¿Por qué no puedo eliminar el punto de enlace de VPC administrado por el solicitante?

Descripción corta

Cuando intentas eliminar un punto de enlace de VPC de interfaz, es posible que recibas el siguiente error:

"vpce-0399e6e9fd2f4e430: Operation is not allowed for requester-managed VPC endpoints for the service com.amazonaws.vpce.region.vpce-svc-04c257ad126576358."

Recibes este error cuando el punto de enlace que deseas eliminar es un punto de enlace de VPC administrado por el solicitante. Los servicios administrados de AWS, como Amazon Aurora sin servidor, crean puntos de enlace administrados por el solicitante. Para eliminar este tipo de punto de enlace, primero debes identificar el servicio administrado de AWS que creó el punto de enlace y eliminar el recurso. A continuación, el servicio administrado de AWS que creó originalmente el punto de enlace lo elimina automáticamente.

Resolución

Nota: Si se muestran errores al ejecutar comandos de la Interfaz de la línea de comandos de AWS (AWS CLI), consulta Solución de problemas de AWS CLI. Además, asegúrate de utilizar la versión más reciente de la AWS CLI.

Identificación del servicio de AWS que creó puntos de enlace en los últimos 90 días

Para determinar el servicio que creó el punto de enlace, utiliza AWS CloudTrail. Asegúrate de configurar la vista de la consola de CloudTrail en los últimos 90 días de actividad de API registrada (eventos de administración).

Para ver los eventos de CloudTrail, sigue estos pasos:

1. Abre la consola de CloudTrail.
2. En el panel de navegación, selecciona Historial de eventos.
3. Selecciona el nombre del recurso. A continuación, para el filtro de nombres de recursos, introduce el ID de punto de enlace de VPC, por ejemplo, vpce-######.
4. En la llamada a la API CreateVpcEndpoint, comprueba el valor de nombre de usuario. Para los puntos de enlace creados por Aurora sin servidor, el nombre de usuario es RDSAuroraServeless. Para los puntos de enlace creados por el proxy de Amazon Relational Database Service (Amazon RDS), el nombre de usuario es RDSSlrAssumptionSession.
5. Para identificar los puntos de enlace creados por AWS Network Firewall, consulta el registro de eventos de la llamada a la API CreateVpcEndpoint. A continuación, comprueba si hay etiquetas que tengan las claves de Firewall y AWSNetworkFirewallManaged.
   Ejemplo:

   {
       "Tag": [
           {
               "Value": "arn:aws:network-firewall:region:account number:firewall/firewall name",
               "tag": 1,
               "Key": "Firewall"
           },
           {
               "Value": true,
               "tag": 2,
               "Key": "AWSNetworkFirewallManaged"
           }
       ]
   }

Identificación del servicio de AWS que creó puntos de enlace hace más de 90 días

Comprobar si Network Firewall creó el punto de enlace

Sigue estos pasos:

1. Abre la consola de VPC.
2. Elige Puntos de enlace.
3. Selecciona el punto de enlace y, a continuación, elige la pestaña Etiquetas.
4. Si ves los siguientes valores en Etiquetas, Network Firewall creó el punto de enlace:
   La clave es AWSNetworkFirewallManaged y el valor es True.
   La clave es Firewall y el valor es el ARN de Network Firewall de arn:aws:network-firewall:region:account number:firewall/firewall name.

(Opcional) Para verificar que Network Firewall tenga el punto de enlace, sigue estos pasos:

1. Abre la consola de VPC.
2. En el panel de navegación, en Network Firewall, elige Firewalls.
3. Selecciona Detalles del firewall.
4. Revisa los detalles de configuración del firewall.

Comprobar si Aurora sin servidor creó el punto de enlace

Realiza una búsqueda de nombres para los puntos de enlace existentes de las bases de datos Aurora sin servidor. Si el registro de nombre canónico (CNAME) devuelto coincide con el nombre DNS del punto de enlace de la interfaz de la VPC, Aurora sin servidor creó el punto de enlace.

Por ejemplo, tienes un punto de enlace de VPC de interfaz con el ID vpce-0013b47d434ae7786 que no puedes eliminar. Para comprobar si Aurora sin servidor creó el punto de enlace, sigue estos pasos:

1. Realiza una búsqueda de nombres en el punto de enlace de Aurora sin servidor:

   dig test1.proxy-chnis5vssnuj.us-east-1.rds.amazonaws.com +short

   Resultado de ejemplo:

   vpce-0ce9fdcdd4aa4097e-1hbywnw6.vpce-svc-0b2f119acb23c050e.us-east-1.vpce.amazonaws.com.
   172.31.4.218
   172.31.21.82

2. Comprueba el valor de CNAME del registro para ver si coincide con el nombre DNS del punto de enlace que deseas eliminar.

(Opcional) Para verificar el nombre DNS del punto de enlace, sigue estos pasos:

1. Abre la consola de VPC.
2. Elige Puntos de enlace.
3. Seleccione la pestaña Detalles y, a continuación, revisa los nombres DNS de la lista.

Comprobar si Amazon RDS Proxy creó el punto de enlace

Realiza una búsqueda de nombres para los puntos de enlace de Amazon RDS Proxy. A continuación, completa los pasos anteriores proporcionados para Aurora sin servidor. Si hay varios puntos de enlace de Amazon RDS Proxy, repite los pasos para cada punto de enlace.

Comprobar si Amazon Redshift creó el punto de enlace

Sigue estos pasos:

1. Abre la consola de Amazon Redshift.
2. En el panel de navegación, selecciona Configuraciones.
3. Comprueba si hay puntos de enlace configurados en los puntos de enlace de VPC administrados por Redshift.

Eliminación del recurso

Tras identificar el servicio que creó el punto de enlace, elimina el recurso. A continuación, el servicio elimina automáticamente el punto de enlace.

En el caso de los puntos de enlace creados por Network Firewall, elimine el firewall de red.

Para los puntos de enlace creados por Aurora sin servidor, elimina el clúster de base de datos Aurora sin servidor.

En el caso de los puntos de enlace creados por Amazon RDS Proxy, elimina el RDS Proxy.

Para los puntos de enlace de VPC administrados por Amazon Redshift, utiliza la consola de Amazon Redshift o el comando delete-endpoint-access de la AWS CLI.