Elastic Load BalancingGuía del usuario

Elastic Load Balancing Guía del usuario

Elastic Load Balancing: Guía del usuarioCopyright © 2020 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.

Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's,in any manner that is likely to cause confusion among customers, or in any manner that disparages or discreditsAmazon. All other trademarks not owned by Amazon are the property of their respective owners, who may or may notbe affiliated with, connected to, or sponsored by Amazon.

Elastic Load Balancing Guía del usuario

Table of Contents¿Qué es Elastic Load Balancing? ......................................................................................................... 1

Beneficios del balanceador de carga ............................................................................................. 1Características de Elastic Load Balancing ...................................................................................... 1Acceso a Elastic Load Balancing .................................................................................................. 1Servicios relacionados ................................................................................................................. 2Precios ...................................................................................................................................... 2

Funcionamiento de Elastic Load Balancing ............................................................................................. 3Zonas de disponibilidad y nodos de balanceador de carga ................................................................ 3

Balanceo de carga entre zonas ............................................................................................ 3Direccionamiento de solicitudes .................................................................................................... 5

Algoritmo de direccionamiento .............................................................................................. 5Conexiones HTTP .............................................................................................................. 6Encabezados HTTP ............................................................................................................ 6Límites de los encabezados HTTP ........................................................................................ 7

Esquema del balanceador de carga .............................................................................................. 7Introducción ....................................................................................................................................... 8

Creación de un Balanceador de carga de aplicaciones ..................................................................... 8Creación de un Balanceador de carga de red ................................................................................. 8Creación de un Classic Load Balancer .......................................................................................... 8

Seguridad .......................................................................................................................................... 9Protección de los datos ............................................................................................................... 9

Cifrado en reposo ............................................................................................................. 10Cifrado en tránsito ............................................................................................................ 10

Identity and Access Management ................................................................................................ 10Concesión de permisos mediante políticas de IAM ................................................................. 11Acciones de API para Elastic Load Balancing ....................................................................... 11Recursos de Elastic Load Balancing .................................................................................... 12Permisos a nivel de recursos para Elastic Load Balancing ...................................................... 13Claves de condición de Elastic Load Balancing ..................................................................... 15Políticas administradas por AWS predefinidas ....................................................................... 16Permisos de API ............................................................................................................... 17Rol vinculado a servicio ..................................................................................................... 19

Validación de la conformidad ...................................................................................................... 20Resiliencia ............................................................................................................................... 21Seguridad de la infraestructura ................................................................................................... 21

Aislamiento de red ............................................................................................................ 21Control del tráfico de red ................................................................................................... 22

Puntos de enlace de la VPC de tipo interfaz ................................................................................. 22Creación de un punto de enlace de interfaz para Elastic Load Balancing ................................... 23Cree una política de puntos de enlace de la VPC para Elastic Load Balancing ............................ 23

Migrar su Classic Load Balancer ......................................................................................................... 25Paso 1: crear un nuevo balanceador de carga .............................................................................. 25

Opción 1: use el asistente de migración ............................................................................... 25Opción 2: migrar con Load Balancer Copy Utility ................................................................... 26Opción 3: migrar manualmente ........................................................................................... 26

Paso 2: redireccionar gradualmente el tráfico al nuevo balanceador de carga ..................................... 27Paso 3: actualizar referencias a su Classic Load Balancer .............................................................. 27Paso 4: Eliminar el Classic Load Balancer .................................................................................... 28

iii

Elastic Load Balancing Guía del usuarioBeneficios del balanceador de carga

¿Qué es Elastic Load Balancing?Elastic Load Balancing distribuye el tráfico de red o de aplicaciones entrante entre varios destinos, como,por ejemplo, instancias de Amazon EC2, contenedores y direcciones IP, en varias zonas de disponibilidad.Elastic Load Balancing escala el balanceador de carga a medida que cambia el tráfico dirigido a laaplicación. Puede escalarse automáticamente para adaptarse a la mayoría de las cargas de trabajo.

Beneficios del balanceador de cargaUn balanceador de carga distribuye cargas de trabajo a través de varios recursos informáticos, como,servidores virtuales. Usar un balanceador de carga aumenta la disponibilidad y la tolerancia a errores delas aplicaciones.

Puede agregar y eliminar recursos informáticos de su balanceador de carga en función de susnecesidades sin interrumpir el flujo general de solicitudes a las aplicaciones.

Puede configurar las comprobaciones de estado, que monitorizan el estado de los recursos informáticos,de tal forma que el balanceador de carga solo envíe solicitudes a los que están en buen estado. Tambiénpuede trasladar las tareas de cifrado y descifrado al balanceador de carga, de forma que los recursosinformáticos se pueden dedicar a su trabajo principal.

Características de Elastic Load BalancingElastic Load Balancing admite tres tipos de balanceadores de carga: Application Load Balancers, NetworkLoad Balancers y Classic Load Balancers. Puede seleccionar un balanceador de carga según lasnecesidades de su aplicación. Para obtener más información, consulte Comparación de productos deElastic Load Balancing.

Para obtener más información acerca del uso de cada balanceador de carga, consulte la Guía del usuariode Application Load Balancers, la Guía del usuario de Network Load Balancers y la Guía del usuario deClassic Load Balancers.

Acceso a Elastic Load BalancingPuede crear y administrar los balanceadores de carga y el acceso a ellos desde cualquiera de lassiguientes interfaces:

• Consola de administración de AWS— Proporciona una interfaz web que se puede utilizar para obteneracceso a Elastic Load Balancing.

• Interfaz de línea de comandos de AWS (AWS CLI): proporciona comandos para un amplio conjunto deservicios de AWS, incluido Elastic Load Balancing. La AWS CLI es compatible con Windows, macOS yLinux. Para obtener más información, consulte AWS Command Line Interface.

• SDK de AWS: proporcionan API específicas de cada lenguaje y se encargan de muchos de los detallesde la conexión, tales como el cálculo de firmas, el control de reintentos de solicitud y el control deerrores. Para obtener más información, consulte AWS SDKs.

• API de consulta: proporciona acciones de API de nivel bajo a las que se llama mediante solicitudesHTTPS. Utilizar la API de consulta es la forma más directa de obtener acceso a Elastic Load Balancing.

1

Elastic Load Balancing Guía del usuarioServicios relacionados

Sin embargo, la API de consulta requiere que la aplicación gestione detalles de bajo nivel, como,por ejemplo, la generación del hash para firmar la solicitud y el control de errores. Para obtener másinformación, consulte los siguientes temas:• Application Load Balancers y Network Load Balancers: Versión de la API 2015-12-01• Classic Load Balancers: Versión de la API 2012-06-01

Servicios relacionadosElastic Load Balancing se combina con los siguientes servicios para mejorar la disponibilidad y laescalabilidad de las aplicaciones.

• Amazon EC2 — Servidores virtuales que ejecutan las aplicaciones en la nube. Puede configurarel balanceador de carga de modo que direccione el tráfico a las instancias EC2. Para obtener másinformación, consulte la Guía del usuario de Amazon EC2 para instancias de Linux o la Guía del usuariode Amazon EC2 para instancias de Windows.

• Amazon EC2 Auto Scaling: se asegura de que se ejecute la cantidad deseada de instancias, aunqueuna de ellas sufra un error, y también permite aumentar o reducir automáticamente el número deinstancias a medida que cambia la demanda de ellas. Si habilita Auto Scaling con Elastic LoadBalancing, las instancias que Auto Scaling inicie se registrarán automáticamente en el balanceadorde carga. Del mismo modo, las instancias que Auto Scaling termine se anularán automáticamente delbalanceador de carga. Para obtener más información, consulte la Guía del usuario de Amazon EC2 AutoScaling.

• AWS Certificate Manager: al crear un agente de escucha HTTPS, puede especificar los certificadosproporcionados por ACM. El balanceador de carga utiliza certificados para terminar las conexiones ydescifrar las solicitudes de los clientes.

• Amazon CloudWatch: permite monitorizar el balanceador de carga y adoptar las medidas necesarias.Para obtener más información, consulte Guía del usuario de Amazon CloudWatch.

• Amazon ECS — Permite ejecutar, detener y administrar contenedores Docker en un clúster deinstancias EC2. Puede configurar el balanceador de carga de forma que direccione el tráfico a loscontenedores. Para obtener más información, consulte Amazon Elastic Container Service DeveloperGuide.

• AWS Global Accelerator: mejora la disponibilidad y el rendimiento de la aplicación. Utilice un aceleradorpara distribuir el tráfico entre varios balanceadores de carga en una o varias regiones de AWS. Paraobtener más información, consulte la Guía para desarrolladores de AWS Global Accelerator.

• Route 53: ofrece una forma rentable y de confianza de direccionar a los visitantes a los sitios webconvirtiendo los nombres de dominio en direcciones IP numéricas que los equipos utilizan paracomunicarse entre sí. Por ejemplo, convertiría www.example.com en la dirección IP numérica192.0.2.1. AWS asigna direcciones URL a los recursos, tales como los balanceadores de carga.No obstante, puede ser conveniente utilizar una URL que los usuarios puedan recordar fácilmente.Por ejemplo, puede asignar el nombre de dominio a un balanceador de carga. Para obtener másinformación, consulte Guía para desarrolladores de Amazon Route 53.

