacios de nombres).3. Elija como opción el espacio de nombres que contiene la instancia de servicio cuyo registro desea

anular.

26

AWS Cloud Map Guía para desarrolladoresAWS Cloud MapCaracterísticas de que no

están disponibles en laAWS Cloud MapConsola

4. En la página Namespace: (Espacio de nombres:) espacioNombres-nombre, elija como opciónel servicio que utilizó para registrar la instancia de servicio.

5. En la página Service: (Servicio:) servicio-nombre, elija como opción la instancia de serviciocuyo registro desea anular.

6. Elija Deregister.7. Confirme que desea anular el registro de la instancia de servicio.

AWS CLI

• Anular el registro de una instancia de servicio conderegister-instancecomando (sustituyaelredvalores propios). Este comando elimina los registros DNS de Amazon Route 53 y lascomprobaciones de estado que Cloud Map ha creado para la instancia especificada.

aws servicediscovery deregister-instance \ --service-id srv-xxxxxxxxx \ --instance-id myservice-53

AWS Cloud MapCaracterísticas de que no estándisponibles en laAWS Cloud MapConsolaLos siguientes ejemplos deAWS Cloud MapLas características de que no están disponibles en laAWSCloud Mapconsola de . Para utilizarlas, debe usar un método de programación para obtener acceso a AWSCloud Map:

Creación de registros de alias de Route 53 al registrar instancias de servicio

Al registrar una instancia de servicio con la consola, no puede crear un registro de alias que redirija eltráfico a un balanceador de carga de Elastic Load Balancing (ELB). Tenga en cuenta lo siguiente:• Cuando crea un servicio, debe especificar WEIGHTED para RoutingPolicy. Para ello, puede

utilizar la consola. Para obtener más información, consulte Creación de servicios (p. 15).

Para obtener información sobre cómo crear un servicio con laAWS Cloud MapAPI,consulteCreateServiceen laAWS Cloud MapReferencia de la API.

• Cuando registra una instancia, debe incluir el atributo AWS_ALIAS_DNS_NAME. Para obtener másinformación, consulteRegisterInstanceen laAWS Cloud MapReferencia de la API.

Especificación del estado inicial para las comprobaciones de estado personalizadas

Si registra una instancia con un servicio que incluye una comprobación de estado personalizada, nopuede especificar el estado inicial para dicha comprobación. De forma predeterminada, el estadoinicial de las comprobaciones de estado personalizadas es Healthy (Buen estado). Si desea que elestado inicial sea Unhealthy (Mal estado), registre la instancia mediante programación e incluya elatributo AWS_INIT_HEALTH_STATUS. Para obtener más información, consulteRegisterInstanceenlaAWS Cloud MapReferencia de la API.

Cómo obtener el estado de una operación incompleta

Si cierra una ventana del explorador después de crear un espacio de nombres, pero antes de finalizarel proceso de creación de este, la consola no ofrece ninguna forma de ver el estado actual. Paraobtener el estado, utiliceListOperations. Para obtener más información, consulteListOperationsenlaAWS Cloud MapReferencia de la API.

27

AWS Cloud Map Guía para desarrolladoresAWS Identity and Access Management

Seguridad en AWS Cloud MapLa seguridad en la nube de AWS es la mayor prioridad. Como unAWScliente de, se beneficia de unaarquitectura de red y un centro de datos que se han diseñado para satisfacer los requisitos de seguridadde las organizaciones más exigentes.

La seguridad es una responsabilidad compartida entre AWS y usted. El modelo de responsabilidadcompartida la describe como seguridad de la nube y seguridad en la nube:

• Seguridad de la nube: AWS es responsable de proteger la infraestructura que ejecuta los serviciosde AWS en la nube de AWS. AWS también proporciona servicios que puede utilizar de forma segura.Auditores externos prueban y verifican periódicamente la eficacia de nuestra seguridad en el marcode los programas de conformidad de AWS. Para obtener más información sobre los programas deconformidad que se aplican a AWS Cloud Map, consulte Servicios de AWS en el ámbito del programa deconformidad.

• Seguridad en la nube: su responsabilidad se determina según el servicio de AWS que utilice. Tambiénes responsable de otros factores, incluida la confidencialidad de los datos, los requisitos de la empresa yla legislación y los reglamentos aplicables.

Esta documentación le ayuda a comprender cómo aplicar el modelo de responsabilidad compartida cuandose utiliza AWS Cloud Map. En los siguientes temas, se le mostrará cómo configurar AWS Cloud Map parasatisfacer sus objetivos de seguridad y conformidad. También puede aprender a utilizar otros servicios deAWS que lo ayuden a monitorear y proteger los recursos de AWS Cloud Map.

Temas• AWS Identity and Access Management en AWS Cloud Map (p. 28)• Registro y monitorización en AWS Cloud Map (p. 40)• Validación de la conformidad para AWS Cloud Map (p. 43)• Resiliencia en AWS Cloud Map (p. 43)• Seguridad de la infraestructura de AWS Cloud Map (p. 44)

AWS Identity and Access Management en AWSCloud Map

Para realizar cualquier acción enAWS Cloud Maprecursos, como registrar un dominio o actualizarun registro,AWS Identity and Access Management(IAM) requiere que se autentique que estáaprobadoAWSusuario. Si utiliza elAWS Cloud Map, debe autenticar su identidad proporcionandosuAWSnombre de usuario y contraseña de. Si accede a AWS Cloud Map de forma programada, suaplicación autentica su identidad con claves de acceso o firmando solicitudes.

Después de autenticar su identidad, IAM controla su acceso aAWSVerificando que tiene permisos pararealizar acciones y obtener acceso a los recursos. Si es un administrador de la cuenta, puede utilizar IAMpara controlar el acceso de otros usuarios a los recursos que están asociados a dicha cuenta.

En este capítulo se explica cómo utilizar IAM y AWS Cloud Map para ayudar a proteger sus recursos.

Temas

28

AWS Cloud Map Guía para desarrolladoresAutenticación

• Autenticación (p. 29)• Control de acceso (p. 30)

AutenticaciónPuede obtener acceso a AWS con los siguientes tipos de identidades:

• Usuario raíz de la cuenta de AWS: cuando se crea una cuenta de AWS por primera vez, comienza conuna única identidad de inicio de sesión que tiene acceso total a todos los servicios y recursos de AWSen la cuenta. Esta identidad recibe el nombre de usuario raíz de la cuenta de AWS y se accede a ellainiciando sesión con la dirección de correo electrónico y la contraseña que utilizó para crear la cuenta. Lerecomendamos fehacientemente que no utilice el usuario raíz en sus tareas cotidianas, incluso las tareasadministrativas. En lugar de ello, es mejor ceñirse a la práctica recomendada de utilizar el usuario finalexclusivamente para crear al primer usuario de IAM. A continuación, guarde las credenciales del usuarioraíz en un lugar seguro y utilícelas tan solo para algunas tareas de administración de cuentas y servicios.

• Usuario de IAM— UnUsuario de IAMes una identidad dentro de tuAWSCuenta de que tiene permisospersonalizados específicos (por ejemplo, permisos para crear un espacio de nombres HTTP enAWSCloud Map). Puede utilizar un nombre de usuario y una contraseña de IAM para iniciar sesión enpáginas web seguras de AWS tales como AWS Management Console, Foros de discusión de AWS o el Centro de AWS Support.

Además de un nombre de usuario y una contraseña, también puede generar claves de acceso paracada usuario. Puede utilizar estas claves cuando acceda aAWSservicios mediante programación, ya seaa través deuno de los varios SDKo mediante el uso de laAWS Command Line Interface. El SDK y lasherramientas de CLI utilizan claves de acceso para firmar criptográficamente una solicitud. Si no utilizalas herramientas de AWS, debe firmar la solicitud. AWS Cloud Map es compatible con Signature Version4, un protocolo para autenticar solicitudes entrantes de la API. Para obtener más información acerca decómo autenticar solicitudes, consulte Proceso de firma Signature Version 4 en la Referencia general deAmazon Web Services.

