Amazon Virtual Private Cloud (Amazon VPC) インターフェイスエンドポイントの接続問題をトラブルシューティングしたいと考えています。
簡単な説明
インターフェイス Amazon VPC エンドポイントの接続問題をトラブルシューティングするには、以下をご確認ください。
- DNS 名の解決
- エンドポイントポリシー
- Amazon VPC エンドポイントのセキュリティグループ
- サブネットネットワークアクセスコントロールリスト (ネットワーク ACL)
- ルーティング設定
- 到達可能性アナライザーの結果
- インターフェイス Amazon VPC エンドポイントへの接続
解決策
DNS 名の解決
プライベート DNS 名をオンにすると、サービスのエンドポイントに対して AWS API 呼び出しを実行できます。これらの呼び出しは、インターフェイスエンドポイントのプライベート IP アドレスに解決されます。プライベート DNS 名がオンになっていない場合は、 リージョンまたはゾーンの Amazon VPC エンドポイント DNS 名 を指定して API 呼び出しを実行します。
接続するインターフェイス Amazon VPC エンドポイント名の DNS 解決を確認するには、 dig コマンドまたは nslookup コマンドを使用します。
詳細については、 「インターフェイス VPC エンドポイントのサービスドメイン名を解決できないのはなぜですか?」をご参照ください。
エンドポイントポリシー
デフォルトのエンドポイントポリシーでは、サービスへのフルアクセスが許可されます。カスタムポリシーを使用するときは、必要なアクションの実行へのアクセスに必要な権限がポリシーに含まれているかどうかをご確認ください。詳細については、 「エンドポイントポリシーを使用して VPC エンドポイントへのアクセスを制御する」をご参照ください。
Amazon VPC エンドポイントのセキュリティグループ
セキュリティグループをインターフェイス Amazon VPC エンドポイントに関連付けることでアクセスを制御できます。セキュリティグループのインバウンドルールによって、サービスが接続を受け入れるポートに基づいて、ポートおよびプロトコルへの通信が許可されているかご確認ください。
注: インターフェイスエンドポイントを作成したのに、セキュリティグループが選択されていない場合は、デフォルトのセキュリティグループが使用されます。
サブネットネットワーク ACL
サブネットネットワーク ACL によって、インターフェイスエンドポイント Elastic network interface へのインバウンド接続およびアウトバウンド接続が許可されているかを確認します。Amazon VPC の外部から接続する場合は、ソースネットワークからの接続が許可されているかどうかをご確認ください。
詳細については、 「エンドポイントサービス用の VPC インターフェイスエンドポイントを作成するときに、セキュリティグループとネットワーク ACL を設定するにはどうすればよいですか?」をご参照ください。
ルーティング設定
インターフェイス Amazon VPC エンドポイントを使用すると、AWS 内またはオンプレミスネットワークからサービスにプライベートにアクセスすることができます。インターフェイスエンドポイントと同じ Amazon VPC 内から接続する場合、サブネットルートテーブル内のルーティングはローカルルートが管理します。また、ルーティング設定を追加する必要ありません。
Amazon VPC の外部からエンドポイントに接続する場合は、接続が確立できるかどうかをご確認ください。1 つ以上のソースネットワークとインターフェイス Amazon VPC エンドポイント Elastic Network Interface サブネット間の接続を確認します。
到達可能性アナライザーの結果
Reachability Analyzer を使用して、送信元とインターフェイスエンドポイント間の接続の問題をトラブルシューティングします。詳細については、 「Amazon VPC Reachability Analyzer を使用して Amazon VPC リソースの接続に関する問題をトラブルシューティングするにはどうすればよいですか?」をご参照ください。
インターフェイス Amazon VPC エンドポイントへの接続
サービスへのアクセスにインターフェイスエンドポイントを使用できるかを確認するには、適切なポートでネットワーク接続ツールを使用します。
プライベート DNS がオンの場合は、次のコマンドを実行します。
telnet ec2.us-east-1.amazonaws.com 443
**注:置き換え<example-private-IP-interface-endpoint-ENI>**インターフェイスエンドポイント Elastic Network Interface の IP アドレスを使用します。
telnet <example-private-IP-interface-endpoint-ENI> 443
プライベート DNS がオフの場合は、次のコマンドを実行します。
**注:置き換え<example-vpc-endpoint-region>**インターフェイスエンドポイントの リージョナル DNS 名またはゾーン DNS 名を使用します。
telnet <example-vpc-endpoint-region>.amazonaws.com 443
関連情報
Amazon VPC のインターフェイスエンドポイントからエンドポイントサービスに接続できないのはなぜですか?