• AWS WAF: puede utilizar AWS WAF con su Balanceador de carga de aplicaciones para permitir obloquear las solicitudes en función de las reglas de una lista de control de acceso web (ACL web). Paraobtener más información, consulte Guía para desarrolladores de AWS WAF.

PreciosCon el balanceador de carga, solo se paga por lo que se usa. Para obtener más información, consultePrecios de Elastic Load Balancing.

2

Elastic Load Balancing Guía del usuarioZonas de disponibilidad y nodos de balanceador de carga

Funcionamiento de Elastic LoadBalancing

Un balanceador de carga acepta el tráfico entrante de los clientes y direcciona las solicitudes a susdestinos registrados (como por ejemplo instancias EC2) en una o varias zonas de disponibilidad.Asimismo, el balanceador de carga monitoriza el estado de los destinos registrados en él y se asegurade direccionar el tráfico únicamente a los que se encuentran en buen estado. Cuando el balanceador decarga detecta un destino que no está en buen estado, deja de enviar tráfico a ese destino. A continuación,reanuda el tráfico a ese destino cuando detecta que el destino vuelve a estar en buen estado.

Puede configurar el balanceador de carga para que acepte el tráfico entrante especificando uno o variosagentes de escucha. Un agente de escucha es un proceso que comprueba solicitudes de conexión. Seconfigura con un protocolo y un número de puerto para las conexiones entre los clientes y el balanceadorde carga. Del mismo modo, se configura con un protocolo y un número de puerto para las conexiones delbalanceador de carga a los destinos.

Elastic Load Balancing admite tres tipos de balanceadores de carga:

• Application Load Balancers• Network Load Balancers• Classic Load Balancers

Hay una diferencia clave en el modo en que se configuran los tipos de balanceador de carga. Con losApplication Load Balancers y Network Load Balancers, se registran destinos con grupos de destino y sedirecciona el tráfico a los grupos de destino. Con los Classic Load Balancers, se registran las instancias enel balanceador de carga.

Zonas de disponibilidad y nodos de balanceador decarga

Cuando se habilita una zona de disponibilidad para el balanceador de carga, Elastic Load Balancing creaen ella un nodo de balanceador de carga. Si registra destinos en una zona de disponibilidad, pero no lahabilita, los destinos registrados no reciben tráfico. El balanceador de carga es más eficaz si se asegura deque cada zona de disponibilidad habilitada tenga al menos un destino registrado.

Recomendamos habilitar varias zonas de disponibilidad. (Con un Balanceador de carga de aplicaciones,es imprescindible habilitar varias zonas de disponibilidad). Esta configuración ayuda a garantizar que elbalanceador de carga pueda continuar enviando el tráfico. Si una zona de disponibilidad deja de estardisponible o no incluye ningún destino en buen estado, el balanceador de carga puede seguir enviando eltráfico a los destinos en buen estado de otra zona de disponibilidad.

Después de deshabilitar una zona de disponibilidad, los destinos de esa zona de disponibilidadpermanecen registrados en el balanceador de carga. Sin embargo, aunque permanezcan registrados, elbalanceador de carga no envía el tráfico hacia ellos.

Balanceo de carga entre zonasLos nodos del balanceador de carga distribuyen las solicitudes procedentes de los clientes entre losdestinos registrados. Cuando el balanceo de carga entre zonas está habilitado, cada nodo del balanceador

3

Elastic Load Balancing Guía del usuarioBalanceo de carga entre zonas

de carga distribuye el tráfico entre los destinos registrados de todas las zonas de disponibilidad habilitadas.Cuando el balanceo de carga entre zonas está deshabilitado, cada nodo del balanceador de cargadistribuye el tráfico únicamente entre los destinos registrados de su zona de disponibilidad.

En los diagramas siguientes, se muestra el efecto del balanceo de carga entre zonas. Hay dos zonasde disponibilidad habilitadas: la zona de disponibilidad A tiene dos destinos, mientras que la zona dedisponibilidad B tiene ocho. Los clientes envían solicitudes y Amazon Route 53 responde a cada unade ellas con la dirección IP de uno de los nodos del balanceador de carga. Esto distribuye el tráfico deforma que cada nodo del balanceador de carga recibe un 50% del tráfico de los clientes. Cada nodo delbalanceador de carga distribuye su cuota de tráfico entre los destinos registrados en su ámbito.

Si el balanceo de carga entre zonas está habilitado, cada uno de los diez destinos recibirá un 10% deltráfico. Esto se debe a que cada nodo del balanceador de carga puede dirigir el 50% del tráfico de losclientes a los diez destinos.

Cuando el balanceo de carga entre zonas está deshabilitado:

• Cada uno de los dos destinos de la zona de disponibilidad A recibe el 25 % del tráfico.• Cada uno de los ocho destinos de la zona de disponibilidad B recibe el 6,25 % del tráfico.

Esto se debe a que cada nodo del balanceador de carga puede dirigir el 50% del tráfico de los clientesúnicamente a los destinos de su zona de disponibilidad.

El equilibrio de carga entre zonas siempre está habilitado para los Application Load Balancers.

Con las instancias de Network Load Balancers, el equilibrio de carga entre zonas está deshabilitado deforma predeterminada. Después de crear una instancia de Balanceador de carga de red, se puede habilitar

4

Elastic Load Balancing Guía del usuarioDireccionamiento de solicitudes

o deshabilitar el balanceo de carga entre zonas en cualquier momento. Para obtener más información,consulte el artículo relacionado con el balanceo de carga entre zonas en la Guía del usuario de NetworkLoad Balancers.

Al crear un Classic Load Balancer, el valor predeterminado para el balanceo de carga entre zonasdepende de cómo se crea el balanceador de carga. Con la API o la interfaz de línea de comandosel balanceo de carga entre zonas está deshabilitado de forma predeterminada. Con la Consola deadministración de AWS, la opción de habilitar el balanceo de carga entre zonas está seleccionada deforma predeterminada. Después de crear un Classic Load Balancer, puede habilitar o deshabilitar elbalanceo de carga entre zonas en cualquier momento. Para obtener más información, consulte Habilitacióndel balanceo de carga entre zonas en la Guía del usuario de Classic Load Balancers.

Direccionamiento de solicitudesAntes de que un cliente envíe una solicitud al balanceador de carga, resuelve el nombre de dominio deeste último utilizando un servidor de sistema de nombres de dominio (DNS). Amazon controla la entradade DNS, ya que los balanceadores de carga se encuentran en el dominio amazonaws.com. Los servidoresDNS de Amazon devuelven una o varias direcciones IP al cliente. Estas son las direcciones IP de losnodos del balanceador de carga. Con los Network Load Balancers, Elastic Load Balancing crea unainterfaz de red para cada zona de disponibilidad que habilita. Cada nodo de balanceador de carga de lazona de disponibilidad utiliza esta interfaz de red para obtener una dirección IP estática. Si lo desea, puedeasociar una dirección IP elástica a cada interfaz de red al crear el balanceador de carga.

A medida que el tráfico de la aplicación cambia, Elastic Load Balancing escala el balanceador de cargay actualiza la entrada de DNS. La entrada de DNS también especifica el tiempo de vida (TTL) de 60segundos. Esto ayuda a garantizar que las direcciones IP se puedan reasignar rápidamente en respuestaal tráfico cambiante.

El cliente determina qué dirección IP se debe usar para enviar solicitudes al balanceador de carga. El nodode balanceador de carga que recibe la solicitud selecciona un destino registrado en buen estado y le envíala solicitud a ese destino utilizando su dirección IP privada.

Algoritmo de direccionamientoCon los Application Load Balancers, el nodo del balanceador de carga que recibe la solicitud realiza elsiguiente proceso:

1. Evalúa las reglas del agente de escucha en orden de prioridad para determinar qué regla se va aaplicar.

2. Selecciona un destino del grupo de destino para la acción de regla mediante el uso del algoritmo dedireccionamiento configurado para el grupo de destino. El algoritmo de enrutamiento predeterminadoes de turno rotativo. El direccionamiento se lleva a cabo de manera independiente para cada grupo dedestino, aunque un destino se haya registrado en varios grupos de destino.

Con los Network Load Balancers, el nodo del balanceador de carga que recibe la conexión utiliza elsiguiente proceso:

1. Selecciona un destino del grupo de destino para la regla predeterminada mediante un algoritmo hash deflujo. Basa el algoritmo en:• El protocolo.• La dirección IP de origen y el puerto de origen.• La dirección IP de destino y el puerto de destino.• El número de secuencia TCP.

5

Elastic Load Balancing Guía del usuarioConexiones HTTP

2. Direcciona cada conexión TCP individual a un único destino durante la conexión. Las conexionesTCP desde un cliente tienen distintos puertos de origen y números de secuencia y se pueden dirigir adiferentes destinos.