• IAM role (Rol de IAM): un rol de IAM es una identidad de IAM que puede crear en la cuenta y que tienepermisos específicos. Es similar a unUsuario de IAM, pero no está asociado a una persona determinada.Un rol de IAM le permite obtener claves de acceso temporales que se pueden utilizar para tener accesoa los servicios y recursos de AWS. Los roles de IAM con credenciales temporales son útiles en lassiguientes situaciones:• Acceso de usuarios federados: en lugar de crear un usuario de IAM, puede utilizar identidades de

usuario existentes deAWS Directory Service, el directorio de usuarios de la compañía o un proveedorde identidades web. A estas identidades se les llama usuarios federados. AWS asigna una función aun usuario federado cuando se solicita acceso a través de un proveedor de identidad. Para obtenermás información acerca de los usuarios federados, consulte Usuarios federados y roles en la Guía delusuario de IAM.

• Acceso a servicios de AWS: puede utilizar un rol de IAM de su cuenta para conceder permisos aun servicio de AWS a fin de acceder a los recursos de su cuenta. Por ejemplo, puede crear unafunción que permita a Amazon Redshift obtener acceso a un bucket de Amazon S3 en su nombre y,a continuación, cargar los datos de ese bucket en un clúster de Amazon Redshift. Para obtener másinformación, consulte Creación de un rol para delegarle permisos a un servicio de AWS en la Guía delusuario de IAM.

• Aplicaciones que se ejecutan en Amazon EC2: puede utilizar un rol de IAM para administrarcredenciales temporales para las aplicaciones que se ejecutan en una instancia EC2 yrealizanAWSSolicitudes de API de. Es preferible hacerlo de este modo a almacenar claves de accesoen la instancia EC2. Para asignar unAWSa una instancia EC2 y ponerla a disposición de todas lasaplicaciones, cree un perfil de instancia asociado a la instancia. Un perfil de instancia contiene el rol ypermite a los programas que se ejecutan en la instancia EC2 obtener credenciales temporales. Paraobtener más información, consulte Uso de un rol de IAM para conceder permisos a aplicaciones quese ejecutan en instancias de Amazon EC2 en la Guía del usuario de IAM.

29

AWS Cloud Map Guía para desarrolladoresControl de acceso

Control de accesoPara crear, actualizar, eliminar o enumerar recursos de AWS Cloud Map, necesita permisos para realizarla acción y para obtener acceso a los recursos correspondientes. Además, para realizar la acción medianteprogramación, necesita claves de acceso válidas.

En las secciones siguientes, se describe cómo administrar los permisos de AWS Cloud Map.Recomendamos que lea primero la información general.

• Información general sobre la administración de los permisos de acceso a los recursos de AWS CloudMap (p. 30)

• Uso de políticas basadas en identidad (políticas de IAM) para AWS Cloud Map (p. 33)• AWS Cloud MapPermisos de API de: Referencia de acciones, recursos y condiciones (p. 37)

Información general sobre la administración de lospermisos de acceso a los recursos de AWS CloudMapCada recurso de AWS es propiedad de una cuenta de AWS, y los permisos para crear o tener acceso a unrecurso se rigen por las políticas de permisos.

Note

Un administrador de la cuenta (o usuario administrador) es un usuario que cuenta con privilegiosde administrador. Para obtener más información acerca de los administradores, consulte Prácticasrecomendadas de IAM en la Guía del usuario de IAM.

Al conceder permisos, puede decidir a quién concederlos, los recursos para los que los concede y lasacciones que se les permiten realizar.

Temas• ARN para recursos de AWS Cloud Map (p. 30)• Titularidad de los recursos (p. 30)• Administración del acceso a los recursos (p. 31)• Especificación de elementos de política de: Recursos, acciones, efectos y entidades

principales (p. 32)• Especificación de las condiciones de una política de IAM (p. 33)

ARN para recursos de AWS Cloud MapPuede conceder o denegar permisos de nivel de recurso de espacios de nombres y servicios paraoperaciones seleccionadas. Para obtener más información, consulte AWS Cloud MapPermisos de API de:Referencia de acciones, recursos y condiciones (p. 37).

Titularidad de los recursosLa cuenta de AWS es la propietaria de los recursos que se crean en la cuenta, independientemente dequién los haya creado. En concreto, el propietario de los recursos es la cuenta de AWS es la identidadprincipal (es decir, la cuenta raíz, un usuario de IAM o un rol de IAM) que autentica la solicitud de creaciónde recursos.

Los siguientes ejemplos ilustran cómo funciona:

30

AWS Cloud Map Guía para desarrolladoresInformación general sobre la administración de acceso

• Si utiliza las credenciales de la cuenta raíz de suAWSCuenta para crear un espacio de nombres HTTP,suAWSLa cuenta es la propietaria del recurso de.

• Si crea un usuario de IAM en suAWScuenta y conceder permisos para crear un espacio de nombresHTTP a ese usuario, el usuario puede crear un espacio de nombres HTTP. Sin embargo, tuAWSLacuenta de, a la que pertenece el usuario, será la propietaria del recurso de espacio de nombres HTTP.

• Si crea un rol de IAM en suAWScuenta con permisos para crear un espacio de nombres HTTP, cualquierpersona que pueda asumir el rol podrá crear un espacio de nombres HTTP. SusAWSLa cuenta de, a laque pertenece el rol, será la propietaria del recurso de espacio de nombres HTTP.

Administración del acceso a los recursosUna política de permisos especifica quién tiene acceso a qué. En esta sección se explican las opcionespara crear políticas de permisos para AWS Cloud Map. Para obtener más información sobre la sintaxis ylas descripciones de la política de IAM, consulte la Referencia de política de IAM de en la Guía del usuariode IAM.

Las políticas que se asocian a una identidad de IAM se denominanbasado en identidadesLaspolíticas (políticas de IAM) y las políticas que se asocian a un recurso se denominanbasado enrecursospolíticas.AWS Cloud Mapsolo admite políticas basadas en identidad (políticas de IAM).

Temas• Políticas basadas en identidad (políticas de IAM) (p. 31)• Políticas basadas en recursos (p. 32)

Políticas basadas en identidad (políticas de IAM)

Puede asociar políticas a identidades de IAM. Por ejemplo, puede hacer lo siguiente:

• Asociar una política de permisos a un usuario o grupo de su cuenta: un administrador de la cuentapuede utilizar una política de permisos asociada a un usuario determinado para concederle permisospara crear permisos para crearAWS Cloud Mapde AWS.

• Asociar una política de permisos a un rol (conceder permisos entre cuentas)— Puede conceder permisopara realizarAWS Cloud Mapacciones a un usuario que ha sido creado por otroAWSaccount. Para ello,asocie una política de permisos a un rol de IAM y, a continuación, permita al usuario de la otra cuentaasumir el rol. En el siguiente ejemplo se explica cómo este proceso funciona para dos cuentas, A y B, deAWS:1. El administrador de la cuenta A crea un rol de IAM y asocia a dicho rol una política que concede

permisos de creación o acceso a recursos propiedad de la cuenta A.2. El administrador de la cuenta A asocia una política de confianza al rol. La política de confianza

identifica la cuenta B como la entidad principal, que puede asumir el rol.3. El administrador de la cuenta B puede entonces delegar permisos para asumir el rol a usuarios o

grupos de la cuenta B. Esto permite a los usuarios de la cuenta B crear u obtener acceso a recursosde la cuenta A.

Para obtener más información sobre cómo delegar permisos a usuarios en otra cuenta de AWS, consulteAdministración de acceso en la Guía del usuario de IAM.

