요청자 관리형 VPC 엔드포인트를 삭제할 수 없는 이유는 무엇입니까?

간략한 설명

인터페이스 VPC 엔드포인트를 삭제하려고 하면 다음 오류가 발생할 수 있습니다.

"vpce-0399e6e9fd2f4e430: Operation is not allowed for requester-managed VPC endpoints for the service com.amazonaws.vpce.region.vpce-svc-04c257ad126576358."

삭제하려는 엔드포인트가 요청자 관리형 VPC 엔드포인트인 경우 이 오류가 발생합니다. Amazon Aurora Serverless와 같은 AWS 관리형 서비스는 요청자 관리형 엔드포인트를 생성합니다. 이 유형의 엔드포인트를 삭제하려면 먼저 엔드포인트를 생성한 AWS 관리형 서비스를 식별하고 리소스를 삭제해야 합니다. 그러면 원래 엔드포인트를 생성한 AWS 관리형 서비스가 자동으로 엔드포인트를 삭제합니다.

해결 방법

참고: AWS Command Line Interface(AWS CLI) 명령을 실행할 때 오류가 발생하면 AWS CLI의 오류 해결을 참조하십시오. 또한 최신 AWS CLI 버전을 사용하고 있는지 확인하십시오.

지난 90일 동안 엔드포인트를 생성한 AWS 서비스 식별

엔드포인트를 생성한 서비스를 확인하려면 AWS CloudTrail을 사용하십시오. CloudTrail 콘솔 보기를 기록된 마지막 90일 간의 API 활동(관리 이벤트)으로 설정해야 합니다.

CloudTrail 이벤트를 보려면 다음 단계를 완료하십시오.

1. CloudTrail 콘솔을 엽니다.
2. 탐색 창에서 이벤트 기록을 선택합니다.
3. 리소스 이름을 선택합니다. 그런 다음, 리소스 이름 필터에 VPC 엔드포인트 ID(예: vpce-######)를 입력합니다.
4. CreateVpcEndpoint API 직접 호출에서 사용자 이름 값을 확인합니다. Aurora Serverless에서 생성한 엔드포인트의 사용자 이름은 RDSAuroraServeless입니다. Amazon Relational Database Service(Amazon RDS) Proxy에서 생성한 엔드포인트의 사용자 이름은 RDSSlrAssumptionSession입니다.
5. AWS Network Firewall에서 생성한 엔드포인트를 식별하려면 CreateVpcEndpoint API 직접 호출에 대한 이벤트 레코드를 확인합니다. 그런 다음, Firewall 및 AWSNetworkFirewallManaged 키가 있는 태그를 확인합니다.
   예:

   {
       "Tag": [
           {
               "Value": "arn:aws:network-firewall:region:account number:firewall/firewall name",
               "tag": 1,
               "Key": "Firewall"
           },
           {
               "Value": true,
               "tag": 2,
               "Key": "AWSNetworkFirewallManaged"
           }
       ]
   }

90일 이전에 엔드포인트를 생성한 AWS 서비스 식별

Network Firewall이 엔드포인트를 생성했는지 확인

다음 단계를 완료하십시오.

1. VPC 콘솔을 엽니다.
2. 엔드포인트를 선택합니다.
3. 엔드포인트를 선택한 다음, 태그 탭을 선택합니다.
4. 태그에 다음 값이 표시되면 Network Firewall이 엔드포인트를 생성한 것입니다.
   키는 AWSNetworkFirewallManaged이고 값은 True입니다.
   키는 Firewall이고 값은 Network Firewall ARN arn:aws:network-firewall:region:account number:firewall/firewall name입니다.

(선택 사항) Network Firewall에 엔드포인트가 있는지 확인하려면 다음 단계를 완료하십시오.

1. VPC 콘솔을 엽니다.
2. 탐색 창의 Network Firewall에서 방화벽을 선택합니다.
3. 방화벽 세부 정보를 선택합니다.
4. 방화벽 구성 세부 정보를 검토합니다.

Aurora Serverless가 엔드포인트를 생성했는지 확인

기존 Aurora Serverless 데이터베이스의 엔드포인트에 대한 이름 조회를 수행합니다. 반환된 캐노니컬 네임 레코드(CNAME)가 VPC 인터페이스 엔드포인트 DNS 이름과 일치하면 Aurora Serverless가 엔드포인트를 생성한 것입니다.

예를 들어, ID가 vpce-0013b47d434ae7786인 인터페이스 VPC 엔드포인트가 있는데 이 엔드포인트는 삭제할 수 없습니다. Aurora Serverless가 엔드포인트를 생성했는지 확인하려면 다음 단계를 완료하십시오.

1. Aurora Serverless 엔드포인트에서 이름 조회를 수행합니다.

   dig test1.proxy-chnis5vssnuj.us-east-1.rds.amazonaws.com +short

   출력 예시:

   vpce-0ce9fdcdd4aa4097e-1hbywnw6.vpce-svc-0b2f119acb23c050e.us-east-1.vpce.amazonaws.com.
   172.31.4.218
   172.31.21.82

2. 레코드 CNAME 값을 확인하여 삭제하려는 엔드포인트의 DNS 이름과 일치하는지 확인합니다.

(선택 사항) 엔드포인트의 DNS 이름을 확인하려면 다음 단계를 완료하십시오.

1. VPC 콘솔을 엽니다.
2. 엔드포인트를 선택합니다.
3. 세부 정보 탭을 선택한 다음, 나열된 DNS 이름을 검토합니다.

Amazon RDS Proxy가 엔드포인트를 생성했는지 확인

Amazon RDS Proxy 엔드포인트에 대한 이름 조회를 수행합니다. 그런 다음, Aurora Serverless에 제공된 위 단계를 완료하십시오. Amazon RDS Proxy 엔드포인트가 여러 개 있는 경우 엔드포인트마다 단계를 반복합니다.

Amazon Redshift가 엔드포인트를 생성했는지 확인

다음 단계를 완료하십시오.

1. Amazon Redshift 콘솔을 엽니다.
2. 탐색 창에서 구성을 선택합니다.
3. Redshift 관리형 VPC 엔드포인트에 구성된 엔드포인트가 있는지 확인합니다.

리소스 삭제

엔드포인트를 생성한 서비스를 식별한 후 리소스를 삭제합니다. 그러면 서비스가 자동으로 엔드포인트를 삭제합니다.

Network Firewall에서 생성한 엔드포인트의 경우 네트워크 방화벽을 삭제합니다.

Aurora Serverless에서 생성한 엔드포인트의 경우 Aurora Serverless DB 클러스터를 삭제합니다.

Amazon RDS Proxy에서 생성한 엔드포인트의 경우 RDS 프록시를 삭제합니다.

Amazon Redshift 관리형 VPC 엔드포인트의 경우 Amazon Redshift 콘솔 또는 delete-endpoint-access AWS CLI 명령을 사용하십시오.