Con los Classic Load Balancers, el nodo del balanceador de carga que recibe la solicitud selecciona unainstancia registrada del siguiente modo:

• Usa el algoritmo de direccionamiento de turno rotativo para agentes de escucha TCP.• Usa el algoritmo de direccionamiento de solicitudes menos pendientes para agentes de escucha HTTP y

HTTPS.

Conexiones HTTPLos Classic Load Balancers utilizan conexiones previamente abiertas, pero los Application Load Balancers,no. Tanto los Classic Load Balancers como los Application Load Balancers utilizan multiplexado deconexión. Esto significa que las solicitudes de varios clientes en varias conexiones frontend se puedendirigir a un destino determinado a través de una única conexión backend. El multiplexado de conexiónmejora la latencia y reduce la carga de sus aplicaciones. Para evitar el multiplexado de conexión,deshabilite los keep-alives de HTTP mediante la configuración del encabezado Connection: closeen sus respuestas HTTP.

Los Classic Load Balancers admiten los siguientes protocolos en las conexiones frontend (del cliente albalanceador de carga): HTTP/0.9, HTTP/1.0 y HTTP/1.1.

Los Application Load Balancers admiten los siguientes protocolos en las conexiones frontend: HTTP/0.9,HTTP/1.0, HTTP/1.1 y HTTP/2. HTTP/2 solo se puede utilizar con los agentes de escucha HTTPS y puedeenviar hasta 128 solicitudes en paralelo mediante una conexión HTTP/2. Los Application Load Balancerstambién admiten las actualizaciones de conexiones de HTTP a WebSockets.

Tanto los Application Load Balancers como los Classic Load Balancers utilizan HTTP/1.1 en conexionesbackend (balanceador de carga al destino registrado). Keep-alive es compatible con las conexiones debackend de forma predeterminada. Si las solicitudes HTTP/1.0 de los clientes no tienen un encabezado dehost, el balanceador de carga lo genera para las solicitudes HTTP/1.1 enviadas a través de las conexionesbackend. Para el Balanceador de carga de aplicaciones, el encabezado de host contiene el nombre deDNS del balanceador de carga. Para el Classic Load Balancer, el encabezado de host contiene la direcciónIP del nodo del balanceador de carga.

Puede establecer un valor de tiempo de espera para Application Load Balancers y Classic Load Balancers.El valor de predeterminado es de 60 segundos. Con un Balanceador de carga de aplicaciones, el valor detiempo de inactividad se aplica únicamente a las conexiones frontend. Con un Classic Load Balancer, siuna conexión permanece inactiva durante más tiempo que el valor de tiempo de inactividad, la conexión sedesactiva y el cliente recibe una respuesta de error. Esto se aplica a las conexiones frontend y backend.Un destino registrado puede utilizar un tiempo de keep-alive para mantener abierta una conexiónbackend hasta que esté preparado para desactivarla.

Los Application Load Balancers y Classic Load Balancers admiten HTTP canalizado en las conexionesfrontend. Sin embargo, no admiten HTTP canalizado en las conexiones backend.

Encabezados HTTPApplication Load Balancers y Classic Load Balancers añaden encabezados X-Forwarded-For, X-Forwarded-Proto y X-Forwarded-Port a la solicitud.

Para las conexiones frontend que utilizan HTTP/2, los nombres de encabezado están en minúsculas.Antes de la solicitud se envía en el destino mediante HTTP/1.1, los siguientes nombres de encabezado se

6

Elastic Load Balancing Guía del usuarioLímites de los encabezados HTTP

convierten en una combinación: X-Forwarded-For, X-Forwarded-Proto, X-Forwarded-Port, Host, X-Amzn-Trace-Id, Upgradey Connection. Todos los demás nombres de encabezado están en minúsculas.

Los Application Load Balancers y Classic Load Balancers respetan el encabezado de conexión de lasolicitud del cliente entrante después de devolver la respuesta al cliente a través del proxy.

Límites de los encabezados HTTPLos siguientes límites de tamaño para los Application Load Balancers son límites invariables que no sepueden cambiar.

Encabezados HTTP/1.x

• Línea de solicitud: 16 K• Encabezado único: 16 K• Encabezado completo: 64 K

Encabezados HTTP/2

• Línea de solicitud: 8 K• Encabezado único: 8 K• Encabezado completo: 64 K

Esquema del balanceador de cargaAl crear un balanceador de carga, debe decidir si va a ser un balanceador de carga interno o va a estarexpuesto a Internet. Tenga en cuenta que cuando cree un Classic Load Balancer en EC2-Classic, debe serbalanceador de carga expuesto a Internet.

Los nodos de un balanceador de carga expuesto a Internet tienen direcciones IP públicas. El nombre deDNS de un balanceador de carga expuesto a Internet se puede resolver públicamente para obtener lasdirecciones IP públicas de los nodos. Por tanto, los balanceadores de carga expuestos a Internet puedendirigir las solicitudes de los clientes a través de Internet.

Los nodos de un balanceador de carga interno solo tienen direcciones IP privadas. El nombre de DNS deun balanceador de carga interno se puede resolver para obtener las direcciones IP privadas de los nodos.Por lo tanto, los balanceadores de carga internos solo puede direccionar las solicitudes de los clientes quetienen acceso a la VPC para el balanceador de carga.

Tanto los balanceadores de carga expuestos a Internet como los internos direccionan las solicitudes a losdestinos mediante direcciones IP privadas. Por lo tanto, los destinos no requieren direcciones IP públicaspara recibir las solicitudes desde un balanceador de carga, ya sea interno o expuesto a Internet.

Si la aplicación tiene varios niveles, puede diseñar una arquitectura que utilice tanto balanceadores decarga expuestos a Internet como internos. Por ejemplo, esto se aplica si la aplicación utiliza servidoresweb que deben conectarse a Internet y servidores de base de datos que solo se conectan a los servidoresweb. Cree un balanceador de carga expuesto a Internet y registre los servidores web en él. Cree unbalanceador de carga interno y registre los servidores de bases de datos en él. Los servidores web recibenlas solicitudes del balanceador de carga expuesto a Internet y envían las solicitudes de los servidores debases de datos al balanceador de carga interno. Los servidores de bases de datos recibirán las solicitudesdesde el balanceador de carga interno.

7

Elastic Load Balancing Guía del usuarioCreación de un Balanceador de carga de aplicaciones

Introducción a Elastic Load BalancingHay tres tipos de balanceadores de carga: Application Load Balancers, Network Load Balancers y ClassicLoad Balancers. Puede seleccionar un balanceador de carga según las necesidades de su aplicación.Para obtener más información, consulte Comparación de productos de Elastic Load Balancing.

Para ver demostraciones de configuraciones del balanceador de carga, consulte Demostraciones deElastic Load Balancing.

Si ya tiene un Classic Load Balancer, puede migrar a un Balanceador de carga de aplicaciones oun Balanceador de carga de red. Para obtener más información, consulte Migrar su Classic LoadBalancer (p. 25).

Creación de un Balanceador de carga deaplicaciones

Para crear un Balanceador de carga de aplicaciones utilizando la Consola de administración de AWS,consulte Introducción a los Application Load Balancers en la Guía del usuario de Application LoadBalancers.

Para crear un Balanceador de carga de aplicaciones utilizando la AWS CLI, consulte Crear unaBalanceador de carga de aplicaciones con la AWS CLI en la Guía del usuario de Application LoadBalancers.

Creación de un Balanceador de carga de redPara crear un Balanceador de carga de red utilizando la Consola de administración de AWS, consulteIntroducción a los Network Load Balancers en la Guía del usuario de Network Load Balancers.

Para crear un Balanceador de carga de red utilizando la AWS CLI, consulte Crear un Balanceador decarga de red con la AWS CLI en la Guía del usuario de Network Load Balancers.

Creación de un Classic Load BalancerPara crear un Classic Load Balancer utilizando la Consola de administración de AWS, consulte Crear unClassic Load Balancer en la Guía del usuario de Classic Load Balancers.

8

Elastic Load Balancing Guía del usuarioProtección de los datos

Seguridad en Elastic Load BalancingLa seguridad en la nube de AWS es la mayor prioridad. Como cliente de AWS, se beneficiará de unaarquitectura de red y un centro de datos que están diseñados para satisfacer los requisitos de seguridad delas organizaciones más exigentes.

La seguridad es una responsabilidad compartida entre AWS y usted. El modelo de responsabilidadcompartida la describe como seguridad de la nube y seguridad en la nube:

• Seguridad de la nube – AWS es responsable de proteger la infraestructura que ejecuta servicios deAWS en la nube de AWS. AWS también proporciona servicios que puede utilizar de forma segura. Losauditores externos prueban y verifican periódicamente la eficacia de nuestra seguridad como parte delos Programas de conformidad de AWS . Para obtener información sobre los programas de cumplimientoque se aplican a Elastic Load Balancing, consulte Servicios de AWS en el ámbito del programa deconformidad.

• Seguridad en la nube: su responsabilidad viene determinada por el servicio de AWS que utilice. Tambiénes responsable de otros factores, incluida la confidencialidad de los datos, los requisitos de la empresa yla legislación y los reglamentos aplicables.