El siguiente ejemplo de política de permite a un usuario realizar laCreatePublicDnsNamespaceacción paracrear un espacio de nombres DNS público para cualquierAWSaccount. Se requieren permisos de AmazonRoute 53, ya que, al crear un espacio de nombres de DNS público,AWS Cloud MapTambién crea una zonaalojada por Route 53:

{

31

AWS Cloud Map Guía para desarrolladoresInformación general sobre la administración de acceso

"Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "servicediscovery:CreatePublicDnsNamespace", "route53:CreateHostedZone", "route53:GetHostedZone", "route53:ListHostedZonesByName" ], "Resource":"*" } ]}

Si desea que, en su lugar, la política se aplique a espacios de nombres de DNS privado, debe concederpermisos para utilizar elAWS Cloud Map CreatePrivateDnsNamespaceaction. Además, debe concederpermiso para utilizar las mismas acciones de Route 53 que en el ejemplo anterior, porqueAWS CloudMapcrea una zona alojada privada de Route 53. También debe conceder permiso para utilizar dosacciones de Amazon EC2,DescribeVpcsyDescribeRegions:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "servicediscovery:CreatePrivateDnsNamespace", "route53:CreateHostedZone", "route53:GetHostedZone", "route53:ListHostedZonesByName" ], "Resource":"*" }, { "Effect": "Allow", "Action": [ "ec2:DescribeVpcs", "ec2:DescribeRegions" ], "Resource":"*" } ]}

Para obtener más información acerca de cómo asociar políticas a identidades de AWS Cloud Map,consulte Uso de políticas basadas en identidad (políticas de IAM) para AWS Cloud Map (p. 33). Paraobtener más información sobre usuarios, grupos, roles y permisos, consulte Identidades (usuarios, gruposy roles) en la Guía del usuario de IAM.

Políticas basadas en recursosOtros servicios, como Amazon S3, permiten también adjuntar políticas de permisos a recursos. Porejemplo, puede asociar una política a un bucket de S3 para administrar los permisos de acceso a dichobucket. AWS Cloud Map no admite asociar políticas a recursos. 

Especificación de elementos de política de: Recursos, acciones,efectos y entidades principalesAWS Cloud Mapincluye acciones de API (consulte laAWS Cloud MapReferencia de la API) que puedesusar en cadaAWS Cloud Maprecurso (consulteARN para recursos de AWS Cloud Map (p. 30)). Puede

32

AWS Cloud Map Guía para desarrolladoresUso de políticas de IAM paraAWS Cloud Map

conceder a un usuario o un usuario federado permisos para realizar alguna de estas acciones o todasellas. Tenga en cuenta que algunas acciones de la API, como crear un espacio de nombres de DNSpúblico, requieren permisos para realizar más de una acción.

A continuación, se indican los elementos básicos de la política:

• Recurso: use un Nombre de recurso de Amazon (ARN) para identificar el recurso al que se aplica lapolítica. Para obtener más información, consulte ARN para recursos de AWS Cloud Map (p. 30).

• Acción: utilice palabras de clave de acción para identificar las acciones de recursosque desea permitir o denegar. Por ejemplo, según la especificaciónEffect,elservicediscovery:CreateHttpNamespacePermiso: permite o deniega a un usuario la capacidadde realizar elAWS Cloud Map CreateHttpNamespaceaction.

• Efecto: especifique el efecto (permitir o denegar) cuando un usuario intente realizar la acción en elrecurso especificado. Si no concede acceso de forma explícita a una acción, el acceso se deniegaimplícitamente. También puede denegar explícitamente el acceso a un recurso para asegurarse de queun usuario no pueda obtener acceso a él, aunque otra política le conceda acceso.

• Entidad principal: en las políticas basadas en identidades (políticas de IAM), el usuario al que se asociaesta política es la entidad principal implícita. Para las políticas basadas en recursos, debe especificar elusuario, la cuenta, el servicio u otra entidad que desee que reciba permisos (se aplica solo a las políticasbasadas en recursos). AWS Cloud Map no admite políticas basadas en recursos.

Para obtener más información sobre la sintaxis y descripciones de las políticas de IAM, consulte laReferencia de políticas de IAM de en la Guía del usuario de IAM.

Para ver una lista con las acciones de la API de AWS Cloud Map y los recursos a los que se aplican,consulte AWS Cloud MapPermisos de API de: Referencia de acciones, recursos y condiciones (p. 37).

Especificación de las condiciones de una política de IAMAl conceder permisos, puede utilizar el lenguaje de la política de IAM para especificar las condiciones enlas que se debe aplicar una política. Por ejemplo, es posible que solo desee aplicar una política despuésde una fecha especificada o que solo desee aplicar una política a un espacio de nombres determinado.

Para expresar condiciones, se usan claves de condición predefinidas. AWS Cloud Map define su propioconjunto de claves de condición y también admite el uso de algunas claves de condición globales. Paraobtener más información, consulte los siguientes temas:

• Para obtener más información acerca de las claves de condición de AWS Cloud Map, consulte AWSCloud MapPermisos de API de: Referencia de acciones, recursos y condiciones (p. 37).

• Para obtener información sobreAWSClaves de condición globales de, consulteAWSClaves de contextode condición globales deen laIAM User Guide.

• Para obtener más información sobre cómo especificar condiciones en un lenguaje de política,Elementosde política JSON de IAM: Condiciónen laIAM User Guide.

Uso de políticas basadas en identidad (políticas deIAM) para AWS Cloud MapEn este tema se ofrecen ejemplos de políticas basadas en identidad que muestran cómo un administradorde cuentas puede asociar políticas de permisos a identidades de IAM (usuarios, grupos y roles) y, de esemodo, conceder permisos para realizar acciones enAWS Cloud Mapde AWS.

Important

Le recomendamos que consulte primero los temas de introducción en los que se explican losconceptos básicos y las opciones disponibles para administrar el acceso a sus recursos de AWS

33

AWS Cloud Map Guía para desarrolladoresUso de políticas de IAM paraAWS Cloud Map

Cloud Map. Para obtener más información, consulte Información general sobre la administraciónde los permisos de acceso a los recursos de AWS Cloud Map (p. 30).

Temas• Permisos necesarios para usar la consola de AWS Cloud Map (p. 34)• Políticas administradas (predefinidas) por AWS para AWS Cloud Map (p. 35)• Ejemplos de políticas administradas por el cliente (p. 36)

El ejemplo siguiente muestra una política de permisos que concede a un usuario permiso para registrar,anular el registro y registrar instancias de servicio. El Sid o ID de instrucción es opcional:

{ "Version": "2012-10-17", "Statement": [ { "Sid" : "AllowInstancePermissions", "Effect": "Allow", "Action": [ "servicediscovery:RegisterInstance", "servicediscovery:DeregisterInstance", "servicediscovery:DiscoverInstances", "servicediscovery:Get*", "servicediscovery:List*", "route53:GetHostedZone", "route53:ListHostedZonesByName", "route53:ChangeResourceRecordSets", "route53:CreateHealthCheck", "route53:GetHealthCheck", "route53:DeleteHealthCheck", "route53:UpdateHealthCheck", "ec2:DescribeInstances" ], "Resource": "*" } ]}

La política concede permisos para las acciones que son necesarias con el fin de registrar y administrarlas instancias de servicio. Se requiere el permiso de Route 53 si está utilizando espacios de nombresde DNS públicos o privados, ya queAWS Cloud Mapcrea, actualiza y elimina las comprobaciones deestado y los registros de Route 53 cuando registra y anula el registro de instancias. El carácter comodín(*) enResourceconcede acceso a todos losAWS Cloud Maplas instancias de, así como los registros deRoute 53 y las comprobaciones de estado de que son propiedad delAWSaccount.

Para consultar una lista de acciones y el ARN a especificar para conceder o denegar permisos paraejecutar cada acción, visite AWS Cloud MapPermisos de API de: Referencia de acciones, recursos ycondiciones (p. 37).

