Come posso risolvere i problemi di connettività relativi agli endpoint gateway Amazon VPC?

5 minuti di lettura
0

Voglio risolvere i problemi di connettività relativi agli endpoint gateway Amazon Virtual Private Cloud (Amazon VPC).

Risoluzione

I problemi di connettività relativi agli endpoint VPC del gateway potrebbero essere dovuti alle regole di sicurezza o accesso alla rete che consentono la connessione.

Nota: se si verificano errori durante l'esecuzione dei comandi dell'interfaccia della linea di comando AWS (AWS CLI), consulta Troubleshooting errors for the AWS CLI. Inoltre, assicurati di utilizzare la versione più recente di AWS CLI.

Usa il Sistema di analisi della reperibilità

Usa Reachability Analyzer per risolvere i problemi di connettività tra l'endpoint di origine e l'endpoint gateway. Per maggiori informazioni, consulta Come posso utilizzare il sistema di analisi della reperibilità Amazon VPC per risolvere i problemi di connettività con una risorsa di Amazon VPC?

Controlla le configurazioni della regione

Gli endpoint gateway sono disponibili solo nella regione in cui sono stati creati. Assicurati di creare l'endpoint gateway nella stessa regione dei bucket Amazon Simple Storage Service (Amazon S3) o delle tabelle Amazon DynamoDB. Per trovare la regione del bucket, esegui il comando AWS CLI get-bucket-location.

Inoltre, quando utilizzi un SDK per accedere a un servizio dall'endpoint gateway, configura per la regione la stessa posizione delle risorse del servizio. Puoi usare Config object per Boto3 e aws configure per AWS CLI.

Nota: le richieste inviate a una regione errata possono causare timeout o consentire l'accesso al servizio tramite internet. Ciò dipende dalla tabella di routing configurata nella sottorete di origine.

Controlla la risoluzione DNS

Aggiorna gli attributi DNS nel VPC per attivare la risoluzione DNS. Se usi il tuo server DNS, assicurati che le richieste DNS ai servizi AWS si risolvano negli indirizzi IP gestiti da AWS.

Controlla le impostazioni della tabella di routing della sottorete

Controlla le impostazioni della tabella di routing per verificare che esista una route verso Amazon S3 e DynamoDB che utilizza l'endpoint VPC del gateway.

Controlla i gruppi di sicurezza

Controlla i gruppi di sicurezza associati all'origine che avvia le connessioni verso Amazon S3 e DynamoDB. Verifica che le regole in uscita disponibili consentano il traffico verso Amazon S3 o DynamoDB. Se un gruppo di sicurezza ha regole più restrittive rispetto alle regole in uscita predefinite, verifica che sia soddisfatta una delle condizioni seguenti:

  • Esiste una regola in uscita che consente il traffico verso l'ID dell'elenco di prefissi associato all'endpoint VPC del gateway.
  • Nella destinazione è presente un blocco CIDR (intervallo di indirizzi IP) specifico per il servizio. Se non è presente un blocco CIDR specifico per il servizio, non puoi aggiungerne uno. È consigliabile utilizzare l'ID dell'elenco di prefissi fornito dal servizio, perché AWS gestisce gli intervalli di indirizzi IP degli elenchi di prefissi.

Per visualizzare i CIDR degli indirizzi IP pubblici per Amazon S3 e DynamoDB in una regione specifica, esegui il comando AWS CLI describe-prefix-lists:

aws ec2 describe-prefix-lists --region example-Region

Nota: sostituisci example-Region con la tua regione.

Controlla le regole della lista di controllo degli accessi di rete

Le liste di controllo degli accessi di rete per le sottoreti devono consentire le connessioni TCP in entrata e in uscita verso i CIDR dei servizi Amazon S3 o DynamoDB all'interno della regione.

Aggiungi regole ACL di rete che consentano:

Nota: per impostazione predefinita, le ACL di rete consentono tutto il traffico IPv4 e IPv6 in entrata e in uscita. Se le regole ACL di rete limitano il traffico, specifica il blocco CIDR per il servizio per cui hai creato l'endpoint gateway. È consigliabile impostare notifiche che avvisano dei cambiamenti negli indirizzi IP del servizio e utilizzare script per aggiornare automaticamente le regole ACL di rete. Per ulteriori informazioni, consulta Come posso ricevere notifiche per verificare le modifiche all'indirizzo IP di Amazon S3?

Controlla la policy degli endpoint VPC

Esamina la policy degli endpoint VPC per determinare se si tratta di una policy personalizzata o della policy predefinita. Una policy personalizzata per gli endpoint deve consentire l'accesso per eseguire operazioni sul servizio. La policy predefinita per gli endpoint consente l'accesso completo al servizio. Per ulteriori informazioni, consulta Control access to VPC endpoints using endpoint policies.

Controlla la policy del bucket Amazon S3

Esamina la policy del bucket Amazon S3 per verificare che consenta l'accesso dall'endpoint VPC del gateway e dal VPC. Per ulteriori informazioni, consulta Controlling access from VPC endpoints with bucket policies.

Nota: la policy del bucket può limitare l'accesso solo da uno specifico indirizzo IP pubblico o elastico associato a un'istanza in un VPC. La policy può limitare l'accesso in base a indirizzi IP privati associati a istanze. Per ulteriori informazioni, consulta Examples of Amazon S3 bucket policies.

Se usi un server proxy, verifica che le connessioni del tuo VPC siano consentite tramite il server. Se non usi un server proxy per Amazon S3, esegui il comando seguente per aggirare il server proxy quando accedi al bucket:

export no_proxy = s3.example-Region.amazonaws.com

Nota: sostituisci example-Region con la tua regione.

Controlla la policy IAM

Controlla la policy di AWS Identity and Access Management (IAM) per verificare che gli utenti associati all'utente o al ruolo IAM dispongano delle autorizzazioni necessarie per accedere ad Amazon S3. Per ulteriori informazioni, consulta How to restrict Amazon S3 bucket access to a specific IAM role e Controlling access to a bucket with user policies.

Controlla il flusso di traffico su un endpoint gateway

Per verificare se vi è traffico che attraversa un endpoint gateway o un endpoint di interfaccia, consulta How do I check if my Amazon S3 traffic is going through a gateway Amazon VPC endpoint or an interface Amazon VPC endpoint?

Informazioni correlate

Gestione degli accessi per le risorse AWS

AWS UFFICIALE
AWS UFFICIALEAggiornata 3 mesi fa