Esta documentación le ayuda a comprender cómo aplicar el modelo de responsabilidad compartida cuandose utiliza Elastic Load Balancing. Muestra cómo configurar Elastic Load Balancing para satisfacer susobjetivos de seguridad y conformidad. También puede aprender a utilizar otros servicios de AWS queayudan a monitorizar y proteger los recursos de Elastic Load Balancing.

Contenido• Protección de datos en Elastic Load Balancing (p. 9)• Identity and Access Management para Elastic Load Balancing (p. 10)• Validación de la conformidad para Elastic Load Balancing (p. 20)• Resiliencia en Elastic Load Balancing (p. 21)• Seguridad de la infraestructura en Elastic Load Balancing (p. 21)• Elastic Load Balancing y puntos de enlace de la VPC de tipo interfaz (p. 22)

Protección de datos en Elastic Load BalancingElastic Load Balancing cumple los requisitos del modelo de responsabilidad compartida de AWS, queincluye reglamentos y directrices para la protección de los datos. AWS es responsable de proteger lainfraestructura global que ejecuta todos los servicios de AWS. AWS mantiene el control de los datosalojados en esta infraestructura, incluidos los controles de configuración de la seguridad para el tratamientodel contenido y los datos personales de los clientes. Los clientes de AWS y los socios de APN, que actúancomo controladores o procesadores de datos, son responsables de todos los datos personales quecolocan en la nube de AWS.

Para fines de protección de datos, le recomendamos proteger las credenciales de la cuenta de AWS yconfigurar cuentas de usuario individuales con AWS Identity and Access Management (IAM), de modo quea cada usuario se le concedan únicamente los permisos necesarios para llevar a cabo su trabajo. Tambiénle recomendamos proteger sus datos de las siguientes formas:

• Utilice la autenticación multifactor (MFA) con cada cuenta.

9

Elastic Load Balancing Guía del usuarioCifrado en reposo

• Utilice TLS para comunicarse con los recursos de AWS.• Configure la API y el registro de actividad del usuario con AWS CloudTrail.• Utilice las soluciones de cifrado de AWS, junto con todos los controles de seguridad predeterminados

dentro de los servicios de AWS.• Utilice los servicios de seguridad administrados avanzados como, por ejemplo, Amazon Macie, que

ayudan a detectar y proteger los datos personales almacenados en Amazon S3.

Le recomendamos encarecidamente que no incluya nunca información de identificación confidencial,como números de cuenta de sus clientes, en los campos de formato libre o metadatos, como los nombresde función y etiquetas. Cualquier dato que escriba en metadatos se puede incluir en los registros dediagnóstico. Cuando proporcione una URL a un servidor externo, no incluya información de credencialesen la URL para validar la solicitud para ese servidor.

Para obtener más información sobre la protección de datos, consulte la entrada de blog relativa al modelode responsabilidad compartida de AWS y GDPR en el blog de seguridad de AWS.

Cifrado en reposoSi habilita el cifrado en el servidor con claves de cifrado administradas por Amazon S3 (SSE-S3)para el bucket de S3 para registros de acceso de Elastic Load Balancing, Elastic Load Balancing cifraautomáticamente cada archivo de registro de acceso antes de almacenarlo en el bucket de S3. ElasticLoad Balancing también descifra los archivos de registro de acceso cuando usted accede a ellos. Cadaarchivo de registro se cifra con una clave única, que a su vez se cifra con una clave maestra que se rotaperiódicamente.

Cifrado en tránsitoElastic Load Balancing simplifica el proceso de creación de aplicaciones web seguras al terminar el tráficoHTTPS y TLS de los clientes en el balanceador de carga. El balanceador de carga realiza el trabajode cifrar y descifrar el tráfico, en lugar de requerir que cada instancia EC2 gestione el trabajo para laterminación de TLS. Al configurar un agente de escucha seguro, se especifican los conjuntos de cifrado ylas versiones de protocolo compatibles con la aplicación, así como un certificado de servidor para instalaren el balanceador de carga. Puede usar AWS Certificate Manager (ACM) o AWS Identity and AccessManagement (IAM) para administrar los certificados de servidor. Los Application Load Balancers admitenagentes de escucha HTTPS. Los Network Load Balancers admiten agentes de escucha de TLS. LosClassic Load Balancers admiten agentes de escucha de HTTPS y TLS.

Identity and Access Management para Elastic LoadBalancing

AWS utiliza credenciales de seguridad para identificarle y concederle acceso a sus recursos de AWS.Puede utilizar las funciones de AWS Identity and Access Management (IAM) para permitir que otrosusuarios, servicios y aplicaciones utilicen los recursos de AWS, total o parcialmente. Puede hacerlo sincompartir sus credenciales de seguridad.

De forma predeterminada, los usuarios de IAM no tienen permiso para crear, ver ni modificar recursosde AWS. Para permitir que un usuario de IAM obtenga acceso a los recursos, como, por ejemplo, unbalanceador de carga, y realizar tareas, debe:

1. Crear una política de IAM que conceda permiso al usuario de IAM para utilizar los recursos específicos ylas acciones de la API que necesita.

2. Asocie la política al usuario de IAM o al grupo al que pertenece el usuario de IAM.

10

Elastic Load Balancing Guía del usuarioConcesión de permisos mediante políticas de IAM

Cuando se asocia una política a un usuario o grupo de usuarios, les otorga o deniega el permiso pararealizar las tareas especificadas en los recursos indicados.

Por ejemplo, puede utilizar IAM para crear usuarios y grupos en su cuenta de AWS. Un usuario de IAMpuede ser una persona, un sistema o una aplicación. A continuación, puede conceder permisos a losusuarios y grupos de tal forma que puedan llevar a cabo acciones concretas en determinados recursosespecificados mediante una política de IAM.

Concesión de permisos mediante políticas de IAMCuando asocia una política a un usuario o grupo de usuarios, les concede o deniega el permiso pararealizar las tareas especificadas en los recursos indicados.

Una política de IAM es un documento JSON que contiene una o varias instrucciones. Cada instrucción seestructura, tal y como se muestra en el siguiente ejemplo.

{ "Version": "2012-10-17", "Statement":[{ "Effect": "effect", "Action": "action", "Resource": "resource-arn", "Condition": { "condition": { "key":"value" } } }]}

• Effect (Efecto) — El valor de effect (efecto) puede ser Allow o Deny. De forma predeterminada, losusuarios de IAM no tienen permiso para utilizar los recursos y las acciones de la API, por lo que sedeniegan todas las solicitudes. Si se concede un permiso explícito se anula el valor predeterminado. Unadenegación explícita invalida cualquier permiso concedido.

• Action (Acción) — El valor de action (acción) es la acción de la API para la que concede o deniegapermisos. Para obtener más información sobre cómo especificar action, consulte Acciones de API paraElastic Load Balancing (p. 11).

• Resource (Recurso) — El recurso al que afecta la acción. Con muchas acciones de la API de ElasticLoad Balancing, puede restringir los permisos concedidos o denegados a un balanceador de cargaespecífico. Para ello, especifique su nombre de recurso de Amazon (ARN) en esta instrucción. De locontrario, puede utilizar el carácter comodín * para especificar todos los balanceadores de carga. Paraobtener más información, consulte Recursos de Elastic Load Balancing (p. 12).

• Condition (Condición) — Si lo desea, puede utilizar condiciones para controlar cuándo está envigor la política. Para obtener más información, consulte Claves de condición de Elastic LoadBalancing (p. 15).

Para obtener más información, consulte Guía del usuario de IAM.

Acciones de API para Elastic Load BalancingEn el elemento Action (Acción) de la instrucción de la política de IAM puede especificar cualquier acciónde API que Elastic Load Balancing ofrezca. El nombre de la acción debe llevar como prefijo la cadena enminúsculas elasticloadbalancing:, tal y como se muestra en el ejemplo siguiente.

"Action": "elasticloadbalancing:DescribeLoadBalancers"

11

Elastic Load Balancing Guía del usuarioRecursos de Elastic Load Balancing

Para especificar varias acciones en una misma instrucción, inclúyalas entre corchetes y sepárelas porcomas, tal y como se muestra en el siguiente ejemplo.

"Action": [ "elasticloadbalancing:DescribeLoadBalancers", "elasticloadbalancing:DeleteLoadBalancer"]

También puede utilizar el carácter comodín * para especificar varias acciones. En el siguiente ejemplose especifican todos los nombres de acción de la API para Elastic Load Balancing que comienzan porDescribe.

"Action": "elasticloadbalancing:Describe*"

Para especificar todas las acciones de la API para Elastic Load Balancing, utilice el carácter comodín *, taly como se muestra en el siguiente ejemplo.

