如何对不同账户中 Amazon VPC 资源之间的网络连接问题进行故障排除？

解决方法

要对不同账户中 Amazon VPC 资源之间的网络连接问题进行故障排除，请使用 Reachability Analyzer。

Reachability Analyzer 会检查以下组件中是否存在错误配置：

• 安全组
• 网络访问控制列表（网络 ACL）
• 路由表

为 Reachability Analyzer 配置组织访问权限

完成以下步骤：

1. 打开 AWS Network Manager 控制台。
   **注意：**确保您使用的是 AWS Organizations 账户。
2. 在导航窗格的 Monitoring and troubleshooting（监控和故障排除）下，在 Reachability Analyzer 下选择 Settings（设置）。
3. 要允许 Reachability Analyzer 对您组织中的所有账户执行操作，请在 Trusted Access（可信访问）设置中选择 Turn on trusted access（开启可信访问）。
4. 在 IAM role deployments status（IAM 角色部署状态）部分中，确认每个成员账户的 Console role status（控制台角色状态）均显示为 Succeeded（成功）。
   **注意：**部署可能需要几分钟。刷新直到所有账户均成功。
5. 在 Delegated administrators（委派管理员）部分中，选择 Register delegated administrator（注册委派管理员）。
6. 选择要注册的账户，然后选择 Register delegated administrator（注册委派管理员）。
   **注意：**委派管理员账户拥有跨账户执行 Reachability Analyzer 操作的权限。

创建并分析跨账户路径

要针对组织中任何账户的源和目标定义路径并运行分析，请使用您组织的 AWS 管理账户。要针对组织中除管理账户外的任何账户的源和目标定义路径并运行分析，请使用委派管理员账户。

要通过中转网关分析不同账户中两个 Amazon Elastic Compute Cloud (Amazon EC2) 实例之间的网络连接，请创建并分析路径。对于 Source Type（源类型）和 Destination Type（目标类型），选择 Instances（实例）。

路径分析完成后，查看结果。分析会根据您的网络配置显示源是否能够访问目标。

如果路径不可达，Reachability Analyzer 会提供详细原因和说明代码，以帮助您识别并修复网络配置或权限问题。

相关信息

Visualize and diagnose network reachability across AWS accounts using Reachability Analyzer（使用 Reachability Analyzer 可视化和诊断跨 AWS 账户的网络可达性）

如何使用 Amazon VPC Reachability Analyzer 来解决 Amazon VPC 资源的连接问题？

Reachability Analyzer 的跨账户分析