Pourquoi ne puis-je pas supprimer le point de terminaison de VPC géré par le demandeur ?

Lecture de 5 minute(s)

Lorsque j'essaie de supprimer mon point de terminaison Amazon Virtual Private Cloud (Amazon VPC) géré par le demandeur, un message d'erreur s'affiche.

Brève description

Lorsque vous essayez de supprimer un point de terminaison de VPC d'interface, l'erreur suivante peut s'afficher :

"vpce-0399e6e9fd2f4e430: Operation is not allowed for requester-managed VPC endpoints for the service com.amazonaws.vpce.region.vpce-svc-04c257ad126576358."

Cette erreur s'affiche lorsque le point de terminaison que vous souhaitez supprimer est un point de terminaison de VPC géré par le demandeur. Les services gérés AWS tels qu'Amazon Aurora sans serveur créent des points de terminaison gérés par le demandeur. Pour supprimer ce type de point de terminaison, vous devez d'abord identifier le service géré AWS qui a créé le point de terminaison et supprimer la ressource. Ensuite, le service géré AWS qui a initialement créé le point de terminaison supprime automatiquement le point de terminaison.

Résolution

Remarque : Si des erreurs surviennent lorsque vous exécutez des commandes de l'interface de la ligne de commande AWS (AWS CLI), consultez la section Résoudre des erreurs liées à l’AWS CLI. Vérifiez également que vous utilisez bien la version la plus récente de l'AWS CLI.

Identifier le service AWS qui a créé des points de terminaison au cours des 90 derniers jours

Pour déterminer le service qui a créé le point de terminaison, utilisez AWS CloudTrail. Assurez-vous de définir l'affichage de la console CloudTrail sur les 90 derniers jours d'activité API enregistrée (événements de gestion).

Pour afficher les événements CloudTrail, procédez comme suit :

Ouvrez la console CloudTrail.
Dans le volet de navigation, choisissez Historique des événements.
Sélectionnez le nom de votre ressource. Puis, pour le filtre de nom de ressource, saisissez l'ID du point de terminaison de VPC, par exemple vpce-######.
Dans l'appel d'API CreateVpcEndpoint, vérifiez la valeur de Nom d'utilisateur. Pour les points de terminaison créés par Aurora sans serveur, le nom d'utilisateur est RDSauroraServeless. Pour les points de terminaison créés par le proxy Amazon Relational Database Service (Amazon RDS), le nom d'utilisateur est RDSSLRassumptionSession.

Pour identifier les points de terminaison créés par AWS Network Firewall, consultez l'enregistrement de l'événement pour l'appel d'API CreateVpcEndpoint. Puis, recherchez les identifications contenant les clés Pare-feu et AWSNetworkFirewallManaged.
Exemple :

{
    "Tag": [
        {
            "Value": "arn:aws:network-firewall:region:account number:firewall/firewall name",
            "tag": 1,
            "Key": "Firewall"
        },
        {
            "Value": true,
            "tag": 2,
            "Key": "AWSNetworkFirewallManaged"
        }
    ]
}

Identifier le service AWS qui a créé des points de terminaison il y a plus de 90 jours

Vérifier si le pare-feu réseau a créé le point de terminaison

Procédez comme suit :

Ouvrez la console VPC.
Sélectionnez Points de terminaison.
Sélectionnez le point de terminaison, puis choisissez l'onglet Identifications.
Si les valeurs suivantes apparaissent dans Identifications, cela signifie que Network Firewall a créé le point de terminaison :
La clé est AWSNetworkFirewallManaged et la valeur est True.
La clé est Pare-feu et la valeur est l'ARN de votre pare-feu réseau arn:aws:network-firewall:region:account number:firewall/firewall name.

(Facultatif) Pour vérifier que le pare-feu réseau utilise le point de terminaison, procédez comme suit :

Ouvrez la console VPC.
Dans le volet de navigation, sous Pare-feu réseau, choisissez Pare-feux.
Sélectionnez Détails du pare-feu.
Vérifiez les détails de configuration du pare-feu.