"Action": "elasticloadbalancing:*"

Para ver la lista completa de las acciones del API para Elastic Load Balancing, consulte la documentaciónsiguiente:

• Application Load Balancers y Network Load Balancers: Referencia de la API versión 2015-12-01• Classic Load Balancers: Referencia de la API versión 2012-06-01

Recursos de Elastic Load BalancingLos permisos de nivel de recursos se refieren a la posibilidad de especificar en qué recursos puedenrealizar acciones los usuarios. Elastic Load Balancing es compatible parcialmente con permisos de nivelde recursos. Para las acciones del API que admiten los permisos a nivel de recursos, puede controlarlos recursos que los usuarios están autorizados a usar con la acción. Para especificar un recurso en lainstrucción de una política, debe utilizar su nombre de recurso de Amazon (ARN). Al especificar un ARN,puede utilizar el carácter comodín * en sus rutas. Por ejemplo, puede utilizar el carácter comodín * si nodesea especificar el nombre exacto del balanceador de carga.

El ARN de un Balanceador de carga de aplicaciones tiene el formato que se muestra en el ejemplosiguiente.

arn:aws:elasticloadbalancing:region-code:account-id:loadbalancer/app/load-balancer-name/load-balancer-id

El ARN de un Balanceador de carga de red tiene el formato que se muestra en el ejemplo siguiente.

arn:aws:elasticloadbalancing:region-code:account-id:loadbalancer/net/load-balancer-name/load-balancer-id

El ARN de un Classic Load Balancer tiene el formato que se muestra en el ejemplo siguiente.

arn:aws:elasticloadbalancing:region-code:account-id:loadbalancer/load-balancer-name

Los ARN de un agente de escucha y una regla de agente de escucha de un Balanceador de carga deaplicaciones tienen el formato que se muestra en el ejemplo siguiente.

arn:aws:elasticloadbalancing:region-code:account-id:listener/app/load-balancer-name/load-balancer-id/listener-id

12

Elastic Load Balancing Guía del usuarioPermisos a nivel de recursos para Elastic Load Balancing

arn:aws:elasticloadbalancing:region-code:account-id:listener-rule/app/load-balancer-name/load-balancer-id/listener-id/rule-id

El ARN de un agente de escucha de Balanceador de carga de red tiene el formato que se muestra en elejemplo siguiente.

arn:aws:elasticloadbalancing:region-code:account-id:listener/net/load-balancer-name/load-balancer-id/listener-id

El ARN de un grupo de destino tiene el formato que se muestra en el ejemplo siguiente.

arn:aws:elasticloadbalancing:region-code:account-id:targetgroup/target-group-name/target-group-id

Acciones de API que no admiten los permisos a nivel de recursos

Las siguientes acciones de Elastic Load Balancing no admiten permisos de nivel de recursos:

• Versión de API 2015-12-01:• DescribeAccountLimits

• DescribeListenerCertificates

• DescribeListeners

• DescribeLoadBalancerAttributes

• DescribeLoadBalancers

• DescribeRules

• DescribeSSLPolicies

• DescribeTags

• DescribeTargetGroupAttributes

• DescribeTargetGroups

• DescribeTargetHealth

• Versión de API 01/06/2012:• DescribeInstanceHealth

• DescribeLoadBalancerAttributes

• DescribeLoadBalancerPolicyTypes

• DescribeLoadBalancers

• DescribeLoadBalancerPolicies

• DescribeTags

En el caso de las acciones de la API que no admiten los permisos a nivel de recursos, debe especificar lainstrucción de recursos que se muestra en el ejemplo siguiente.

"Resource": "*"

Permisos a nivel de recursos para Elastic LoadBalancingEn las siguientes tablas se describen las acciones de la Elastic Load Balancing que admiten permisos denivel de recursos y los recursos admitidos de cada acción.

13

Elastic Load Balancing Guía del usuarioPermisos a nivel de recursos para Elastic Load Balancing

API versión 2015-12-01

Acción API Los ARN del recurso

AddListenerCertificates agente de escucha

AddTags balanceador de carga, grupo de destino

CreateListener balanceador de carga

CreateLoadBalancer balanceador de carga

CreateRule agente de escucha

CreateTargetGroup grupo de destinos

DeleteListener agente de escucha

DeleteLoadBalancer balanceador de carga

DeleteRule reglas de agente de escucha

DeleteTargetGroup grupo de destinos

DeregisterTargets grupo de destinos

ModifyListener agente de escucha

ModifyLoadBalancerAttributes balanceador de carga

ModifyRule reglas de agente de escucha

ModifyTargetGroup grupo de destinos

ModifyTargetGroupAttributes grupo de destinos

RegisterTargets grupo de destinos

RemoveListenerCertificates agente de escucha

RemoveTags balanceador de carga, grupo de destino

SetIpAddressType balanceador de carga

SetRulePriorities reglas de agente de escucha

SetSecurityGroups balanceador de carga

SetSubnets balanceador de carga

API versión 2012-06-01

Acción API Los ARN del recurso

AddTags balanceador de carga

ApplySecurityGroupsToLoadBalancer balanceador de carga

AttachLoadBalancerToSubnets balanceador de carga

ConfigureHealthCheck balanceador de carga

14

Elastic Load Balancing Guía del usuarioClaves de condición de Elastic Load Balancing

Acción API Los ARN del recurso

CreateAppCookieStickinessPolicy balanceador de carga

CreateLBCookieStickinessPolicy balanceador de carga

CreateLoadBalancer balanceador de carga

CreateLoadBalancerListeners balanceador de carga

CreateLoadBalancerPolicy balanceador de carga

DeleteLoadBalancer balanceador de carga

DeleteLoadBalancerListeners balanceador de carga

DeleteLoadBalancerPolicy balanceador de carga

DeregisterInstancesFromLoadBalancer balanceador de carga

DetachLoadBalancerFromSubnets balanceador de carga

DisableAvailabilityZonesForLoadBalancer balanceador de carga

EnableAvailabilityZonesForLoadBalancer balanceador de carga

ModifyLoadBalancerAttributes balanceador de carga

RegisterInstancesWithLoadBalancer balanceador de carga

RemoveTags balanceador de carga

SetLoadBalancerListenerSSLCertificate balanceador de carga

SetLoadBalancerPoliciesForBackendServer balanceador de carga

SetLoadBalancerPoliciesOfListener balanceador de carga

Claves de condición de Elastic Load BalancingAl crear una política, se pueden especificar las condiciones que controlan cuándo entra en vigor. Cadacondición contiene uno o varios pares clave-valor. Existen claves de condición globales y claves decondición específicas del servicio.

No se puede utilizar la clave de condición aws:SourceIp con Elastic Load Balancing.

La clave de condición elasticloadbalancing:ResourceTag/clave es específica de Elastic LoadBalancing. Las siguientes acciones admiten esta clave de condición:

API versión 2015-12-01

• AddTags

• CreateListener

• CreateLoadBalancer

• DeleteLoadBalancer

• DeleteTargetGroup

• DeregisterTargets

• ModifyLoadBalancerAttributes

15

Elastic Load Balancing Guía del usuarioPolíticas administradas por AWS predefinidas

• ModifyTargetGroup

• ModifyTargetGroupAttributes

• RegisterTargets

• RemoveTags

• SetIpAddressType

• SetSecurityGroups

• SetSubnets

API versión 2012-06-01

• AddTags

• ApplySecurityGroupsToLoadBalancer

• AttachLoadBalancersToSubnets

• ConfigureHealthCheck

• CreateAppCookieStickinessPolicy

• CreateLBCookieStickinessPolicy

• CreateLoadBalancer

• CreateLoadBalancerListeners

• CreateLoadBalancerPolicy

• DeleteLoadBalancer

• DeleteLoadBalancerListeners

• DeleteLoadBalancerPolicy

• DeregisterInstancesFromLoadBalancer

• DetachLoadBalancersFromSubnets

• DisableAvailabilityZonesForLoadBalancer

• EnableAvailabilityZonesForLoadBalancer

• ModifyLoadBalancerAttributes

• RegisterInstancesWithLoadBalancer

• RemoveTags

• SetLoadBalancerListenerSSLCertificate

• SetLoadBalancerPoliciesForBackendServer

• SetLoadBalancerPoliciesOfListener

Para obtener más información sobre las claves de condición globales, consulte Claves de contexto decondición globales de AWS en la Guía del usuario de IAM.

Las siguientes acciones admiten las claves de condición aws:RequestTag/clave y aws:TagKeys:

• AddTags

• CreateLoadBalancer

• RemoveTags

Políticas administradas por AWS predefinidasLas políticas administradas creadas por AWS conceden los permisos necesarios para casos de usocomunes. Puede asociar estas políticas a sus usuarios de IAM, en función del nivel de acceso quenecesiten para Elastic Load Balancing:

16

Elastic Load Balancing Guía del usuarioPermisos de API

• ElasticLoadBalancingFullAccess — Concede acceso completo necesario para utilizar características deElastic Load Balancing.

• ElasticLoadBalancingReadOnly — Concede acceso de solo lectura a características de Elastic LoadBalancing.

Para obtener más información sobre los permisos necesarios para cada acción de Elastic Load Balancing,consultePermisos de la API de Elastic Load Balancing (p. 17).

Permisos de la API de Elastic Load BalancingDebe conceder a los usuarios de IAM permisos para llamar a las acciones de la API de ElasticLoad Balancing que necesiten, tal y como se describe en Acciones de API para Elastic LoadBalancing (p. 11). Además, para algunas acciones de Elastic Load Balancing, debe conceder a losusuarios de IAM permisos para llamar a acciones específicas de la API de Amazon EC2.