Permisos necesarios para usar la consola de AWS Cloud MapPara conceder acceso total a la consola de AWS Cloud Map, debe conceder los permisos en la siguientepolítica de permisos:

{ "Version": "2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[

34

AWS Cloud Map Guía para desarrolladoresUso de políticas de IAM paraAWS Cloud Map

"servicediscovery:*", "route53:GetHostedZone", "route53:ListHostedZonesByName", "route53:CreateHostedZone", "route53:DeleteHostedZone", "route53:ChangeResourceRecordSets", "route53:CreateHealthCheck", "route53:GetHealthCheck", "route53:DeleteHealthCheck", "route53:UpdateHealthCheck", "ec2:DescribeInstances", "ec2:DescribeVpcs", "ec2:DescribeRegions" ], "Resource":"*" } ]}

Aquí se explica por qué son necesarios los permisos:

servicediscovery:*

Le permite realizar todas las acciones de AWS Cloud Map.route53:CreateHostedZone, route53:GetHostedZone, route53:ListHostedZonesByName,route53:DeleteHostedZone

Permite a AWS Cloud Map administrar las zonas alojadas al crear y eliminar espacios de nombres deDNS públicos o privados.

route53:CreateHealthCheck, route53:GetHealthCheck, route53:DeleteHealthCheck,route53:UpdateHealthCheck

DejeAWS Cloud Mapadministrar las comprobaciones de estado de cuando incluye comprobaciones deestado de Amazon Route 53 al crear un servicio.

ec2:DescribeVpcs y ec2:DescribeRegions

Permite a AWS Cloud Map administrar las zonas alojadas privadas.

Políticas administradas (predefinidas) por AWS para AWS CloudMapAWS aborda muchos casos de uso comunes proporcionando políticas de IAM independientes creadas yadministradas por AWS. Estas políticas administradas por AWS conceden los permisos necesarios paracasos de uso comunes, lo que le evita tener que investigar los permisos necesarios. Para más información,consulte Políticas administradas de AWS en la Guía del usuario de IAM. ParaAWS Cloud Map, IAMproporciona las siguientes políticas administradas:

• Acceso a instancias de AWS Cloud Map Discover— Concede a acceso a laAWS Cloud MapDiscoverInstancesAcción de la API

• Acceso de solo lectura de AWS Cloud Map: concede acceso de solo lectura a todos losAWS CloudMapAcciones de

• Acceso a instancias de AWS Cloud Map Register: concede acceso de solo lectura a espacios denombres y servicios; además, concede permiso para registrar y anular el registro de instancias deservicio

• Acceso completo de AWS Cloud Map: proporciona acceso completo a todosAWS Cloud MapAccionesde

35

AWS Cloud Map Guía para desarrolladoresUso de políticas de IAM paraAWS Cloud Map

Note

Para consultar estas políticas de permisos, inicie sesión en la consola de IAM y busque laspolíticas específicas. También puede crear sus propias políticas de IAM personalizadas con el finde conceder permisos para realizar acciones de la API de AWS Cloud Map. Puede asociar estaspolíticas personalizadas a los usuarios o grupos de IAM que requieran esos permisos.

Ejemplos de políticas administradas por el clientePuede crear sus propias políticas de IAM personalizadas con el fin de conceder permisos paraAWS CloudMapacciones. Puede asociar estas políticas personalizadas a los usuarios o grupos de IAM que requieranlos permisos especificados. Estas políticas funcionan cuando se utilizan laAWS Cloud MapAPI, elAWSSDKo elAWSCLI. A continuación se muestran algunos ejemplos de permisos para algunos casos de usocomunes. Para ver la política que concede a un usuario acceso total a AWS Cloud Map, consulte Permisosnecesarios para usar la consola de AWS Cloud Map (p. 34).

Ejemplos• Ejemplo 1: Permitir acceso de lectura a todosAWS Cloud MapRecursos (p. 36)• Ejemplo 2: Permitir la creación de todos los tipos de espacios de nombres (p. 36)

Ejemplo 1: Permitir acceso de lectura a todosAWS Cloud MapRecursos

La siguiente política de permisos concede al usuario acceso de solo lectura a todos los recursos de AWSCloud Map:

{ "Version": "2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "servicediscovery:Get*", "servicediscovery:List*", "servicediscovery:DiscoverInstances" ], "Resource":"*" } ]}

Ejemplo 2: Permitir la creación de todos los tipos de espacios de nombres

La siguiente política concede a los usuarios permisos para crear todos los tipos de espacios de nombres:

{ "Version": "2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "servicediscovery:CreateHttpNamespace", "servicediscovery:CreatePrivateDnsNamespace", "servicediscovery:CreatePublicDnsNamespace", "route53:CreateHostedZone", "route53:GetHostedZone", "route53:ListHostedZonesByName", "ec2:DescribeVpcs", "ec2:DescribeRegions"

36

AWS Cloud Map Guía para desarrolladoresReferencia de permisos de la API de AWS Cloud Map

], "Resource":"*" } ]}

AWS Cloud MapPermisos de API de: Referencia deacciones, recursos y condicionesA la hora de configurar Control de acceso (p. 30) y escribir una política de permisos que puedaadjuntar a una identidad de IAM (políticas basadas en identidad), puede utilizar las listas siguientes comoreferencia. Las listas incluyen cada unoAWS Cloud MapAcción de la API de, las acciones a las que debeconceder permiso de acceso y laAWSRecurso al que debe conceder acceso. Las acciones se especificanen el campo Action de la política y el valor del recurso se especifica en el campo Resource de esta.

Puede usarAWS Cloud Map: claves de condición específicas de las políticas de IAM para algunasoperaciones. Para obtener más información, consulte Referencia de claves de condición de AWS CloudMap (p. 40). También puede utilizarAWSClaves de condición generales de Para ver una lista completadeAWSteclas anchas, consulteClaves disponiblesen laIAM User Guide.

Para especificar una acción, utilice el prefijo servicediscovery seguido del nombre de acción de la API;por ejemplo, servicediscovery:CreatePublicDnsNamespace y route53:CreateHostedZone.

Temas• Permisos necesarios para las acciones de AWS Cloud Map (p. 37)• Referencia de claves de condición de AWS Cloud Map (p. 40)

Permisos necesarios para las acciones de AWS Cloud MapCreateHttpNamespace

Permisos necesarios (acción de la API):• servicediscovery:CreateHttpNamespace

Recursos: *CreatePrivateDnsNamespace

Permisos necesarios (acción de la API):• servicediscovery:CreatePrivateDnsNamespace

• route53:CreateHostedZone

• route53:GetHostedZone

• route53:ListHostedZonesByName

• ec2:DescribeVpcs

• ec2:DescribeRegions

Recursos: *CreatePublicDnsNamespace

Permisos necesarios (acción de la API):• servicediscovery:CreatePublicDnsNamespace

• route53:CreateHostedZone

• route53:GetHostedZone

37

AWS Cloud Map Guía para desarrolladoresReferencia de permisos de la API de AWS Cloud Map

• route53:ListHostedZonesByName

Recursos: *CreateService

Permisos necesarios (acción de la API): servicediscovery:CreateService

Recursos: *DeleteNamespace

Permisos necesarios (acción de la API):• servicediscovery:DeleteNamespace

• route53:DeleteHostedZone

Recursos: *, arn:aws:servicediscovery:region:account-id:namespace/namespace-idDeleteService

Permisos necesarios (acción de la API): servicediscovery:DeleteService

Recursos: *, arn:aws:servicediscovery:region:account-id:service/service-idDeregisterInstance

Permisos necesarios (acción de la API):• servicediscovery:DeregisterInstance

• route53:GetHealthCheck

• route53:DeleteHealthCheck

• route53:UpdateHealthCheck

• route53:ChangeResourceRecordSets

Recursos: *DiscoverInstances

Permisos necesarios (acción de la API): servicediscovery:DiscoverInstances

Recursos: *GetInstance

Permisos necesarios (acción de la API): servicediscovery:GetInstance

Recursos: *GetInstancesHealthStatus

Permisos necesarios (acción de la API): servicediscovery:GetInstancesHealthStatus

