PrivateLink

📘 ¿Qué es AWS PrivateLink?

AWS PrivateLink permite el acceso privado y seguro a servicios hospedados en AWS (propios o de terceros) a través de la red privada de AWS, sin pasar por Internet pública, NAT, ni Gateway de Internet.

---

🧩 Casos de uso

• Acceder a servicios de AWS como S3, CloudWatch, EC2 API desde una VPC privada

• Conectarse de forma segura a servicios de terceros en el AWS Marketplace

• Exponer tu propia aplicación como servicio dentro de AWS de forma privada

• Reemplazo más seguro a NAT Gateway + endpoint público

---

🧠 ¿Cómo funciona?

Tu VPC (cliente)
   ↓
Interface VPC Endpoint (creado por PrivateLink)
   ↓
PrivateLink (canal privado dentro de AWS)
   ↓
Servicio de AWS / Partner / VPC remota (proveedor)

---

🔀 Componentes clave

Componente	Descripción
Interface Endpoint	ENI (Elastic Network Interface) en tu VPC que representa el acceso privado al servicio
Endpoint Service	Servicio que otro usuario o empresa ofrece de forma privada
NLB (Network Load Balancer)	Se usa para exponer el servicio del proveedor
DNS privado	Resolución automática al endpoint sin necesidad de IP pública

---

🔒 Seguridad

• Todo el tráfico va por la red interna de AWS

• Soporta:

  • Security Groups

  • VPC Flow Logs

  • IAM policies para restringir acceso

• No se requiere conexión a Internet, NAT ni VPN

---

💡 Diferencias con otros servicios similares

Funcionalidad	PrivateLink	VPC Peering	NAT Gateway
Escalabilidad	Alta (servicio administrado)	Limitado por ruteo manual	Media
Paso por Internet	❌ No	❌ No	✅ Sí (para salida)
Cross-account	✅ Sí	✅ Sí	❌
Seguridad granular	✅ (por SG y IAM)	❌	❌
Ideal para	Servicios como API REST	Base de datos/Red total	Salida a Internet

---

📦 Servicios compatibles con PrivateLink

• Servicios AWS:

  • S3 (con interfaz endpoint o Gateway Endpoint)

  • EC2 API

  • KMS

  • Secrets Manager

  • CloudWatch Logs, Metrics

• Servicios de terceros:

  • Firewalls, bases de datos, APIs, etc. disponibles en AWS Marketplace

• Servicios propios (custom):

  • Puedes exponer tu app como un “endpoint service” con NLB

---

🧰 Ejemplo de arquitectura

VPC A (cliente)                   VPC B (proveedor)
  EC2                              ECS / EC2 + NLB
   ↓                                    ↑
Interface Endpoint → PrivateLink → Endpoint Service

---

🛠️ Requisitos para publicar tu servicio (como proveedor)

1. Tener un NLB apuntando a tus instancias

2. Crear un Endpoint Service

3. Asociar el NLB

4. Aceptar conexiones de clientes (con o sin whitelisting)

5. (Opcional) Habilitar requiere aprobación para control de acceso

---

🧾 Pricing

Recurso	Costo estimado
Interface Endpoint	~$0.01/h por AZ
Tráfico de datos	~$0.01/GB transferido
Endpoint Service	Sin costo adicional directo

💡 Considera el uso de Gateway Endpoints para S3 y DynamoDB si buscas ahorro (son gratuitos).

---

🧠 Preguntas tipo certificación

1. ¿PrivateLink usa VPC Peering?

   • ❌ No, se basa en ENI y NLB, no en rutas directas

2. ¿PrivateLink permite el acceso a servicios de terceros de forma privada?

   • ✅ Sí

3. ¿Requiere Internet Gateway o NAT?

   • ❌ No

4. ¿Cuál es el tipo de endpoint que se crea con PrivateLink?

   • ✅ Interface Endpoint

5. ¿PrivateLink puede cruzar cuentas de AWS?

   • ✅ Sí

---

🧱 Alternativas según caso

Necesito…	Solución AWS
Acceso privado a S3/DynamoDB	Gateway Endpoint
Acceso privado a otros servicios de AWS	Interface Endpoint (PrivateLink)
Comunicación privada VPC a VPC	VPC Peering / Transit Gateway
Exponer un servicio privado a otras VPC/cuentas	PrivateLink (como proveedor)

---

📚 Recursos útiles

• 📘 Documentación oficial AWS PrivateLink

• 🎥 Video: AWS re:Invent - How AWS PrivateLink works

• 📄 Lista de servicios compatibles