Permisos necesarios para la API 2015-12-01Cuando llame a las siguientes acciones de la API 2015-12-01, debe conceder a los usuarios de IAMpermiso para llamar a las acciones especificadas.

CreateLoadBalancer

• elasticloadbalancing:CreateLoadBalancer

• ec2:DescribeAccountAttributes

• ec2:DescribeAddresses

• ec2:DescribeInternetGateways

• ec2:DescribeSecurityGroups

• ec2:DescribeSubnets

• ec2:DescribeVpcs

• iam:CreateServiceLinkedRole

CreateTargetGroup

• elasticloadbalancing:CreateTargetGroup

• ec2:DescribeInternetGateways

• ec2:DescribeVpcs

RegisterTargets

• elasticloadbalancing:RegisterTargets

• ec2:DescribeInstances

• ec2:DescribeInternetGateways

• ec2:DescribeSubnets

• ec2:DescribeVpcs

SetIpAddressType

• elasticloadbalancing:SetIpAddressType

• ec2:DescribeSubnets

SetSubnets

• elasticloadbalancing:SetSubnets

• ec2:DescribeSubnets

17

Elastic Load Balancing Guía del usuarioPermisos de API

Permisos necesarios para la API 2012-06-01Cuando llame a las siguientes acciones de la API 2012-06-01, debe conceder a los usuarios de IAMpermiso para llamar a las acciones especificadas.

ApplySecurityGroupsToLoadBalancer

• elasticloadbalancing:ApplySecurityGroupsToLoadBalancer

• ec2:DescribeAccountAttributes

• ec2:DescribeSecurityGroups

AttachLoadBalancerToSubnets

• elasticloadbalancing:AttachLoadBalancerToSubnets

• ec2:DescribeSubnets

CreateLoadBalancer

• elasticloadbalancing:CreateLoadBalancer

• ec2:CreateSecurityGroup

• ec2:DescribeAccountAttributes

• ec2:DescribeInternetGateways

• ec2:DescribeSecurityGroups

• ec2:DescribeSubnets

• ec2:DescribeVpcs

• iam:CreateServiceLinkedRole

DeregisterInstancesFromLoadBalancer

• elasticloadbalancing:DeregisterInstancesFromLoadBalancer

• ec2:DescribeClassicLinkInstances

• ec2:DescribeInstances

DescribeInstanceHealth

• elasticloadbalancing:DescribeInstanceHealth

• ec2:DescribeClassicLinkInstances

• ec2:DescribeInstances

DescribeLoadBalancers

• elasticloadbalancing:DescribeLoadBalancers

• ec2:DescribeSecurityGroups

DisableAvailabilityZonesForLoadBalancer

• elasticloadbalancing:DisableAvailabilityZonesForLoadBalancer

• ec2:DescribeAccountAttributes

• ec2:DescribeInternetGateways

• ec2:DescribeVpcs

EnableAvailabilityZonesForLoadBalancer

• elasticloadbalancing:EnableAvailabilityZonesForLoadBalancer

• ec2:DescribeAccountAttributes

• ec2:DescribeInternetGateways

• ec2:DescribeSubnets

• ec2:DescribeVpcs

RegisterInstancesWithLoadBalancer

• elasticloadbalancing:RegisterInstancesWithLoadBalancer

18

Elastic Load Balancing Guía del usuarioRol vinculado a servicio

• ec2:DescribeAccountAttributes

• ec2:DescribeClassicLinkInstances

• ec2:DescribeInstances

• ec2:DescribeVpcClassicLink

Rol vinculado a servicio de Elastic Load BalancingElastic Load Balancing utiliza un rol vinculado a servicio para los permisos que necesita para llamar aotros servicios de AWS en su nombre. Para obtener más información, consulte Uso de roles vinculados aservicios en la Guía del usuario de IAM.

Permisos concedidos por el rol vinculado a servicioElastic Load Balancing utiliza el rol vinculado a servicio denominadoAWSServiceRoleForElasticLoadBalancing para llamar a las siguientes acciones en su nombre:

• ec2:DescribeAddresses

• ec2:DescribeInstances

• ec2:DescribeNetworkInterfaces

• ec2:DescribeSubnets

• ec2:DescribeSecurityGroups

• ec2:DescribeVpcs

• ec2:DescribeInternetGateways

• ec2:DescribeAccountAttributes

• ec2:DescribeClassicLinkInstances

• ec2:DescribeVpcClassicLink

• ec2:CreateSecurityGroup

• ec2:CreateNetworkInterface

• ec2:DeleteNetworkInterface

• ec2:ModifyNetworkInterfaceAttribute

• ec2:AuthorizeSecurityGroupIngress

• ec2:AssociateAddress

• ec2:DisassociateAddress

• ec2:AttachNetworkInterface

• ec2:DetachNetworkInterface

• ec2:AssignPrivateIpAddresses

• ec2:AssignIpv6Addresses

• ec2:UnassignIpv6Addresses

• logs:CreateLogDelivery

• logs:GetLogDelivery

• logs:UpdateLogDelivery

• logs:DeleteLogDelivery

• logs:ListLogDeliveries

AWSServiceRoleForElasticLoadBalancing confía en el servicioelasticloadbalancing.amazonaws.com para asumir el rol.

19

Elastic Load Balancing Guía del usuarioValidación de la conformidad

Creación del rol vinculado a servicioNo es necesario crear manualmente el rol AWSServiceRoleForElasticLoadBalancing. Elastic LoadBalancing crea este rol automáticamente cuando se crea un balanceador de carga.

Para que Elastic Load Balancing cree un rol vinculado a un servicio en su nombre, debe contar con lospermisos necesarios. Para obtener más información, consulte Permisos de roles vinculados a servicios enla Guía del usuario de IAM.

Si creó un balanceador de carga antes del 11 de enero de 2018, Elastic Load Balancing creó el rolAWSServiceRoleForElasticLoadBalancing en su cuenta de AWS. Para obtener más información, consulteUn nuevo rol ha aparecido en la cuenta de AWS en la Guía del usuario de IAM.

Edición del rol vinculado a servicioPuede editar la descripción del rol AWSServiceRoleForElasticLoadBalancing mediante IAM. Para obtenermás información, consulte Editar una función vinculada a un servicio en la Guía del usuario de IAM.

Eliminación del rol vinculado a servicioSi ya no tiene que utilizar Elastic Load Balancing, le recomendamos que elimine el rolAWSServiceRoleForElasticLoadBalancing.

Solo puede eliminar este rol vinculado a servicio después de eliminar todos los balanceadores de cargade su cuenta de AWS. Esto garantiza que no pueda eliminar accidentalmente el permiso para acceder asus equilibradores de carga. Para obtener más información, consulte Eliminación de un Balanceador decarga de aplicaciones, Eliminación de un Balanceador de carga de red y Eliminación de un Classic LoadBalancer.

Puede utilizar la consola de IAM, la CLI de IAM o la API de IAM para eliminar roles vinculados a servicios.Para obtener más información, consulte Eliminar un rol vinculado a un servicio en la Guía del usuario deIAM.

Después de eliminar el rol AWSServiceRoleForElasticLoadBalancing, Elastic Load Balancing vuelve acrearlo si se crea un balanceador de carga.

Validación de la conformidad para Elastic LoadBalancing

Los auditores externos evalúan la seguridad y la conformidad de Elastic Load Balancing en distintosprogramas de conformidad de AWS. Estos incluyen SOC, PCI, FedRAMP, HIPAA y otros.

Para obtener una lista de servicios de AWS en el ámbito de programas de conformidad específicos,consulte Servicios de AWS en el ámbito del programa de conformidad. Para obtener información general,consulte Programas de conformidad de AWS.

Puede descargar los informes de auditoría de terceros utilizando AWS Artifact. Para obtener másinformación, consulte Descarga de informes en AWS Artifact.

Su responsabilidad de conformidad al utilizar Elastic Load Balancing se determina en función de laconfidencialidad de los datos, los objetivos de conformidad de su empresa y la legislación, así como losreglamentos correspondientes. AWS proporciona los siguientes recursos para ayudarle a cumplir lasnormativas:

20

Elastic Load Balancing Guía del usuarioResiliencia

• Guías de inicio rápido de seguridad y conformidad– estas guías de implementación tratanconsideraciones sobre arquitectura y ofrecen pasos para implementar los entornos de referenciacentrados en la seguridad y la conformidad en AWS.

• Documento técnico sobre arquitectura para seguridad y conformidad de HIPAA– este documento técnicodescribe cómo las empresas pueden utilizar AWS para crear aplicaciones conformes con HIPAA.

• Recursos de conformidad de AWS– este conjunto de manuales y guías podría aplicarse a su sector yubicación.

• Evaluación de recursos con reglas en la AWS Config Developer Guide: el servicio – AWS Config evalúaen qué medida las configuraciones de los recursos cumplen con las prácticas internas, las directrices delsector y las normativas.

• AWS Security Hub– este servicio de AWS ofrece una vista integral de su estado de seguridad enAWS que le ayuda a comprobar la conformidad con las normas del sector de seguridad y las prácticasrecomendadas.