Recursos: *GetNamespace

Permisos necesarios (acción de la API): servicediscovery:GetNamespace

Recursos: *, arn:aws:servicediscovery:region:account-id:namespace/namespace-idGetOperation

Permisos necesarios (acción de la API): servicediscovery:GetOperation

Recursos: *

38

AWS Cloud Map Guía para desarrolladoresReferencia de permisos de la API de AWS Cloud Map

GetService

Permisos necesarios (acción de la API): servicediscovery:GetService

Recursos: *, arn:aws:servicediscovery:region:account-id:service/service-idListInstances

Permisos necesarios (acción de la API): servicediscovery:ListInstances

Recursos: *ListNamespaces

Permisos necesarios (acción de la API): servicediscovery:ListNamespaces

Recursos: *ListOperations

Permisos necesarios (acción de la API): servicediscovery:ListOperations

Recursos: *ListServices

Permisos necesarios (acción de la API): servicediscovery:ListServices

Recursos: *RegisterInstance

Permisos necesarios (acción de la API):• servicediscovery:RegisterInstance

• route53:GetHealthCheck

• route53:CreateHealthCheck

• route53:UpdateHealthCheck

• route53:ChangeResourceRecordSets

• ec2:DescribeInstances

Recursos: *Actualizar espacio de nombres HTTP

Permisos necesarios (acción de la API): servicediscovery:UpdateHttpNamespace

Recursos: *, arn:aws:servicediscovery:region:account-id:namespace/namespace-idUpdateInstanceCustomHealthStatus

Permisos necesarios (acción de la API):servicediscovery:UpdateInstanceCustomHealthStatus

Recursos: *Actualizar espacio de nombres de NSS privado

Permisos necesarios (acción de la API):• servicediscovery:UpdatePrivateDnsNamespace

• route53:ChangeResourceRecordSets

Recursos: *, arn:aws:servicediscovery:region:account-id:namespace/namespace-idActualizar espacio de nombres DNS público

Permisos necesarios (acción de la API):

39

AWS Cloud Map Guía para desarrolladoresRegistro y monitorización

• servicediscovery:UpdatePublicDnsNamespace

• route53:ChangeResourceRecordSets

Recursos: *, arn:aws:servicediscovery:region:account-id:namespace/namespace-idUpdateService

Permisos necesarios (acción de la API):• servicediscovery:UpdateService

• route53:GetHealthCheck

• route53:CreateHealthCheck

• route53:DeleteHealthCheck

• route53:UpdateHealthCheck

• route53:ChangeResourceRecordSets

Recursos: *, arn:aws:servicediscovery:region:account-id:service/service-id

Referencia de claves de condición de AWS Cloud MapAWS Cloud Map define las siguientes claves de condición que se pueden utilizar en el elementoCondition de una política de IAM. Puede utilizar estas claves para ajustar más las condiciones en lasque se aplica la instrucción de política. Para obtener más información, consulte Especificación de lascondiciones de una política de IAM (p. 33).

servicediscovery:NamespaceArn

Un filtro que le permite obtener los objetos especificando el nombre de recurso de Amazon (ARN) parael espacio de nombres relacionado.

servicediscovery:NamespaceName

Un filtro que le permite obtener objetos especificando el nombre del espacio de nombres relacionado.servicediscovery:ServiceArn

Un filtro que le permite obtener los objetos especificando el nombre de recurso de Amazon (ARN) paralos servicios relacionados.

servicediscovery:ServiceName

Un filtro que le permite obtener los objetos especificando el nombre del servicio relacionado.

Registro y monitorización en AWS Cloud MapLa monitorización es una parte importante del mantenimiento de la fiabilidad, la disponibilidad y elrendimiento de sus soluciones de AWS. Debe recopilar datos de monitorización de todas las partes desu solución de AWS para que le resulte más sencillo depurar un error que se produce en distintas partesdel código, en caso de que ocurra. No obstante, antes de comenzar a monitorizar, debe crear un plan demonitorización que incluya respuestas a las siguientes preguntas:

• ¿Cuáles son los objetivos de la monitorización?• ¿Qué recursos va a monitorizar?• ¿Con qué frecuencia va a monitorizar estos recursos?• ¿Qué herramientas de monitoreo va a utilizar?• ¿Quién se encargará de realizar las tareas de monitoreo?

40

AWS Cloud Map Guía para desarrolladoresRegistro de llamadas a la API de

AWS Cloud Map con AWS CloudTrail

• ¿Quién debería recibir una notificación cuando surjan problemas?

Temas• Registro de llamadas a la API de AWS Cloud Map con AWS CloudTrail (p. 41)

Registro de llamadas a la API de AWS Cloud Map conAWS CloudTrailAWS Cloud Mapestá integrado conAWS CloudTrail, un servicio que proporciona un registro de lasacciones que realiza un usuario, un rol o unAWSservice inAWS Cloud Map. CloudTrail captura todas lasllamadas a la API de la mayoríaAWS Cloud MapAcciones de la API como eventos. Esto incluye llamadasdesde elAWS Cloud Mapconsola y todo el acceso programático, como elAWS Cloud MapAPI yAWSSDKde. (CloudTrail no captura llamadas alAWS Cloud Map DiscoverInstancesAPI.)

Si crea un registro de seguimiento, puede habilitar la entrega continua de eventos de CloudTrail aun bucket de Amazon S3, incluidos los eventos para AWS Cloud Map. Si no configura un registro deseguimiento, puede ver los eventos más recientes de la consola de CloudTrail en el Event history (Historialde eventos). Mediante la información recopilada por CloudTrail, puede identificar la solicitud que se realizóaAWS Cloud Map, la dirección IP desde la que se realizó la solicitud, quién realizó la solicitud, cuándo serealizó y detalles adicionales.

Temas• Información de AWS Cloud Map en CloudTrail (p. 41)• Visualización de eventos de AWS Cloud Map en el historial de eventos (p. 42)• Descripción de las entradas de archivos de registro de AWS Cloud Map (p. 42)

Información de AWS Cloud Map en CloudTrailCloudTrail se habilita en su cuenta de AWS cuando la crea. Cuando se produce una actividad en AWSCloud Map, esa actividad se registra en un evento de CloudTrail junto con otros eventos de serviciode AWS en Event history (Historial de eventos). Puede ver, buscar y descargar los últimos eventos dela cuenta de AWS. Para obtener más información, consulte Ver eventos con el historial de eventos deCloudTrail.

Para mantener un registro continuo de eventos en la cuenta de AWS, incluidos los eventos de AWS CloudMap, cree un registro de seguimiento. Un registro de seguimiento permite a CloudTrail enviar archivos deregistro a un bucket de Amazon S3. De forma predeterminada, cuando se crea un registro de seguimientoen la consola, el registro de seguimiento se aplica a todas las regiones de AWS. El registro de seguimientoregistra los eventos de todas las regiones de la partición de AWS y envía los archivos de registro al bucketde Amazon S3 especificado. También es posible configurar otros servicios de AWS para analizar enprofundidad y actuar en función de los datos de eventos recopilados en los registros de CloudTrail. Paraobtener más información, consulte los siguientes temas:

• Introducción a la creación de registros de seguimiento• Servicios e integraciones compatibles con CloudTrail• Configuración de notificaciones de Amazon SNS para CloudTrail• Recibir archivos de registro de CloudTrail de varias regiones y Recibir archivos de registro de CloudTrail

de varias cuentas

MásAWS Cloud MapCloudTrail registra las acciones y están documentadas en laAWS CloudMapReferencia de la API. Por ejemplo, las llamadas aCreateHttpNamespace,DeleteService,

41

AWS Cloud Map Guía para desarrolladoresRegistro de llamadas a la API de

AWS Cloud Map con AWS CloudTrail

yRegisterInstancegeneran entradas en los archivos de registro de CloudTrail. (CloudTrail no capturallamadas alAWS Cloud Map DiscoverInstancesAPI.)

