Ao usar o AWS re:Post, você concorda com os AWS re:Post Termos de uso

Como solucionar problemas de conectividade de endpoints de gateway da Amazon VPC?

6 minuto de leitura
0

Quero solucionar problemas de conectividade de endpoints de gateway da Amazon Virtual Private Cloud (Amazon VPC).

Resolução

Os problemas de conectividade de endpoints da VPC de gateway podem ser causados pelo acesso à rede ou pelas regras de segurança que permitem a conexão.

Observação: se você receber erros ao executar comandos da AWS Command Line Interface (AWS CLI), consulte Solução de erros da AWS CLI. Além disso, verifique se você está usando a versão mais recente da AWS CLI.

Usar o Reachability Analyzer

Use o Reachability Analyzer para solucionar problemas de conectividade entre a origem e o endpoint de gateway. Para obter mais informações, consulte Como uso o Amazon VPC Reachability Analyzer para solucionar problemas de conectividade de um recurso da Amazon VPC?

Verificar as configurações de região

Os endpoints de gateway estão disponíveis somente na região em que você os criou. Certifique-se de criar seu endpoint de gateway na mesma região dos buckets do Amazon Simple Storage Service (Amazon S3) ou das tabelas do Amazon DynamoDB. Para encontrar a região do seu bucket, execute o comando get-bucket-location da AWS CLI.

Além disso, ao usar um SDK para acessar um serviço a partir do endpoint de gateway, configure a região no mesmo local dos recursos do serviço. Você pode usar Config object para Boto3 e aws configure para AWS CLI.

Observação: solicitações que você envia para uma região incorreta podem causar tempo limite ou permitir acesso ao serviço pela Internet. Isso depende da tabela de rotas que você configurou na sub-rede de origem.

Verificar a resolução de DNS

Atualize os atributos de DNS em sua VPC para ativar a resolução de DNS. Se você usa seu próprio servidor de DNS, certifique-se de que as solicitações de DNS aos serviços da AWS sejam resolvidas para os endereços IP que a AWS mantém.

Verificar as configurações da tabela de rotas da sub-rede

Verifique as configurações da tabela de rotas para confirmar se há uma rota para o Amazon S3 e o DynamoDB que usa o endpoint da VPC de gateway.

Verificar os grupos de segurança

Verifique os grupos de segurança associados à fonte que inicia as conexões com o Amazon S3 e o DynamoDB. Confirme se as regras de saída disponíveis permitem o tráfego para o Amazon S3 ou o DynamoDB. Se o grupo de segurança tiver regras mais restritivas do que as regras de saída padrão, confirme uma das seguintes opções:

  • Há uma regra de saída que permite o tráfego para o ID da lista de prefixos associada ao endpoint da VPC de gateway.
  • Há um bloco CIDR específico do serviço (intervalo de endereços IP) no destino. Se não houver um bloco CIDR específico do serviço, não será possível adicionar um. É uma prática recomendada usar o ID da lista de prefixos que o serviço fornece, pois a AWS gerencia os intervalos de endereços IP da lista de prefixos.

Para visualizar os CIDRs de endereço IP públicos do Amazon S3 e do DynamoDB em uma região específica, execute o comando describe-prefix-lists da AWS CLI:

aws ec2 describe-prefix-lists --region example-Region

Observação: Substitua example-Region pela sua região.

Verificar as regras da ACL de rede

As listas de controle de acesso à rede (ACLs de rede) da sub-rede devem permitir conexões TCP de entrada e saída para CIDRs de serviço do Amazon S3 ou DynamoDB na região.

Adicione regras de ACL de rede que façam o seguinte:

Observação: por padrão, as ACLs de rede permitem todo o tráfego IPv4 e IPv6 de entrada e saída. Se as regras da ACL de rede restringirem o tráfego, especifique o bloco CIDR para o serviço para o qual você criou o endpoint de gateway. É uma prática recomendada definir notificações para quando os endereços IP do serviço mudarem e usar scripts para atualizar automaticamente as regras da ACL de rede. Para obter mais informações, consulte Como faço para receber notificações quando o Amazon S3 muda seu endereço IP?

Verifique a política de endpoint da VPC

Analise a política de endpoint da VPC para determinar se é uma política personalizada ou a política padrão. Uma política de endpoint personalizada deve permitir o acesso para realizar ações no serviço. Uma política de endpoint padrão permite acesso completo ao serviço. Para obter mais informações, consulte Controlar o acesso a endpoints de VPC usando políticas de endpoint.

Verificar a política de bucket do Amazon S3

Analise a política de bucket do Amazon S3 para confirmar se a política permite acesso a partir do endpoint da VPC de gateway e da VPC. Para obter mais informações, consulte Controle do acesso de endpoints de VPC com políticas de bucket.

Observação: sua política de bucket pode restringir o acesso somente de um endereço IP público ou elástico específico associado a uma instância em uma VPC. A política pode restringir o acesso com base em endereços IP privados associados às instâncias. Para obter mais informações, consulte Exemplos de políticas de bucket do Amazon S3.

Se você usa um servidor de proxy, confirme se suas conexões da VPC são permitidas por meio do servidor. Se você não usa um servidor de proxy para o Amazon S3, execute o seguinte comando para ignorar o servidor de proxy ao acessar seu bucket:

export no_proxy = s3.example-Region.amazonaws.com

Observação: substitua example-Region pela sua região.

Verificar a política do IAM

Verifique a política do AWS Identity and Access Management (AWS IAM) para confirmar se os usuários associados ao usuário ou perfil do IAM têm as permissões necessárias para acessar o Amazon S3. Para obter mais informações, consulte Como limitar o acesso ao bucket do Amazon S3 a um perfil específico do IAM e Controlar o acesso a um bucket com políticas de usuário.

Verificar o fluxo de tráfego em um endpoint de gateway

Para verificar se o tráfego está passando por um endpoint de gateway ou endpoint de interface, consulte Como faço para verificar se o tráfego do meu Amazon S3 está passando por um endpoint da VPC de gateway ou por um endpoint da VPC de interface?

Informações relacionadas

Gerenciamento de acesso para recursos da AWS

AWS OFICIAL
AWS OFICIALAtualizada há um mês