Resiliencia en Elastic Load BalancingLa infraestructura global de AWS está conformada por regiones y zonas de disponibilidad de AWS.Las regiones proporcionan varias zonas de disponibilidad físicamente independientes y aisladas quese encuentran conectadas mediante redes con un alto nivel de rendimiento y redundancia, además debaja latencia. Con las zonas de disponibilidad, puede diseñar y utilizar aplicaciones y bases de datosque realizan una conmutación por error automática entre las zonas sin interrupciones. Las zonas dedisponibilidad tienen una mayor disponibilidad, tolerancia a errores y escalabilidad que las infraestructurastradicionales de centros de datos únicos o múltiples.

Para obtener más información sobre zonas de disponibilidad y las regiones de AWS, consulteInfraestructura global de AWS.

Seguridad de la infraestructura en Elastic LoadBalancing

Al tratarse de un servicio administrado, Elastic Load Balancing está protegido por los procedimientos deseguridad de red globales de AWS que se describen en el documento técnico Amazon Web Services:Información general sobre procesos de seguridad.

Puede utilizar llamadas a la API publicadas en AWS para obtener acceso a Elastic Load Balancing através de la red. Los clientes deben ser compatibles con Transport Layer Security (TLS) 1.0 o una versiónposterior. Le recomendamos TLS 1.2 o una versión posterior. Los clientes también deben ser compatiblescon conjuntos de cifrado con confidencialidad directa total (PFS) tales como Ephemeral Diffie-Hellman(DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La mayoría de los sistemas modernos comoJava 7 y posteriores son compatibles con estos modos.

Además, las solicitudes deben estar firmadas mediante un ID de clave de acceso y una clave de accesosecreta que estén asociados a una entidad principal de IAM. También puede utilizar AWS Security TokenService (AWS STS) para generar credenciales de seguridad temporales para firmar solicitudes.

Aislamiento de redUna nube virtual privada (VPC) es una red virtual en su propia área, aislada lógicamente en la nube deAWS. Una subred es un rango de direcciones IP de una VPC. Al crear un balanceador de carga, puedeespecificar una o varias subredes para los nodos del balanceador de carga. Puede implementar instancias

21

Elastic Load Balancing Guía del usuarioControl del tráfico de red

EC2 en las subredes de su VPC y registrarlas con el balanceador de carga. Para obtener más informaciónacerca de la VPC y de las subredes, consulte la Guía del usuario de Amazon VPC.

Cuando crea un balanceador de carga en una VPC, puede estar orientado a Internet o ser interno. Unbalanceador de carga interno solo puede direccionar las solicitudes que proceden de los clientes quetienen acceso a la VPC para el balanceador de carga.

El balanceador de carga envía solicitudes a sus destinos registrados mediante direcciones IP privadas. Porlo tanto, los destinos no necesitan direcciones IP públicas para recibir solicitudes de un balanceador decarga.

Para llamar a la API de Elastic Load Balancing desde su VPC sin enviar tráfico a través del Internetpúblico, use AWS PrivateLink. Para obtener más información, consulte Elastic Load Balancing y puntos deenlace de la VPC de tipo interfaz (p. 22).

Control del tráfico de redElastic Load Balancing admite tres tipos de balanceadores de carga: Application Load Balancers, NetworkLoad Balancers y Classic Load Balancers. Los Application Load Balancers operan en el nivel de solicitud(capa 7) del modelo de interconexión de sistemas abiertos (OSI). Los Network Load Balancers operan enel nivel de conexión (capa 4) del modelo OSI. Los Classic Load Balancers operan tanto a nivel de solicitudcomo de conexión.

Tenga en cuenta las siguientes opciones para proteger el tráfico de red cuando utilice un balanceador decarga:

• Utilice agentes de escucha seguros para admitir la comunicación cifrada entre los clientes y losbalanceadores de carga. Los Application Load Balancers admiten agentes de escucha HTTPS. LosNetwork Load Balancers admiten agentes de escucha TLS. Los Classic Load Balancers admiten agentesde escucha HTTPS y TLS. Puede elegir entre políticas de seguridad predefinidas para el balanceadorde carga con el fin de especificar los conjuntos de cifrado y las versiones de protocolo compatibles conla aplicación. Puede utilizar AWS Certificate Manager (ACM) o AWS Identity and Access Management(IAM) para administrar los certificados de servidor instalados en el balanceador de carga. Puede utilizarel protocolo de indicación de nombre de servidor (SNI) para servir a varios sitios web seguros medianteun único agente de escucha seguro. SNI se habilita automáticamente para el balanceador de cargacuando asocia más de un certificado de servidor a un agente de escucha seguro.

• Configure los grupos de seguridad para sus Application Load Balancers y Classic Load Balancers conel fin de aceptar tráfico solo de clientes específicos. Estos grupos de seguridad deben permitir el tráficoentrante de los clientes en los puertos de escucha y el tráfico saliente a los clientes.

• Configure los grupos de seguridad para que las instancias Amazon EC2 acepten tráfico solodel balanceador de carga. Estos grupos de seguridad deben permitir el tráfico entrante desde elbalanceador de carga en los puertos de escucha y en los puertos de comprobación de estado.

• Configure su Balanceador de carga de aplicaciones para autenticar a los usuarios de forma seguraa través de un proveedor de identidades o mediante identidades corporativas. Para obtener másinformación, consulte Autenticar usuarios mediante un Balanceador de carga de aplicaciones.

• Use AWS WAF con su Application Load Balancers para permitir o bloquear las solicitudes en función delas reglas de una lista de control de acceso web (ACL web).

Elastic Load Balancing y puntos de enlace de laVPC de tipo interfaz

Puede establecer una conexión privada entre su Virtual Private Cloud (VPC) y la API Elastic LoadBalancing creando un punto de enlace de VPC de interfaz. Puede utilizar esta conexión para llamar a la

22

Elastic Load Balancing Guía del usuarioCreación de un punto de enlace deinterfaz para Elastic Load Balancing

API de Elastic Load Balancing desde su VPC sin enviar tráfico por Internet. El punto de enlace proporcionauna conectividad de confianza y escalable a la API de Elastic Load Balancing, versiones 2015-12-01 y2012-06-01. Lo hace sin necesidad de una gateway de Internet, instancia NAT o conexión de VPN.

Los puntos de enlace de la VPC de tipo interfaz utilizan la tecnología de AWS PrivateLink, unacaracterística que permite la comunicación privada entre los servicios de AWS mediante direcciones IPprivadas. Para obtener más información, consulte AWS PrivateLink.

Límite

AWS PrivateLink no admite un Balanceador de carga de red con más de 50 agentes de escucha.

Creación de un punto de enlace de interfaz paraElastic Load BalancingCree un punto de enlace para Elastic Load Balancing utilizando uno de los siguientes nombres de servicio:

• com.amazonaws.región.elasticloadbalancing: crea un punto de enlace para las operaciones de la APIElastic Load Balancing.

• com.amazonaws.región.elasticloadbalancing-fips: crea un punto de enlace para la API ElasticLoad Balancing que cumple la norma del gobierno de los EE. UU. Estándar de procesamiento de lainformación federal (FIPS, Federal Information Processing Standard) 140-2.

Para obtener más información, consulte Creación de un punto de enlace de interfaz en la Guía del usuariode Amazon VPC.

Cree una política de puntos de enlace de la VPC paraElastic Load BalancingPuede asociar una política a su punto de enlace de VPC para controlar el acceso a la API Elastic LoadBalancing. La política especifica:

• La entidad principal que puede realizar acciones.• Las acciones que se pueden realizar.• El recurso en el que se pueden realizar las acciones.

En el ejemplo siguiente se muestra una política de punto de enlace de la VPC que deniega a todos losusuarios el permiso para crear un balanceador de carga a través del punto de enlace. La política deejemplo también concede permiso a todos los usuarios para realizar todas las demás acciones.

{ "Statement": [ { "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": "*" }, { "Action": "elasticloadbalancing:CreateLoadBalancer", "Effect": "Deny", "Resource": "*", "Principal": "*" }

23

Elastic Load Balancing Guía del usuarioCree una política de puntos de enlacede la VPC para Elastic Load Balancing

]}

Para obtener más información, consulte Uso de políticas de punto de enlace de la VPC en la Guía delusuario de Amazon VPC.

24

Elastic Load Balancing Guía del usuarioPaso 1: crear un nuevo balanceador de carga

Migrar su Classic Load BalancerSi ya dispone de un Classic Load Balancer en una VPC y considera que un Balanceador de carga deaplicaciones o un Balanceador de carga de red satisface mejor sus necesidades, puede migrar su ClassicLoad Balancer. Una vez completado el proceso de migración, podrá sacar partido de las característicasdel nuevo balanceador de carga. Para obtener más información, consulte Comparación de productos deElastic Load Balancing.