Cada entrada de registro o evento contiene información sobre quién generó la solicitud. La información deidentidad le ayuda a determinar las situaciones siguientes:

• Si la solicitud se realizó con las credenciales raíz o del usuario de IAM.• Si la solicitud se realizó con credenciales de seguridad temporales de un rol o fue un usuario federado.• Si la solicitud la realizó otro servicio de AWS.

Para obtener más información, consulte el Elemento userIdentity de CloudTrail.

Visualización de eventos de AWS Cloud Map en el historial deeventosCon CloudTrail, puede ver los eventos recientes enHistorial de eventos. Para ver eventos deAWSCloud MapSolicitudes de la API de, tiene que elegir laAWSRegión donde creó los espacios de nombresen el selector de regiones de la parte superior de la consola. Si ha creado espacios de nombres envariosAWSRegiones, debe ver los eventos de cada región por separado. Para obtener más información,consulte Ver eventos con el historial de eventos de CloudTrail en la Guía del usuario de AWS CloudTrail.

Descripción de las entradas de archivos de registro de AWSCloud MapUn registro de seguimiento es una configuración que permite la entrega de eventos como archivos deregistros en un bucket de Amazon S3 que especifique. Los archivos log de CloudTrail pueden conteneruna o varias entradas de log. Un evento representa una solicitud específica realizada desde una fuentey contiene información sobre la acción solicitada, la fecha y la hora de la acción y los parámetros de lasolicitud. Los archivos de registro de CloudTrail no rastrean el orden en la pila de las llamadas públicas a laAPI, por lo que estas no aparecen en ningún orden específico.

El elemento eventName identifica la acción que se ha producido. CloudTrail admite todosAWSCloud MapAcciones de la API. El ejemplo siguiente muestra una entrada de registro de CloudTrailparaCreatePublicDnsNamespace.

{ "Records": [ { "eventVersion": "1.05", "userIdentity": { "type": "IAMUser", "principalId": "A1B2C3D4E5F6G7EXAMPLE", "arn": "arn:aws:iam::111122223333:user/smithj", "accountId": "111122223333", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "smithj" }, "eventTime": "2018-01-16T00:44:17Z", "eventSource": "servicediscovery.amazonaws.com", "eventName": "CreatePublicDnsNamespace", "awsRegion": "us-west-2", "sourceIPAddress": "192.0.2.92", "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.12; rv:52.0) Gecko/20100101 Firefox/52.0", "requestParameters": { "description": "test", "creatorRequestId": "1234567890123456789",

42

AWS Cloud Map Guía para desarrolladoresValidación de la conformidad

"name": "example.com" }, "responseElements": { "operationId": "unmipghn37443trlkgpf4idvvitec6fw-2example" }, "requestID": "35e1872d-c0dc-11e7-99e1-03e9fexample", "eventID": "409b4d91-34e6-41ee-bd97-a816dexample", "eventType": "AwsApiCall", "recipientAccountId": "444455556666" } ]}

Validación de la conformidad para AWS Cloud MapSeguridad y conformidad deAWS Cloud Mapes evaluado por auditores externos como parte devariosAWSprogramas de conformidad de, como la Ley de Portabilidad y Responsabilidad de SegurosMédicos (HIPAA), Estándar de Seguridad de Datos del Sector de las Tarjetas de Pago (PCI DSS), ISO yFIPS.

Para obtener una lista de los servicios que AWS incluyen los programas de conformidad específicos,consulte los servicios AWS incluidos en cada programa de conformidad. Para obtener información general,consulte Programas de conformidad de AWS.

Puede descargar los informes de auditoría de terceros con AWS Artifact. Para obtener más información,consulte Descarga de informes en AWS Artifact.

Su responsabilidad en relación con la conformidad al utilizar servicios de AWS estará determinada porel grado de confidencialidad de los datos, los objetivos de conformidad de la compañía y la legislación ynormativas aplicables. AWS proporciona recursos para ayudar con la conformidad:

• Guías de inicio rápido de seguridad y conformidad: estas guías de implementación tratanconsideraciones sobre arquitectura y ofrecen pasos para implementar los entornos de referenciacentrados en la seguridad y la conformidad en AWS.

• Documento técnico sobre la seguridad y la conformidad de HIPAA— En este artículo se describe cómopueden utilizar las empresasAWSpara crear aplicaciones que se ajusten al estándar HIPAA.

• AWSRecursos de conformidad: este conjunto de manuales y guías podría aplicarse a su sector yubicación.

• AWS Config: este servicio de AWS evalúa en qué medida las configuraciones de los recursos cumplenlas prácticas internas, las directrices del sector y la normativa.

• AWS Security Hub: este servicio de AWS proporciona una vista integral de su estado de seguridad enAWS que lo ayuda a verificar la conformidad con los estándares y las prácticas recomendadas del sectorde seguridad.

Resiliencia en AWS Cloud MapLa infraestructura global de AWS se compone de regiones de AWS y zonas de disponibilidad de AWS.Las regiones proporcionan varias zonas de disponibilidad físicamente independientes y aisladas quese encuentran conectadas mediante redes con un alto nivel de rendimiento y redundancia, además debaja latencia. Con las zonas de disponibilidad, puede diseñar y utilizar aplicaciones y bases de datosque realizan una conmutación por error automática entre zonas de disponibilidad sin interrupciones. Laszonas de disponibilidad tienen una mayor disponibilidad, tolerancia a errores y escalabilidad que lasinfraestructuras tradicionales de centros de datos únicos o múltiples.

43

AWS Cloud Map Guía para desarrolladoresSeguridad de la infraestructura

AWS Cloud Map es principalmente un servicio global. Sin embargo, puede utilizarAWS Cloud Mapparacrear comprobaciones de estado de Route 53 que comprueben el estado de los recursos en regionesespecíficas, como instancias Amazon EC2 y balanceadores de carga de Elastic Load Balancing.

Para obtener más información sobre las regiones y zonas de disponibilidad de AWS, consulteInfraestructura global de AWS.

Seguridad de la infraestructura de AWS Cloud MapComo servicio administrado,AWS Cloud Mapestá protegido por elAWSprocedimientos de seguridad dered globales de que se describen en laAmazon Web Services: Información general sobre procesos deseguridad deet al.

Puede utilizar llamadas a la API publicadas en AWS para obtener acceso a AWS Cloud Map a travésde la red. Los clientes deben ser compatibles con Transport Layer Security (TLS) 1.0 o una versiónposterior. Recomendamos TLS 1.2 o una versión posterior. Los clientes también deben ser compatiblescon conjuntos de cifrado con confidencialidad directa total (PFS) tales como Ephemeral Diffie-Hellman(DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La mayoría de los sistemas modernos comoJava 7 y posteriores son compatibles con estos modos.

Además, las solicitudes deben estar firmadas mediante un ID de clave de acceso y una clave de accesosecreta que esté asociada a una entidad principal de IAM. También puede utilizar AWS Security TokenService (AWS STS) para generar credenciales de seguridad temporales para firmar solicitudes.

44

AWS Cloud Map Guía para desarrolladoresConceptos básicos de etiquetas

Etiquetado de los recursos de AWSCloud Map

Para ayudarle a administrar sus recursos de AWS Cloud Map, puede asignar sus propios metadatos acada recurso en forma de etiquetas. En este tema se describe qué son las etiquetas y cómo crearlas.

Contenido• Conceptos básicos de etiquetas (p. 45)• Etiquetado de los recursos (p. 45)• Restricciones de las etiquetas (p. 46)• Uso de etiquetas mediante la CLI o la API (p. 46)

Conceptos básicos de etiquetasUna etiqueta es una marca que se asigna a un recurso de AWS. Cada etiqueta está formada por una clavey un valor opcional, ambos definidos por el usuario.

