Warum kann ich meinen vom Anforderer verwalteten VPC-Endpunkt nicht löschen?

Kurzbeschreibung

Wenn du versuchst, einen VPC-Schnittstellen-Endpunkt zu löschen, wird möglicherweise die folgende Fehlermeldung angezeigt:

"vpce-0399e6e9fd2f4e430: Operation is not allowed for requester-managed VPC endpoints for the service com.amazonaws.vpce.region.vpce-svc-04c257ad126576358."

Du erhältst diesen Fehler, wenn es sich bei dem Endpunkt, den du löschen möchtest, um einen vom Anforderer verwalteten VPC-Endpunkt handelt. Von AWS verwaltete Dienste wie Amazon Aurora Serverless erstellen vom Anforderer verwaltete Endpunkte. Um diesen Endpunkttyp zu löschen, musst du zunächst den von AWS verwalteten Dienst identifizieren, der den Endpunkt erstellt hat, und die Ressource löschen. Anschließend löscht der von AWS verwaltete Dienst, der den Endpunkt ursprünglich erstellt hat, den Endpunkt automatisch.

Lösung

Hinweis: Wenn du beim Ausführen von AWS Command Line Interface (AWS CLI)-Befehlen Fehlermeldungen erhältst, findest du weitere Informationen dazu unter Problembehandlung bei der AWS CLI. Stelle außerdem sicher, dass du die neueste Version der AWS CLI verwendest.

AWS-Dienst identifizieren, der in den letzten 90 Tagen Endpunkte erstellt hat

Verwende AWS CloudTrail, um den Dienst zu ermitteln, der den Endpunkt erstellt hat. Stelle sicher, dass die CloudTrail-Konsolenansicht auf die aufgezeichneten API-Aktivitäten der letzten 90 Tage (Verwaltungsereignisse) eingestellt ist.

Gehe wie folgt vor, um CloudTrail-Ereignisse anzuzeigen:

1. Öffne die CloudTrail-Konsole.
2. Wähle im Navigationsbereich die Option Ereignisverlauf aus.
3. Wähle deinen Ressourcennamen aus. Gib dann für den Ressourcennamenfilter die VPC-Endpunkt-ID ein, zum Beispiel vpce-######.
4. Überprüfe im API-Aufruf CreateVpcEndpoint den Wert Username. Für Endpunkte, die von Aurora Serverless erstellt wurden, lautet der username RDSAuroraServeless. Für Endpunkte, die mit dem Amazon Relational Database Service (Amazon RDS) Proxy erstellt wurden, lautet der username RDSSlrAssumptionSession.
5. Um Endpunkte zu identifizieren, die von der AWS Network Firewall erstellt wurden, sieh dir den Ereignisdatensatz für den API-Aufruf CreateVpcEndpoint an. Suche dann nach Tags, die die Schlüssel Firewall und AWSNetworkFirewallManaged enthalten.
   Beispiel:

   {
       "Tag": [
           {
               "Value": "arn:aws:network-firewall:region:account number:firewall/firewall name",
               "tag": 1,
               "Key": "Firewall"
           },
           {
               "Value": true,
               "tag": 2,
               "Key": "AWSNetworkFirewallManaged"
           }
       ]
   }

AWS-Dienst identifizieren, der vor mehr als 90 Tagen Endpunkte erstellt hat

Prüfen, ob die Netzwerk-Firewall den Endpunkt erstellt hat

Führe die folgenden Schritte aus:

1. Öffne die VPC-Konsole.
2. Wähle Endpunkte aus.
3. Wähle den Endpunkt aus und wähle dann die Registerkarte Tags aus.
4. Wenn du die folgenden Werte in Tags siehst, hat Network Firewall den Endpunkt erstellt:
   Der Schlüssel ist AWSNetworkFirewallManaged und der Wert ist True.
   Der Schlüssel ist Firewall und der Wert ist dein Netzwerk-Firewall-ARN arn:aws:network-firewall:region:account number:firewall/firewall name.

(Optional) Gehe wie folgt vor, um zu überprüfen, ob die Netzwerk-Firewall den Endpunkt hat:

1. Öffne die VPC-Konsole.
2. Wähle im Navigationsbereich unter Netzwerk-Firewall die Option Firewalls aus.
3. Wähle Firewall-Details aus.
4. Überprüfe die Konfigurationsdetails der Firewall.

Prüfen, ob Aurora Serverless den Endpunkt erstellt hat

Führe eine Namenssuche für die Endpunkte der vorhandenen Aurora Serverless-Datenbanken durch. Wenn der zurückgegebene Canonical Name Record (CNAME) mit dem DNS-Namen des VPC-Schnittstellenendpunkts übereinstimmt, hat Aurora Serverless den Endpunkt erstellt.

Du hast beispielsweise einen Schnittstellen-VPC-Endpunkt mit der ID vpce-0013b47d434ae7786, den du nicht löschen kannst. Gehe wie folgt vor, um zu überprüfen, ob Aurora Serverless den Endpunkt erstellt hat:

1. Führe eine Namenssuche auf dem Aurora Serverless-Endpunkt durch:

   dig test1.proxy-chnis5vssnuj.us-east-1.rds.amazonaws.com +short

   Beispielausgabe:

   vpce-0ce9fdcdd4aa4097e-1hbywnw6.vpce-svc-0b2f119acb23c050e.us-east-1.vpce.amazonaws.com.
   172.31.4.218
   172.31.21.82

2. Überprüfe den CNAME-Wert des Eintrags, um festzustellen, ob er mit dem DNS-Namen des Endpunkts übereinstimmt, den du löschen möchtest.

(Optional) Gehe wie folgt vor, um den DNS-Namen des Endpunkts zu überprüfen:

1. Öffne die VPC-Konsole.
2. Wähle Endpunkte aus.
3. Wähle die Registerkarte Details aus und überprüfe dann die aufgelisteten DNS-Namen.

Prüfen, ob Amazon RDS Proxy den Endpunkt erstellt hat

Führe eine Namenssuche für die Amazon RDS Proxy-Endpunkte durch. Führe dann die vorherigen Schritte für Aurora Serverless aus. Wenn es mehrere Amazon RDS Proxy-Endpunkte gibt, wiederhole die Schritte für jeden Endpunkt.

Prüfen, ob Amazon Redshift den Endpunkt erstellt hat

Führe die folgenden Schritte aus:

1. Öffne die Amazon Redshift-Konsole.
2. Wähle im Navigationsbereich Konfiguration aus.
3. Prüfe, ob unter den von Redshift verwalteten VPC-Endpunkten Endpunkte konfiguriert sind.

Ressource löschen

Nachdem du den Dienst identifiziert hast, der den Endpunkt erstellt hat, lösche die Ressource. Dann löscht der Dienst automatisch den Endpunkt.

Lösche für Endpunkte, die von der Netzwerk-Firewall erstellt wurden, die Netzwerk-Firewall.

Lösche für Endpunkte, die von Aurora Serverless erstellt wurden, den Aurora Serverless DB-Cluster.

Lösche für Endpunkte, die von Amazon RDS Proxy erstellt wurden, den RDS-Proxy.

Verwende für von Amazon Redshift verwaltete VPC-Endpunkte die Amazon Redshift-Konsole oder den AWS-CLI-Befehl delete-endpoint-access.