Proceso de migración• Paso 1: crear un nuevo balanceador de carga (p. 25)• Paso 2: redireccionar gradualmente el tráfico al nuevo balanceador de carga (p. 27)• Paso 3: actualizar referencias a su Classic Load Balancer (p. 27)• Paso 4: Eliminar el Classic Load Balancer (p. 28)

Paso 1: crear un nuevo balanceador de cargaCree un Balanceador de carga de aplicaciones o un Balanceador de carga de red con una configuraciónque equivalga a la del Classic Load Balancer.

Utilice uno de los métodos siguientes para crear el balanceador de carga y el grupo de destino:

• Asistente de migración en la consola (p. 25)• Load Balancer Copy Utility (p. 26)• Manualmente (p. 26)

Opción 1: use el asistente de migraciónEl asistente de migración crea un Balanceador de carga de aplicaciones o un Balanceador de carga dered basado en la configuración de su Classic Load Balancer. El tipo de balanceador de carga que se creadepende de la configuración del Classic Load Balancer.

Notas de la versión del asistente de migración

• El Classic Load Balancer debe estar en una VPC.• Si el Classic Load Balancer tiene un agente de escucha HTTP o HTTPS, el asistente puede crear un

Balanceador de carga de aplicaciones. Si el Classic Load Balancer tiene un agente de escucha TCP, elasistente puede crear un Balanceador de carga de red.

• Si el nombre del Classic Load Balancer coincide con el nombre de un Balanceador de carga deaplicaciones o un Balanceador de carga de red que ya existen, el asistente requiere que especifique otronombre durante la migración.

• Si el Classic Load Balancer tiene una subred, el asistente requiere que especifique una segunda subredal crear un Balanceador de carga de aplicaciones.

• Si el Classic Load Balancer ha registrado instancias en EC2-Classic, estas no se registran en el grupode destino para el nuevo balanceador de carga.

• Si el Classic Load Balancer ha registrado instancias de los tipos siguientes, estas no se registran en elgrupo de destino de un Balanceador de carga de red: C1, CC1, CC2, CG1, CG2, CR1, CS1, G1, G2,HI1, HS1, M1, M2, M3 y T1.

25

Elastic Load Balancing Guía del usuarioOpción 2: migrar con Load Balancer Copy Utility

• Si el Classic Load Balancer tiene agentes de escucha HTTP/HTTPS, pero utiliza comprobaciones deestado TCP, el asistente cambia a comprobaciones de estado HTTP. A continuación, establece la rutaen "/" de forma predeterminada al crear un Balanceador de carga de aplicaciones.

• Si el Classic Load Balancer se migra a un Balanceador de carga de red, la configuración decomprobación de estado se cambia para cumplir los requisitos de los Network Load Balancers.

• Si el Classic Load Balancer tiene varios agentes de escucha HTTPS, el asistente elige uno para usar sucertificado y su política. Si hay un agente de escucha HTTPS en el puerto 443, el asistente lo elige. Si elagente de escucha que ha elegido utiliza una política personalizada o una política no compatible con losApplication Load Balancers, el asistente cambia a la política de seguridad predeterminada.

• Si el Classic Load Balancer tiene un agente de escucha TCP seguro, el Balanceador de carga de redutiliza un agente de escucha TCP. Sin embargo, no utiliza el certificado ni la política de seguridad.

• Si el Classic Load Balancer tiene varios agentes de escucha, el asistente usa el puerto de agente deescucha con el valor más bajo como puerto del grupo de destino. Cada instancia registrada en estosagentes de escucha se registra en el grupo de destino en los puertos del agente de escucha para todoslos agentes de escucha.

• Si el Classic Load Balancer tiene etiquetas que incluyen el prefijo aws en su nombre, estas etiquetas nose agregan al nuevo balanceador de carga.

Para migrar un Classic Load Balancer con el asistente de migración

1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, en LOAD BALANCING, elija Load Balancers.3. Seleccione su Classic Load Balancer.4. En la pestaña Migration, elija Launch ALB Migration Wizard o Launch NLB Migration Wizard. El botón

que se muestra depende del tipo de balanceador de carga que el asistente ha seleccionado despuésde examinar su Classic Load Balancer.

5. En la página Review, compruebe las opciones de configuración seleccionadas por el asistente. Paracambiar una opción, elija Edit.

6. Cuando haya terminado con la configuración del nuevo balanceador de carga, seleccione Create.

Opción 2: migrar con Load Balancer Copy UtilityEsta utilidad está disponible en GitHub. Para obtener más información, consulte Load Balancer CopyUtility.

Opción 3: migrar manualmenteLa siguiente información proporciona instrucciones generales para crear manualmente un nuevobalanceador de carga basado en un Classic Load Balancer. Para migrar, use la Consola de administraciónde AWS, la AWS CLI o un SDK de AWS. Para obtener más información, consulte Introducción a ElasticLoad Balancing (p. 8).

• Puede crear un nuevo balanceador de carga con el mismo esquema (expuesto a Internet o interno),subredes y grupos de seguridad que el Classic Load Balancer.

• Cree un grupo de destino para el balanceador de carga que tenga la misma configuración decomprobación de estado que el Classic Load Balancer.

• Aplique alguna de las siguientes acciones:• Si el Classic Load Balancer está adjunto a un grupo de Auto Scaling, adjunte el grupo de destino al

grupo de Auto Scaling. Al hacerlo, además, se registran las instancias de Auto Scaling en el grupo dedestino.

• Registre las instancias EC2 en el grupo de destino.

26

Elastic Load Balancing Guía del usuarioPaso 2: redireccionar gradualmente eltráfico al nuevo balanceador de carga

• Cree uno o varios agentes de escucha, cada uno de ellos con una regla predeterminada que reenvíelas solicitudes al grupo de destino. Si crea un agente de escucha HTTPS, puede especificar el mismocertificado que especificó para su Classic Load Balancer. Le recomendamos que utilice la política deseguridad predeterminada.

• Si el Classic Load Balancer tiene etiquetas, revíselas y agregue las que sean pertinentes al nuevobalanceador de carga.

Paso 2: redireccionar gradualmente el tráfico alnuevo balanceador de carga

Una vez registradas las instancias con el nuevo balanceador de carga, puede comenzar el proceso deredireccionamiento del tráfico hacia él. Esto le permite probar el nuevo balanceador de carga.

Para redireccionar gradualmente el tráfico al nuevo balanceador de carga

1. Pegue el nombre de DNS del nuevo balanceador de carga en el campo de direcciones de unnavegador web conectado a Internet. Si todo funciona normalmente, el navegador mostrará la páginapredeterminada del servidor.

2. Cree un nuevo registro DNS que asocie el nombre de dominio con el nuevo balanceador de carga. Siel servicio DNS admite la ponderación, especifique un peso de 1 en el nuevo registro DNS y un pesode 9 en el registro DNS que ya existe del Classic Load Balancer. De este modo, se redirigirá el 10 %del tráfico al nuevo balanceador de carga y el 90 % del tráfico al Classic Load Balancer.

3. Monitorice el nuevo balanceador de carga para comprobar que recibe el tráfico y direcciona lassolicitudes a las instancias.

Important

El tiempo de vida (TTL) del registro de DNS es de 60 segundos. Esto significa que cualquierservidor DNS que resuelva el nombre de su dominio conserva la información de registroen su caché durante 60 segundos, mientras que los cambios se propagan. Por lo tanto,estos servidores DNS todavía pueden dirigir el tráfico a su Classic Load Balancer durante unmáximo de 60 segundos después de completar el paso anterior. Durante la propagación, eltráfico podría dirigirse a cualquiera de los balanceadores de carga.

4. Continúe para actualizar la ponderación de los registros DNS hasta que todo el tráfico se dirija alnuevo balanceador de carga. Cuando haya terminado, puede eliminar el registro DNS del ClassicLoad Balancer.

Paso 3: actualizar referencias a su Classic LoadBalancer

Una vez efectuada la migración al Classic Load Balancer, debe asegurarse de actualizar cualquierreferencia al mismo, tales como las siguientes:

• los scripts que utilizan comandos aws elb de la AWS CLI (en lugar de comandos aws elbv2);• el código que utiliza la versión 2012-06-01 del de Elastic Load Balancing (en lugar de la versión

2015-12-01 del API);• Políticas de IAM que utilizan la versión 2012-06-01 del API (en lugar de la versión 2015-12-01);• Procesos que utilizan las métricas de CloudWatch• Plantillas de AWS CloudFormation

27

Elastic Load Balancing Guía del usuarioPaso 4: Eliminar el Classic Load Balancer

Recursos

• elbv2 en la AWS CLI Command Reference• Referencia de la API de Elastic Load Balancing versión 2015-12-01• Identity and Access Management para Elastic Load Balancing (p. 10)• Métricas de Balanceador de carga de aplicaciones en la Guía del usuario de Application Load Balancers• Métricas de Balanceador de carga de red en la Guía del usuario de Network Load Balancers• AWS::ElasticLoadBalancingV2::LoadBalancer en la Guía del usuario de AWS CloudFormation

Paso 4: Eliminar el Classic Load BalancerPuede eliminar el Classic Load Balancer después de:

• Haber redirigido todo el tráfico al nuevo balanceador de carga.• Haber completado todas las solicitudes existentes que se direccionaron al Classic Load Balancer.

28