Las etiquetas le permiten clasificar los recursos de AWS según, por ejemplo, su finalidad, propietarioo entorno. Cuando tenga muchos recursos del mismo tipo, puede identificar rápidamente un recursoespecífico en función de las etiquetas que le haya asignado. Por ejemplo, puede definir un conjunto deetiquetas para los servicios de AWS Cloud Map para ayudarle a realizar un seguimiento del propietarioy del nivel de pila de cada servicio. Le recomendamos que diseñe un conjunto coherente de claves deetiqueta para cada tipo de recurso.

Además, las etiquetas no se asignan a los recursos automáticamente. Después de agregar una etiqueta,puede editar las claves y los valores de las etiquetas o eliminar etiquetas de un recurso en cualquiermomento. Si elimina un recurso, también se eliminará cualquier etiqueta asignada a dicho recurso.

Las etiquetas no tienen ningún significado semántico para AWS Cloud Map, por lo que se interpretanestrictamente como cadenas de caracteres. Puede establecer el valor de una etiqueta como una cadenavacía, pero no puede asignarle un valor nulo. Si añade una etiqueta con la misma clave que una etiquetaexistente en ese recurso, el nuevo valor sobrescribirá al antiguo.

Puede trabajar con etiquetas utilizando la AWS Management Console, la AWS CLI y la API de AWS CloudMap.

Si utiliza AWS Identity and Access Management (IAM), puede controlar qué usuarios de su cuenta de AWStienen permiso para crear, editar o eliminar etiquetas.

Etiquetado de los recursosPuede etiquetar espacios de nombres y servicios de AWS Cloud Map nuevos o existentes.

Si utiliza la consola de AWS Cloud Map, puede aplicar etiquetas a los recursos de nueva creación o a losrecursos existentes cuando lo desee mediante la pestaña Tags (Etiquetas) en la página de recursos encuestión.

Si utiliza laAWS Cloud MapAPI, elAWS CLI, o unAWSSDK, puede aplicar etiquetas a nuevosrecursos mediante eltagsen la acción de la API pertinente o en los recursos existentes medianteelTagResourceAcción de la API. Para obtener más información, consulte TagResource.

45

AWS Cloud Map Guía para desarrolladoresRestricciones de las etiquetas

Además, algunas acciones de creación de recursos le permiten especificar etiquetas para un recursoal crearlo. Si no se pueden aplicar etiquetas durante la creación del recurso, el proceso de creación derecursos falla. Esto garantiza que los recursos que pretendía etiquetar en el momento de su creaciónse creen con etiquetas específicas o no se creen en absoluto. Si etiqueta recursos en el momento desu creación, no es necesario ejecutar scripts de etiquetado personalizados después de la creación delrecurso.

En la tabla siguiente se describen los recursos de AWS Cloud Map que se pueden etiquetar y aquellos quese pueden etiquetar en el momento de su creación.

Compatibilidad con el etiquetado de recursos de AWS Cloud Map

Recurso Admite etiquetas Admite la propagaciónde etiquetas

Admite el etiquetadodurante la creación (APIde AWS Cloud Map,AWS CLI y SDK deAWS)

Espacios de nombresde AWS Cloud Map

Sí No. Las etiquetas delespacio de nombres nose propagan a ningúnotro recurso asociado alespacio de nombres.

Sí

Servicios de AWS CloudMap

Sí No. Las etiquetas delservicio no se propagana ningún otro recursoasociado al servicio.

Sí

Restricciones de las etiquetasSe aplican las siguientes restricciones básicas a las etiquetas:

• Número máximo de etiquetas por cada recurso: 50• Para cada recurso, cada clave de etiqueta debe ser única y solo puede tener un valor.• Longitud máxima de la clave: 128 caracteres Unicode en UTF-8• Longitud máxima del valor: 256 caracteres Unicode en UTF-8• Si el esquema de etiquetado se utiliza en variosAWSservicios y recursos, recuerde que otros servicios

pueden tener otras restricciones en cuanto a caracteres permitidos. Los caracteres permitidosgeneralmente son: letras, números y espacios representables en UTF-8, además de los siguientescaracteres: + - = . _ : / @.

• Las claves y los valores de las etiquetas distinguen entre mayúsculas y minúsculas.• No utilice aws:, AWS: ni ninguna combinación de mayúsculas o minúsculas del mismo como prefijo

para claves o valores, ya que está reservado para uso de AWS. Las claves y valores de etiquetas quetienen este prefijo no se pueden editar. Las etiquetas que tengan este prefijo no cuentan para el límite deetiquetas por recurso.

Uso de etiquetas mediante la CLI o la APIUtilice los siguientes comandos de AWS CLI u operaciones de la API de AWS Cloud Map para agregar,actualizar, enumerar y eliminar las etiquetas de sus recursos.

46

AWS Cloud Map Guía para desarrolladoresUso de etiquetas mediante la CLI o la API

Compatibilidad con el etiquetado de recursos de AWS Cloud Map

Tarea Acción de la API AWS CLI AWS Tools for Windows PowerShell

Agregar o sobrescribiruna o varias etiquetas.

TagResource tag-resource Add-SDResourceTag

Eliminar una o variasetiquetas.

UntagResource untag-resource Remove-SDResourceTag

Enumera las etiquetasde un recurso

ListTagsForResource list-tags-for-resource Get-SDResourceTag

Los siguientes ejemplos muestran cómo agregar o quitar etiquetas a los recursos mediante la AWS CLI.

Ejemplo 1: Etiquetar un recurso existente

El siguiente comando etiqueta un recurso existente.

aws servicediscovery tag-resource --resource-arn resource_ARN --tags team=devs

Ejemplo 2: Dejar la etiqueta de un recurso existente

El siguiente comando elimina una etiqueta de un recurso existente.

aws servicediscovery untag-resource --resource-arn resource_ARN --tag-keys tag_key

Ejemplo 3: Enumera las etiquetas de un recurso

El siguiente comando enumera las etiquetas asociadas a un recurso existente.

aws servicediscovery list-tags-for-resource --resource-arn resource_ARN

Algunas acciones de creación de recursos le permiten especificar etiquetas al crear el recurso. Lassiguientes acciones admiten etiquetado durante la creación.

Tarea Acción de la API AWS CLI AWS Tools for WindowsPowerShell

Crear un espacio denombres de HTTP

CreateHttpNamespace create-http-namespace New-SDHttpNamespace

Crear un espacio denombres privado basadoen DNS

CreatePrivateDnsNamespace create-private-dns-namespace

New-SDPrivateDnsNamespace

Crear un espacio denombres público basadoen DNS

CreatePublicDnsNamespace create-public-dns-namespace

New-SDPublicDnsNamespace

Crear un servicio CreateService create-service New-SDService

47

AWS Cloud Map Guía para desarrolladoresCuota limitación limitante de solicitudes de API

AWS Cloud MapCuotas deLas entidades de AWS Cloud Map están sujetas a las siguientes cuotas. Cada cuota enumerada se aplicaa cadaAWSRegión en la que creasAWS Cloud Mapde AWS. Por ejemplo, cadaAWSla cuenta puede crear50 espacios de nombres en cada región.

Recurso Cuota predeterminada

Espacios de nombres 50 espacios de nombres en cada unoAWSRegión*

Solicitar una ampliación de la cuota

Instancias de servicio 1000 instancias por cada servicio

2.000 instancias en cada espacio de nombres

Solicitar una ampliación de la cuota

Custom attributes (Atributospersonalizados)

30 por cada instancia de servicio

*Cuando se crea un espacio de nombres, se crea automáticamente una zona hospedada de AmazonRoute 53. Esta zona hospedada computa para la cuota del número de zonas hospedadas que puede crearcon unAWSaccount. Para obtener más información, consulteCuotas en zonas alojadasen laGuía paradesarrolladores de Amazon Route 53.