Vérifier si Aurora sans serveur a créé le point de terminaison

Effectuez une recherche de nom pour les points de terminaison des bases de données Aurora sans serveur existantes. Si l'enregistrement de nom canonique (CNAME) renvoyé correspond au nom DNS du point de terminaison de l'interface de VPC, Aurora sans serveur a créé le point de terminaison.

Par exemple, vous avez un point de terminaison de VPC d'interface avec l'ID vpce-0013b47d434ae7786 que vous ne pouvez pas supprimer. Pour vérifier si Aurora sans serveur a créé le point de terminaison, procédez comme suit :

Effectuez une recherche de nom sur le point de terminaison Aurora sans serveur :

dig test1.proxy-chnis5vssnuj.us-east-1.rds.amazonaws.com +short

Exemple de sortie :

vpce-0ce9fdcdd4aa4097e-1hbywnw6.vpce-svc-0b2f119acb23c050e.us-east-1.vpce.amazonaws.com.
172.31.4.218
172.31.21.82

Vérifiez la valeur de CNAME de l'enregistrement pour voir si elle correspond au nom DNS du point de terminaison que vous souhaitez supprimer.

(Facultatif) Pour vérifier le nom DNS du point de terminaison, procédez comme suit :

Ouvrez la console VPC.
Sélectionnez Points de terminaison.
Choisissez l'onglet Détails, puis examinez les noms DNS répertoriés.

Vérifier si le proxy Amazon RDS a créé le point de terminaison

Effectuez une recherche de nom pour les points de terminaison du proxy Amazon RDS. Puis, effectuez les étapes précédentes fournies pour Aurora sans serveur. S'il existe plusieurs points de terminaison de proxy Amazon RDS, répétez les étapes pour chaque point de terminaison.

Vérifier si Amazon Redshift a créé le point de terminaison

Procédez comme suit :

Ouvrez la console Amazon Redshift.
Dans le volet de navigation, choisissez Configurations.
Vérifiez si des points de terminaison sont configurés sous Points de terminaison de VPC gérés par Redshift.

Supprimer la ressource

Après avoir identifié le service qui a créé le point de terminaison, supprimez la ressource. Le service supprime ensuite automatiquement le point de terminaison.

Pour les points de terminaison créés par Network Firewall, supprimez le pare-feu réseau.

Pour les points de terminaison créés par Aurora sans serveur, supprimez le cluster de base de données Aurora sans serveur.

Pour les points de terminaison créés par le proxy Amazon RDS, supprimez le proxy RDS.

Pour les points de terminaison de VPC gérés par Amazon Redshift, utilisez la console Amazon Redshift ou la commande delete-endpoint-access de l'AWS CLI.

Sujets: Networking & Content Delivery
Balises: Amazon VPC
Langue: Français

AWS OFFICIELA mis à jour il y a 3 mois

Aucun commentaire

Contenus pertinents

Impossible de stop mon instance SageMaker
rePost-User-9472894
demandé il y a 3 ans
J'obtiens des coûts pour le VPS
Fred
demandé il y a un an
supprimé un service
rePost-User-6192142
demandé il y a 2 ans
ACCES SERVEUR DEPUIS UN NAVIGATEUR
rePost-User-1938638
demandé il y a un an
récupération gestions Instance EC2 comptes membres
PatriceB
demandé il y a 3 mois
Pourquoi mon service de point de terminaison d'un VPC n'apparaît-il pas dans la liste des services vérifiés lorsque je crée un point de terminaison d'un VPC d'interface ?
AWS OFFICIELA mis à jour il y a 4 ans
Comment supprimer mon Network Load Balancer associé aux services de point de terminaison d'un VPC (PrivateLink) ?
AWS OFFICIELA mis à jour il y a 4 ans
Comment puis-je créer des points de terminaison de VPC pour utiliser Systems Manager afin de gérer des instances Amazon EC2 privées sans accès à Internet ?
AWS OFFICIELA mis à jour il y a un mois
Comment puis-je résoudre les problèmes de connectivité entre le point de terminaison d'un Amazon VPC d'interface et un service de point de terminaison ?
AWS OFFICIELA mis à jour il y a 2 ans