為什麼無法刪除請求者管理的 VPC 端點？

簡短描述

當您嘗試刪除介面 VPC 端點時，可能會收到以下錯誤：

"vpce-0399e6e9fd2f4e430: Operation is not allowed for requester-managed VPC endpoints for the service com.amazonaws.vpce.region.vpce-svc-04c257ad126576358."

當您要刪除的端點是請求者管理的 VPC 端點時，就會收到此錯誤。AWS 受管服務 (例如 Amazon Aurora Serverless) 會建立請求者管理的端點。若要刪除此類端點，您必須先識別建立該端點的 AWS 受管服務，並刪除該資源。接著，最初建立該端點的 AWS 受管服務會自動刪除該端點。

解決方法

**注意：**如果您在執行 AWS Command Line Interface (AWS CLI) 命令時收到錯誤訊息，請參閱對 AWS CLI 錯誤進行疑難排解。此外，請確定您使用的是最新的 AWS CLI 版本。

識別在過去 90 天內建立端點的 AWS 服務

若要確定建立端點的服務，請使用 AWS CloudTrail。確保將 CloudTrail 主控台檢視設定為過去 90 天記錄的 API 活動 (管理事件)。

若要查看 CloudTrail 事件，請完成以下步驟：

1. 開啟 CloudTrail console (CloudTrail 主控台)。
2. 在導覽窗格中，選擇 Event history (事件歷史記錄)。
3. 選取您的資源名稱。然後，在資源名稱篩選器，輸入 VPC 端點 ID，例如 vpce-######。
4. 在 CreateVpcEndpoint API 呼叫中，檢查 Username (使用者名稱) 值。若是由 Aurora Serverless 所建立的端點，username (使用者名稱) 為 RDSAuroraServeless。若是由 Amazon Relational Database Service (Amazon RDS) Proxy 建立的端點，username (使用者名稱) 為 RDSSlrAssumptionSession。
5. 若要識別由 AWS Network Firewall 建立的端點，請查看 CreateVpcEndpoint API 呼叫的事件記錄。然後，檢查包含 Firewall 和 AWSNetworkFirewallManaged 鍵的標籤。
   範例：

   {
       "Tag": [
           {
               "Value": "arn:aws:network-firewall:region:account number:firewall/firewall name",
               "tag": 1,
               "Key": "Firewall"
           },
           {
               "Value": true,
               "tag": 2,
               "Key": "AWSNetworkFirewallManaged"
           }
       ]
   }

識別 90 天前建立端點的 AWS 服務

檢查網路防火牆是否建立了端點

請完成下列步驟：

1. 開啟 VPC console (VPC 主控台)。
2. 選擇 Endpoints (端點)。
3. 選取端點，然後選擇 Tags (標籤) 索引標籤。
4. 如果您在 Tags (標籤) 中看到以下值，則表示網路防火牆已建立端點：
   Key (索引鍵) 為 AWSNetworkFirewallManaged，Value (值) 為 True。
   Key (索引鍵) 為 Firewall (防火牆)，Value (值) 為您的網路防火牆 ARN arn:aws:network-firewall:region:account number:firewall/firewall 名稱。

(選用) 若要確認網路防火牆是否有端點，請完成下列步驟：

1. 開啟 VPC console (VPC 主控台)。
2. 在導覽窗格中的 Network Firewall (網路防火牆) 下，選擇 Firewalls (防火牆)。
3. 選擇 Firewall details (防火牆詳細資訊)。
4. 查看防火牆組態詳細資訊。

檢查 Aurora Serverless 是否建立了端點

對現有 Aurora Serverless 資料庫的端點執行名稱查詢。如果傳回的正規名稱記錄 (CNAME) 與 VPC 介面端點 DNS 名稱一致，則 Aurora Serverless 已建立該端點。

例如，您有一個無法刪除，ID 為 vpce-0013b47d434ae7786 的介面 VPC 端點。若要確認 Aurora Serverless 是否建立了端點，請完成下列步驟：

1. 在 Aurora Serverless 端點上執行名稱尋找：

   dig test1.proxy-chnis5vssnuj.us-east-1.rds.amazonaws.com +short

   範例輸出結果：

   vpce-0ce9fdcdd4aa4097e-1hbywnw6.vpce-svc-0b2f119acb23c050e.us-east-1.vpce.amazonaws.com.
   172.31.4.218
   172.31.21.82

2. 檢查記錄的 CNAME 值，確認它是否與您想刪除的端點的 DNS 名稱相符。

(選用) 若要確認端點的 DNS 名稱，請完成下列步驟：

1. 開啟 VPC console (VPC 主控台)。
2. 選擇 Endpoints (端點)。
3. 選擇 Details (詳細資訊) 索引標籤，然後查看列出的 DNS 名稱。

檢查 Amazon RDS Proxy 是否建立了端點

執行 Amazon RDS Proxy 端點的名稱查詢。接著，完成上述針對 Aurora Serverless 所提供的步驟。如果有多個 Amazon RDS Proxy 端點，則對每個端點重複這些步驟。

檢查 Amazon Redshift 是否建立了端點

請完成下列步驟：

1. 開啟 Amazon Redshift console (Amazon Redshift 主控台)。
2. 在導覽窗格中，選擇 Configurations (組態)。
3. 檢查 Redshift-managed VPC endpoints (Redshift 管理的 VPC 端點) 下是否設定了任何端點。

刪除資源

在找出建立端點的服務後，刪除該資源。接著服務會自動刪除該端點。

若是由網路防火牆建立的端點，請刪除網路防火牆。

若是由 Aurora Serverless 建立的端點，請刪除 Aurora Serverless 資料庫叢集。

若是由 Amazon RDS Proxy 建立的端點，請刪除 RDS Proxy。

若是 Amazon Redshift 管理的 VPC 端點，請使用 Amazon Redshift 主控台或 delete-endpoint-access AWS CLI 命令。