AWS re:Post Knowledge Center Feedback Survey

Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.

为什么我无法删除请求者托管的 VPC 端点？

2 分钟阅读

当我尝试删除我的请求者托管的 Amazon Virtual Private Cloud (Amazon VPC) 端点时，我收到了一个错误。

简短描述

当您尝试删除接口 VPC 端点时，您可能会收到以下错误：

"vpce-0399e6e9fd2f4e430: Operation is not allowed for requester-managed VPC endpoints for the service com.amazonaws.vpce.region.vpce-svc-04c257ad126576358."

当您要删除的端点是请求者托管的 VPC 端点时，您会收到此错误。Amazon Aurora Serverless 等 AWS 托管服务可创建请求者托管的端点。要删除此类端点，您必须首先确定创建端点的 AWS 托管服务，然后删除该资源。然后，最初创建端点的 AWS 托管服务会自动删除该端点。

解决方法

**注意：**如果您在运行 AWS 命令行界面 (AWS CLI) 命令时收到错误，请参阅 AWS CLI 错误故障排除。此外，请确保您使用的是最新版本的 AWS CLI。

确定在过去 90 天内创建端点的 AWS 服务

要确定创建端点的服务，请使用 AWS CloudTrail。确保将 CloudTrail 控制台视图设置为最近 90 天记录的 API 活动（管理事件）。

要查看 CloudTrail 事件，请完成以下步骤：

打开 CloudTrail 控制台。
在导航窗格中，选择 Event history（事件历史记录）。
选择您的 Resource name（资源名称）。然后，为资源名称筛选器输入 VPC 端点 ID，例如 vpce-######。
在 CreateVpcEndpoint API 调用中，检查 Username（用户名）值。对于 Aurora Serverless 创建的端点，username（用户名）为 RDSAuroraServeless。对于由 Amazon Relational Database Service (Amazon RDS) 代理创建的端点，username（用户名）为 RDSSlrAssumptionSession。

要确定由 AWS Network Firewall 创建的端点，请查看 CreateVpcEndpoint API 调用的事件记录。然后，检查带有 Firewall 和 AWSNetworkFirewallManaged 密钥的标签。
示例：

{
    "Tag": [
        {
            "Value": "arn:aws:network-firewall:region:account number:firewall/firewall name",
            "tag": 1,
            "Key": "Firewall"
        },
        {
            "Value": true,
            "tag": 2,
            "Key": "AWSNetworkFirewallManaged"
        }
    ]
}

确定 90 多天前创建端点的 AWS 服务

检查 Network Firewall 是否创建了端点

完成以下步骤：

打开 VPC 控制台。
选择 Endpoints（端点）。
选择端点，然后选择 Tags（标签）选项卡。
如果您在 Tags（标签）中看到以下值，则表明 Network Firewall 创建了端点：
Key（密钥）为 AWSNetworkFirewallManaged，Value（值）为 True。
Key（密钥）为 Firewall，Value（值）为您的 Network Firewall ARN arn:aws:network-firewall:region:account number:firewall/firewall name。

（可选）要验证 Network Firewall 是否有端点，请完成以下步骤：

打开 VPC 控制台。
在导航窗格的 Network Firewall 下，选择 Firewalls（防火墙）。
选择 Firewall details（防火墙详细信息）。
查看防火墙配置的详细信息。

检查 Aurora Serverless 是否创建了端点

对现有 Aurora Serverless 数据库的端点执行名称查询。如果返回的规范名称记录 (CNAME) 与 VPC 接口端点 DNS 名称相匹配，则表明 Aurora Serverless 已创建该端点。

例如，您有一个无法删除的 ID 为 vpce-0013b47d434ae7786 的接口 VPC 端点。要验证 Aurora Serverless 是否创建了端点，请完成以下步骤：

在 Aurora Serverless 端点上执行名称查询：

dig test1.proxy-chnis5vssnuj.us-east-1.rds.amazonaws.com +short

输出示例：

vpce-0ce9fdcdd4aa4097e-1hbywnw6.vpce-svc-0b2f119acb23c050e.us-east-1.vpce.amazonaws.com.
172.31.4.218
172.31.21.82

检查记录的 CNAME 值，看看它是否与要删除的端点的 DNS 名称相匹配。

（可选）要验证端点的 DNS 名称，请完成以下步骤：

打开 VPC 控制台。
选择 Endpoints（端点）。
选择 Details（详细信息）选项卡，然后查看列出的 DNS 名称。

检查 Amazon RDS 代理是否创建了端点

对 Amazon RDS 代理端点执行名称查询。然后，完成前面为 Aurora Serverless 提供的步骤。如果有多个 Amazon RDS 代理端点，请对每个端点重复这些步骤。

检查 Amazon Redshift 是否创建了端点

完成以下步骤：

打开 Amazon Redshift 控制台。
在导航窗格中，选择 Configurations（配置）。
检查在 Redshift 托管的 VPC 端点下是否配置了任何端点。

删除资源

确定创建端点的服务后，删除该资源。然后，该服务会自动删除该端点。

对于 Network Firewall 创建的端点，删除网络防火墙。

对于由 Aurora Serverless 创建的端点，删除 Aurora Serverless 数据库集群。

对于由 Amazon RDS 代理创建的端点，删除 RDS 代理。

对于 Amazon Redshift 托管的 VPC 端点，使用 Amazon Redshift 控制台或 delete-endpoint-access AWS CLI 命令。

主题: Networking & Content Delivery
标签: Amazon VPC
语言: 中文 (简体)

AWS 官方已更新 6 个月前

没有评论