Warum kann ich meinen vom Anforderer verwalteten VPC-Endpunkt nicht löschen?

Letzte Aktualisierung: 15.04.2022

Warum kann ich meinen vom Anforderer verwalteten Amazon Virtual Private Cloud (Amazon VPC)-Endpunkt nicht löschen?

Kurzbeschreibung

Beim Löschen eines Schnittstellen-VPC-Endpunkts wird möglicherweise der folgende Fehler angezeigt:

vpce-0399e6e9fd2f4e430: Der Vorgang ist für vom Anforderer verwaltete VPC-Endpunkte für den Service com.amazonaws.vpce.region.vpce-svc-04c257ad126576358 nicht zulässig

Dieser Fehler tritt auf, wenn der gelöschte Endpunkt ein vom Anforderer verwalteter VPC-Endpunkt ist. Vom Anforderer verwaltete Endpunkte werden von jedem der von AWS verwalteten Service (z. B. Amazon Aurora Serverless) erstellt. Um diesen Endpunkttyp zu löschen, müssen Sie den von AWS verwalteten Service festlegen, der den Endpunkt erstellt hat. Nachdem Sie den Service identifiziert haben, müssen Sie diese Ressource löschen, bevor Sie den Endpunkt löschen können.

Auflösung

Gehen Sie wie folgt vor, um zu überprüfen, welcher von AWS verwaltete Service einen Endpunkt erstellt hat:

Wenn der Endpunkt innerhalb von 90 Tagen erstellt wurde

Wenn der Endpunkt innerhalb von 90 Tagen nach dem Versuch, ihn zu löschen, erstellt wurde, verwenden Sie AWS CloudTrail, um zu ermitteln, welcher Service ihn erstellt hat. Stellen Sie sicher, dass Sie die CloudTrail-Konsolenansicht auf die letzten 90 Tage der aufgezeichneten API-Aktivität (Verwaltungsereignisse) einstellen.

Zeigen Sie die CloudTrail-Ereignisse an wie folgt:

1.    Öffnen Sie die CloudTrail-Konsole.

2.    Wählen Sie im Navigationsbereich Event history (Ereignisverlauf) aus.

3.    Wählen Sie in der Dropdown-Liste den Namen der Resource (Ressource) aus und fügen Sie dann die VPC-Endpunkt-ID (z. B. vpce-xxxxxx) im Filter hinzu.

4.    Suchen Sie nach dem API-Aufruf CreateVpcEndpoint und überprüfen Sie den Benutzernamen. Für Endpunkte, die von Aurora Serverless erstellt wurden, wird der Benutzername als RDSAuroraServeless angezeigt. Für Endpunkte, die von Amazon Relational Database Service (Amazon RDS)-Proxy erstellt wurden, wird der Benutzername als RDSSlrAssumptionSession angezeigt. Um die Endpunkte zu identifizieren, die von AWS Network Firewall erstellt wurden, zeigen Sie den Ereignisdatensatz für den API-Aufruf CreateVpcEndpoint an und suchen Sie nach Tags mit dem Schlüssel-Wert Firewall und AWSNetworkFirewallManaged:

"Tag": [
                  {
                        "Value": ""arn:aws:network-firewall:<region>:<account number>:firewall/<firewall name>",
                        "tag": 1,
                        "Key": "Firewall"

                    },
                    {
                        "Value": true,
                        "tag": 2,
                        "Key": "AWSNetworkFirewallManaged"
                    }

Wenn der Endpunkt älter als 90 Tage ist

Um zu ermitteln, ob AWS Network Firewall den Endpunkt erstellt hat:

1.    Öffnen Sie die VPC-Konsole und wählen Sie dann Endpoints (Endpunkte) aus.

2.    Wählen Sie den Endpunkt und dann Tags aus.

3.    Prüfen Sie Folgendes:

  • Der Key (Schlüssel) ist AWSNetworkFirewallManaged und der Value (Wert) ist True (Richtig).
  • Der Key (Schlüssel) ist Firewall und der Value (Wert) ist Ihre Network Firewall ARN arn:aws:network-firewall:region:account number:firewall/firewall name.

Sie können auch Endpunkte anzeigen, die von der AWS Network Firewall erstellt wurden, indem Sie Folgendes tun:

1.    Öffnen Sie die VPC-Konsole und wählen Sie dann Firewalls aus.

2.    Wählen Sie Firewall details (Details zur Firewall).

So ermitteln Sie, ob Aurora Serverless den Endpunkt erstellt hat:

Wenn der vom Anforderer verwaltete Schnittstellenendpunkt von Aurora Serverless nach 90 Tagen erstellt wird, führen Sie eine Namenssuche für den Endpunkt der vorhandenen Aurora-Serverless-Datenbanken durch. Dadurch wird der CNAME als DNS-Name des VPC-Schnittstellenendpunkts zurückgegeben. Damit können Sie überprüfen, ob der Endpunkt von Aurora Serverless erstellt wurde.

Sie haben beispielsweise einen Schnittstellen-VPC-Endpunkt mit der ID vpce-0013b47d434ae7786, den Sie nicht löschen können. Gehen Sie wie folgt vor, um zu überprüfen, ob Aurora Serverless den Endpunkt erstellt hat:

1.    Führen Sie eine Namenssuche auf dem Aurora-Serverless-Endpunkt durch:

dig test1.proxy-chnis5vssnuj.us-east-1.rds.amazonaws.com +short
vpce-0ce9fdcdd4aa4097e-1hbywnw6.vpce-svc-0b2f119acb23c050e.us-east-1.vpce.amazonaws.com.
172.31.4.218
172.31.21.82

2.    Überprüfen Sie den CNAME-Wert des Datensatzes, der mit dem DNS-Namen des Endpunkts übereinstimmt, den Sie löschen möchten. Dies bestätigt, dass dieser Endpunkt von Aurora Serverless erstellt wurde.

Hinweis: Überprüfen Sie den DNS-Namen des Endpunkts wie folgt:

1.    Öffnen Sie die VPC-Konsole und wählen Sie dann Endpoints (Endpunkte) aus.

2.    Wählen Sie die Registerkarte Details und sehen Sie sich die aufgeführten DNS names (DNS-Namen) an.

Um festzustellen, ob RDS Proxy den Endpunkt erstellt hat:

Führen Sie die vorherigen Schritte für Aurora Serverless aus. Wenn mehrere RDS-Proxy- und Aurora-Serverless-Endpunkte vorhanden sind, wiederholen Sie die Schritte für jeden Endpunkt.

Löschen des Services

Nachdem Sie den Service identifiziert haben, der den Endpunkt erstellt hat, löschen Sie den Service (und den entsprechenden Endpunkt) mit den folgenden Schritten:

  1. Löschen Sie die Netzwerk-Firewall, um den von der Netzwerk-Firewall erstellten Endpunkt zu löschen.
  2. Löschen Sie den Aurora-Serverless-DB-Cluster.
  3. Löschen Sie den RDS Proxy, um den von RDS Proxy erstellten Endpunkt zu löschen.

War dieser Artikel hilfreich?


Benötigen Sie Hilfe zur Fakturierung oder technischen Support?