¿Cómo puedo solucionar los problemas de conectividad de mis puntos de enlace de puerta de enlace de Amazon VPC?

Breve descripción

Los puntos de enlace de VPC de puerta de enlace le permiten conectarse de forma privada a Amazon Simple Storage Service (Amazon S3) y Amazon DynamoDB desde su Amazon VPC. Los problemas de conectividad de los puntos de enlace de VPC de puerta de enlace pueden deberse al acceso a la red o a las reglas de seguridad que permiten la conexión.

Para solucionar problemas de conectividad, utilice el Analizador de accesibilidad. Compruebe también las siguientes configuraciones:

• Configuraciones de la región de AWS
• Resolución de DNS
• Configuración de la tabla de enrutamiento de subred
• Grupos de seguridad
• Reglas de las listas de control de acceso de la red (ACL de la red)
• Política de punto de enlace de Amazon VPC
• Política de bucket de Amazon S3
• Política de AWS Identity and Access Management (IAM)
• Flujo de tráfico a través del punto de enlace de la puerta de enlace

Solución

Nota: Si se muestran errores al ejecutar comandos de la Interfaz de la línea de comandos de AWS (AWS CLI), consulte Errores de solución de problemas de la AWS CLI. Además, asegúrese de utilizar la versión más reciente de la AWS CLI.

Uso del Analizador de accesibilidad

Utilice el Analizador de accesibilidad para solucionar los problemas de conectividad entre el origen y el punto de enlace de puerta de enlace. Para obtener más información, consulte ¿Cómo utilizo el Analizador de accesibilidad de Amazon VPC para solucionar problemas de conectividad con un recurso de Amazon VPC?

Comprobación de las configuraciones de la región

Los puntos de enlace de puerta de enlace solo están disponibles en la región en la que se crearon. Asegúrese de crear el punto de enlace de su puerta de enlace en la misma región que los buckets de Amazon S3 o las tablas de DynamoDB. Para encontrar la región de su bucket, ejecute el comando get-bucket-location de la AWS CLI.

Además, cuando utilice un SDK para acceder a un servicio desde el punto de enlace de la puerta de enlace, confirme la región. Asegúrese de que la región esté configurada en la misma ubicación que los recursos del servicio. Por ejemplo, utilice el objeto Config para Boto3 y aws configure para la AWS CLI..

Nota: Las solicitudes que se envían a una región incorrecta pueden provocar tiempos de espera o acceso al servicio a través de Internet. Esto depende de la tabla de enrutamiento que esté configurada en la subred de origen.

Comprobación de la resolución de DNS

Compruebe la configuración de DNS en su Amazon VPC. Debe activar la resolución de DNS en su Amazon VPC. Si usa su propio servidor DNS, asegúrese de que las solicitudes de DNS a los servicios de AWS se resuelvan en las direcciones IP que AWS mantiene.

Comprobación de la configuración de la tabla de enrutamiento de subred

Compruebe la configuración de la tabla de enrutamiento. Confirme que haya una ruta a Amazon S3 y DynamoDB que utilice el punto de enlace de VPC de la puerta de enlace.

Comprobación de los grupos de seguridad

Compruebe los grupos de seguridad asociados al origen que inicia las conexiones a Amazon S3 y DynamoDB. Confirme que las reglas de salida disponibles permiten el tráfico a Amazon S3 o DynamoDB. Si el grupo de seguridad tiene reglas más restrictivas que las reglas de salida predeterminadas, confirme una de las siguientes opciones:

• Hay una regla de salida que permite el tráfico al ID de la lista de prefijos asociada al punto de enlace de Amazon VPC de la puerta de enlace.
• Hay un bloque de CIDR específico del servicio (intervalo de direcciones IP) en el destino. Si no hay un bloque de CIDR específico de un servicio, no puede agregar un bloque de CIDR específico de un servicio. Se recomienda utilizar el ID de la lista de prefijos que proporciona el servicio, ya que AWS administra los intervalos de direcciones IP de la lista de prefijos.

Para ver los CIDR de IP públicas de Amazon S3 y DynamoDB en una región específica, ejecute el comando describe-prefix-lists de la AWS CLI. Sustituya example-Region por su región:

aws ec2 describe-prefix-lists --region <example-Region>

Comprobación de las reglas de las ACL de la red

Las ACL de la red de subred deben permitir las conexiones TCP entrantes y salientes a los CIDR de servicio de Amazon S3 o DynamoDB dentro de la región. Compruebe las reglas de las ACL de la red y confirme lo siguiente:

• En la vista Reglas de entrada, confirme que las reglas permiten el tráfico de retorno entrante desde el servicio al que intenta acceder en los puertos TCP efímeros 1024-65535.
• En la vista Reglas de salida, confirme que las reglas permiten el tráfico al bloque de CIDR del servicio (intervalo de direcciones IP) en HTTPS.

Nota: De forma predeterminada, las ACL de la red permiten todo el tráfico IPv4 e IPv6 entrante y saliente. Si las reglas de las ACL de la red restringen el tráfico, especifique el bloque de CIDR para el servicio para el que se creó el punto de enlace de la puerta de enlace. Se recomienda configurar las notificaciones para cuando cambien las direcciones IP de los servicios y utilizar scripts para actualizar automáticamente las reglas de las ACL de la red. Para obtener más información, consulte ¿Cómo puedo recibir notificaciones para comprobar si hay cambios en la dirección IP de Amazon S3?

Comprobación de la política de punto de enlace de Amazon VPC

Revise la política de punto de enlace de Amazon VPC. Cuando utilice una política de punto de enlace personalizada, confirme que la política asociada al punto de enlace permite el acceso para realizar acciones contra el servicio. La política de punto de enlace predeterminada concede total acceso al servicio. Para obtener más información, consulte Control access to VPC endpoints using endpoint policies.

Comprobación de la política de buckets de Amazon S3

Revise la política de buckets de Amazon S3 y confirme que permite el acceso desde la puerta de enlace de punto de enlace de Amazon VPC y la Amazon VPC. Para obtener más información, consulte Control access using bucket policies.

Nota: Su política de bucket puede restringir el acceso solo desde una dirección IP elástica o pública específica que esté asociada a una instancia en una Amazon VPC. Su política de bucket puede restringir el acceso en función de las direcciones IP privadas asociadas a las instancias. Para obtener más información, consulte Administración del acceso en función de direcciones IP específicas.

Si usa un servidor proxy, confirme que sus conexiones de Amazon VPC están permitidas a través del servidor. Si no usa un servidor proxy para Amazon S3, ejecute el siguiente comando para omitir el servidor proxy cuando acceda a su bucket. Sustituya example-Region por su región:

export no_proxy = mybucket.s3.<example-Region>.amazonaws.com

Comprobación de la política de IAM

Compruebe la política de IAM y confirme que los usuarios asociados al usuario o rol de IAM tienen los permisos necesarios para acceder a Amazon S3. Para obtener más información, consulte How to restrict Amazon S3 bucket access to a specific IAM role y Controlar el acceso a un bucket con las políticas de usuario.

Comprobación del flujo de tráfico en un punto de enlace de puerta de enlace

Para comprobar si el tráfico pasa por un punto de enlace de puerta de enlace o un punto de enlace de interfaz, consulte How do I check if my Amazon S3 traffic is going through a gateway VPC endpoint or an interface VPC endpoint?

Información relacionada

Recursos de AWS para administración de acceso