Como solucionar problemas de conectividade de endpoints de gateway da Amazon VPC?
Quero solucionar problemas de conectividade de endpoints de gateway da Amazon Virtual Private Cloud (Amazon VPC).
Resolução
Os problemas de conectividade de endpoints da VPC de gateway podem ser causados pelo acesso à rede ou pelas regras de segurança que permitem a conexão.
Observação: se você receber erros ao executar comandos da AWS Command Line Interface (AWS CLI), consulte Solução de erros da AWS CLI. Além disso, verifique se você está usando a versão mais recente da AWS CLI.
Usar o Reachability Analyzer
Use o Reachability Analyzer para solucionar problemas de conectividade entre a origem e o endpoint de gateway. Para obter mais informações, consulte Como uso o Amazon VPC Reachability Analyzer para solucionar problemas de conectividade de um recurso da Amazon VPC?
Verificar as configurações de região
Os endpoints de gateway estão disponíveis somente na região em que você os criou. Certifique-se de criar seu endpoint de gateway na mesma região dos buckets do Amazon Simple Storage Service (Amazon S3) ou das tabelas do Amazon DynamoDB. Para encontrar a região do seu bucket, execute o comando get-bucket-location da AWS CLI.
Além disso, ao usar um SDK para acessar um serviço a partir do endpoint de gateway, configure a região no mesmo local dos recursos do serviço. Você pode usar Config object para Boto3 e aws configure para AWS CLI.
Observação: solicitações que você envia para uma região incorreta podem causar tempo limite ou permitir acesso ao serviço pela Internet. Isso depende da tabela de rotas que você configurou na sub-rede de origem.
Verificar a resolução de DNS
Atualize os atributos de DNS em sua VPC para ativar a resolução de DNS. Se você usa seu próprio servidor de DNS, certifique-se de que as solicitações de DNS aos serviços da AWS sejam resolvidas para os endereços IP que a AWS mantém.
Verificar as configurações da tabela de rotas da sub-rede
Verifique as configurações da tabela de rotas para confirmar se há uma rota para o Amazon S3 e o DynamoDB que usa o endpoint da VPC de gateway.
Verificar os grupos de segurança
Verifique os grupos de segurança associados à fonte que inicia as conexões com o Amazon S3 e o DynamoDB. Confirme se as regras de saída disponíveis permitem o tráfego para o Amazon S3 ou o DynamoDB. Se o grupo de segurança tiver regras mais restritivas do que as regras de saída padrão, confirme uma das seguintes opções:
- Há uma regra de saída que permite o tráfego para o ID da lista de prefixos associada ao endpoint da VPC de gateway.
- Há um bloco CIDR específico do serviço (intervalo de endereços IP) no destino. Se não houver um bloco CIDR específico do serviço, não será possível adicionar um. É uma prática recomendada usar o ID da lista de prefixos que o serviço fornece, pois a AWS gerencia os intervalos de endereços IP da lista de prefixos.
Para visualizar os CIDRs de endereço IP públicos do Amazon S3 e do DynamoDB em uma região específica, execute o comando describe-prefix-lists da AWS CLI:
aws ec2 describe-prefix-lists --region example-Region
Observação: Substitua example-Region pela sua região.
Verificar as regras da ACL de rede
As listas de controle de acesso à rede (ACLs de rede) da sub-rede devem permitir conexões TCP de entrada e saída para CIDRs de serviço do Amazon S3 ou DynamoDB na região.
Adicione regras de ACL de rede que façam o seguinte:
- Permitam o tráfego de retorno de entrada do serviço que você está tentando acessar nas portas TCP efêmeras 1024-65535.
- Permitam o tráfego para o bloco CIDR do serviço (intervalo de endereços IP) em HTTPS.
Observação: por padrão, as ACLs de rede permitem todo o tráfego IPv4 e IPv6 de entrada e saída. Se as regras da ACL de rede restringirem o tráfego, especifique o bloco CIDR para o serviço para o qual você criou o endpoint de gateway. É uma prática recomendada definir notificações para quando os endereços IP do serviço mudarem e usar scripts para atualizar automaticamente as regras da ACL de rede. Para obter mais informações, consulte Como faço para receber notificações quando o Amazon S3 muda seu endereço IP?
Verifique a política de endpoint da VPC
Analise a política de endpoint da VPC para determinar se é uma política personalizada ou a política padrão. Uma política de endpoint personalizada deve permitir o acesso para realizar ações no serviço. Uma política de endpoint padrão permite acesso completo ao serviço. Para obter mais informações, consulte Controlar o acesso a endpoints de VPC usando políticas de endpoint.
Verificar a política de bucket do Amazon S3
Analise a política de bucket do Amazon S3 para confirmar se a política permite acesso a partir do endpoint da VPC de gateway e da VPC. Para obter mais informações, consulte Controle do acesso de endpoints de VPC com políticas de bucket.
Observação: sua política de bucket pode restringir o acesso somente de um endereço IP público ou elástico específico associado a uma instância em uma VPC. A política pode restringir o acesso com base em endereços IP privados associados às instâncias. Para obter mais informações, consulte Exemplos de políticas de bucket do Amazon S3.
Se você usa um servidor de proxy, confirme se suas conexões da VPC são permitidas por meio do servidor. Se você não usa um servidor de proxy para o Amazon S3, execute o seguinte comando para ignorar o servidor de proxy ao acessar seu bucket:
export no_proxy = s3.example-Region.amazonaws.com
Observação: substitua example-Region pela sua região.
Verificar a política do IAM
Verifique a política do AWS Identity and Access Management (AWS IAM) para confirmar se os usuários associados ao usuário ou perfil do IAM têm as permissões necessárias para acessar o Amazon S3. Para obter mais informações, consulte Como limitar o acesso ao bucket do Amazon S3 a um perfil específico do IAM e Controlar o acesso a um bucket com políticas de usuário.
Verificar o fluxo de tráfego em um endpoint de gateway
Para verificar se o tráfego está passando por um endpoint de gateway ou endpoint de interface, consulte Como faço para verificar se o tráfego do meu Amazon S3 está passando por um endpoint da VPC de gateway ou por um endpoint da VPC de interface?
Informações relacionadas
Conteúdo relevante
- AWS OFICIALAtualizada há um ano
- AWS OFICIALAtualizada há um ano
- AWS OFICIALAtualizada há um ano