AWS Cloud MapCuota limitación limitante desolicitudes de API

AWS Cloud MapLimitaciones deDiscoverInstancesSolicitudes de API para cadaAWScuenta por región. Lalimitación ayuda a mejorar el rendimiento del servicio y ayuda a proporcionar un uso justo para todosAWSCloud Mapclientes. La limitación garantiza que las llamadas alAWS Cloud Map DiscoverInstancesLa APIno excede el máximo permitidoDiscoverInstancesCuotas de solicitudes de API. DiscoverInstancesLasllamadas a la API procedentes de cualquiera de las siguientes fuentes están sujetas a las cuotas desolicitud:

• Una aplicación de terceros• Una herramienta de línea de comandos• La consola de AWS Cloud Map.

Si superas una cuota de limitación de API, obtienes elRequestLimitExceededCódigo de error. Paraobtener más información, consulte the section called “Limitación de velocidad de solicitudes” (p. 49).

Cómo se aplica la limitaciónAWS Cloud MaputilizaAlgoritmo de token bucketpara implementar la limitación de API. Con este algoritmo,tu cuenta tiene unbaldeque contiene un número específico defichas. El número de tokens del depósito

48

AWS Cloud Map Guía para desarrolladoresAjuste de las cuotas de limitación limitada de la API

representa su cuota de limitación en un segundo determinado. Hay un depósito para una única región y seaplica a todos los extremos de la región.

Limitación de velocidad de solicitudesLa limitación limita el número deDiscoverInstancesSolicitudes de API que puedes realizar.Cada solicitud elimina un token del bucket. Por ejemplo, el tamaño del cucharón paraelDiscoverInstancesEl funcionamiento de la API es de 2.000 tokens, por lo que puedes crear hasta2.000DiscoverInstancessolicitudes en un segundo. Si superas las 2.000 solicitudes en un segundo, selimitará y las solicitudes restantes de ese segundo fallan.

Los cubos se recargan automáticamente a una velocidad establecida. Si el depósito no está en capacidad,se añade un número determinado de tokens cada segundo hasta que el cubo alcance su capacidad. Si eldepósito está a su capacidad cuando llegan los tokens de recarga, estos tokens se descartan. El tamañodel cucharón para elDiscoverInstancesLa operación de la API es de 2.000 tokens y la tasa de recargaes de 1.000 tokens por segundo. Si ganas 2000DiscoverInstancesSolicitudes de API en un segundo, eldepósito se reduce inmediatamente a cero (0) tokens. El depósito se vuelve a llenar hasta 1.000 tokenscada segundo hasta que alcanza su capacidad máxima de 2000 tokens.

Puedes usar tokens a medida que se añaden al depósito. No tienes que esperar a que eldepósito tenga la máxima capacidad antes de realizar solicitudes de API. Si agotas el cuboganando 2.000DiscoverInstancesSolicitudes de API en un segundo, puedes ganar hasta1.000DiscoverInstancesSolicitudes API cada segundo después de eso durante el tiempo que necesites.Esto significa que puedes usar inmediatamente los tokens de recarga a medida que se añaden a tudepósito. El depósito solo comienza a rellenarse hasta la máxima capacidad cuando realiza menossolicitudes de API cada segundo que la tasa de recarga.

Reintentos o procesamiento por lotesSi falla una solicitud de API, es posible que la aplicación tenga que volver a intentar la solicitud. Parareducir el número de solicitudes de API, utilice un intervalo de suspensión entre solicitudes sucesivasadecuado. Para obtener resultados óptimos, utilice un intervalo de suspensión creciente o variable.

Cálculo del intervalo de suspensiónCuando tenga que sondear o reintentar una solicitud de API, recomendamos que utilice un algoritmo deretardo exponencial para calcular el intervalo de suspensión entre las llamadas al API. Si utiliza tiemposde espera cada vez más largos entre reintentos para respuestas de error consecutivas, puede reducir elnúmero de solicitudes fallidas. Para obtener más información, así como ejemplos de implementación deeste algoritmo, consulteReintentos de error y retardo exponencial enAWS.

Ajuste de las cuotas de limitación limitada de la APIPuede solicitar un aumento de las cuotas de limitación de API para su cuenta de AWS. Para solicitar unajuste de cuota, póngase en contacto conAWS SupportCentro.

49

AWS Cloud Map Guía para desarrolladoresRecursos de AWS

Información relacionadaLos recursos relacionados siguientes pueden serle de ayuda cuando trabaje con AWS Cloud Map.

Temas• Recursos de AWS (p. 50)• Herramientas y bibliotecas de terceros (p. 50)

Recursos de AWSLos recursos relacionados siguientes pueden serle de ayuda cuando trabaje con este servicio.

• Clases y talleres: enlaces a cursos basados en roles y especializados, además de laboratoriosautoguiados para ayudarlo a desarrollar sus conocimientos sobre AWS y obtener experiencia práctica.

• Herramientas para desarrolladores de AWS: enlaces a herramientas para desarrolladores, SDK,conjuntos de herramientas de IDE y herramientas de línea de comandos para desarrollar y administraraplicaciones de AWS.

• Documentos técnicos de AWS: enlaces a una lista completa de documentos técnicos de AWS que tratanuna gran variedad de temas técnicos, como arquitecturas, seguridad y economía de la nube, escritos porarquitectos de soluciones de AWS o expertos técnicos.

• AWS Support Centro: el centro para crear y administrar los casos de AWS Support. También incluyeenlaces a otros recursos útiles como foros, preguntas técnicas frecuentes, estado de los servicios y AWSTrusted Advisor.

• AWS Support: la página web principal para obtener información acerca de AWS Support, un canal desoporte individualizado y de respuesta rápida que le ayudará a crear y ejecutar aplicaciones en la nube.

• Contacto: un punto central de contacto para las consultas relacionadas con la facturación, cuentas,eventos, abuso y demás problemas relacionados con AWS.

• Términos del sitio de AWS: información detallada acerca de nuestros derechos de autor y marcacomercial, su cuenta, licencia y acceso al sitio, entre otros temas.

Herramientas y bibliotecas de tercerosAdemás deAWSlos recursos, las siguientes herramientas y bibliotecas de terceros funcionan conAWSCloud Map.

• Marco de aplicaciones en la nube (AWS Cloud Map)— Biblioteca que gestiona tareas comunes de laplataforma en la nube, como la colocación de mensajes en cola, eventos de publicación y llamadas afunciones de nube, con la ayuda deAWS Cloud Map.

• ExternalDNS para Kubernetes— Herramienta para configurar servicios DNS externos, incluido AmazonRoute 53, yAWS Cloud Mappara Ingresos y servicios de Kubernetes.

50

AWS Cloud Map Guía para desarrolladores

Historial de revisión de AWS CloudMap

En las siguientes entradas se describen los cambios importantes en cada versión de la documentación deAWS Cloud Map.

24 de marzo de 2021

AWS Cloud Mapcompatibilidad añadida para crear servicios en un espacio de nombres que admiteconsultas DNS que solo se pueden detectar mediante elDiscoverInstancesFuncionamiento de la API yno utilizar consultas DNS. Para obtener más información, consulte Service discovery configuration.

08 de febrero de 2021

AWS Cloud Mapha añadido compatibilidad con la adición de etiquetas de metadatos a sus espaciosde nombres y servicios mediante laAWS Management Console. Para obtener más información,consulte Etiquetado de los recursos de AWS Cloud Map.

22 de junio de 2020

AWS Cloud Mapha añadido compatibilidad con la adición de etiquetas de metadatos a sus espaciosde nombres y servicios mediante laAWS CLIy API. Para obtener más información, consulte Etiquetadode los recursos de AWS Cloud Map.

28 de noviembre de 2018

Esta es la primera versión deAWS Cloud MapGuía para desarrolladores.

51

AWS Cloud Map Guía para desarrolladores

AWSGlosarioContiene la más recienteAWSterminología, consulte laAWSGlosarioen laAWSReferencia general de.

52

AWS Cloud Map Guía para desarrolladores

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre latraducción y la version original de inglés, prevalecerá la version en inglés.

liii