¿Por qué no puedo eliminar el punto de conexión de VPC administrado por el solicitante?

Descripción corta

Al eliminar un punto de conexión de VPC de interfaz, es posible que reciba el siguiente error:

vpce-0399e6e9fd2f4e430: Operation is not allowed for requester-managed VPC endpoints for the service com.amazonaws.vpce.region.vpce-svc-04c257ad126576358 (vpce-0399e6e9fd2f4e430: no se permite la operación para los puntos de conexión de VPC administrados por el solicitante para el servicio com.amazonaws.vpce.region.vpce-svc-04c257ad126576358)

Este error se produce cuando el punto de conexión que se elimina es un punto de conexión de VPC administrado por el solicitante. Los puntos de conexión administrados por el solicitante los crean cualquiera de los servicios administrados por AWS (por ejemplo, Amazon Aurora Serverless). Para eliminar este tipo de punto de conexión, debe determinar el servicio administrado por AWS que creó el punto de conexión. Después de identificar el servicio, primero debe eliminar ese recurso antes de poder eliminar el punto de conexión.

Resolución

Para comprobar qué servicio administrado por AWS creó un punto de conexión, haga lo siguiente:

Si el punto de conexión se creó en un plazo no superior a 90 días

Si el punto de conexión se creó dentro de los 90 días posteriores al intento de eliminarlo, utilice AWS CloudTrail para determinar qué servicio lo creó. Asegúrese de configurar la vista de la consola de CloudTrail en los últimos 90 días de actividad de API registrada (eventos de administración).

Para ver los eventos de CloudTrail, haga lo siguiente:

1.    Abra la consola de CloudTrail.

2.    En el panel de navegación, elija Event history (Historial de eventos).

3.    En la lista desplegable, seleccione el nombre del recurso y, a continuación, especifique el ID del punto de conexión de VPC (por ejemplo, vpce-xxxxxx) en el filtro.

4.    Busque la llamada a la API CreateVpcEndpoint y compruebe el nombre de usuario. En el caso de los puntos de conexión creados por Aurora Serverless, el nombre de usuario se muestra como RDSAuroraServeless. Sin embargo, en los puntos de conexión creados por el proxy de Amazon Relational Database Service (Amazon RDS), el nombre de usuario se muestra como RDSSlrAssumptionSession. Para identificar los puntos de conexión creados por AWS Network Firewall, consulte el registro de eventos de la llamada a la API CreateVpcEndpoint y busque etiquetas con el valor de clave Firewall y AWSNetworkFirewallManaged:

"Tag": [
                  {
                        "Value": ""arn:aws:network-firewall:<region>:<account number>:firewall/<firewall name>",
                        "tag": 1,
                        "Key": "Firewall"

                    },
                    {
                        "Value": true,
                        "tag": 2,
                        "Key": "AWSNetworkFirewallManaged"
                    }

Si el punto de conexión tiene más de 90 días

Para determinar si AWS Network Firewall creó el punto de conexión:

1.    Abra la consola de VPC y, a continuación, seleccione Endpoints (Puntos de conexión).

2.    Seleccione el punto de conexión y, a continuación, seleccione Tags (Etiquetas).

3.    Compruebe lo siguiente:

• El valor Key (Clave) debe ser AWSNetworkFirewallManaged y Value (Valor) True (Verdadero).
• El valor Key (Clave) es Firewall y Value (Valor) es el nombre arn:aws:network-firewall:region:account number:firewall/firewall de su ARN de Network Firewall.

También puede ver los puntos de conexión creados por AWS Network Firewall de la siguiente manera:

1.    Abra la consola de VPC y, a continuación, seleccione Firewalls.

2.    Seleccione Firewall details (Detalles del firewall).

Para determinar si Aurora Serverless creó el punto de conexión:

Si Aurora Serverless creó el punto de conexión de interfaz administrada por el solicitante en un plazo superior a 90 días, realice una búsqueda de nombre para el punto de conexión de bases de datos de Aurora Serverless existente. Esto devuelve el valor CNAME como el nombre de DNS del punto de conexión de VPC de interfaz. Puede usar este valor para confirmar si Aurora Serverless creó el punto de conexión.

Por ejemplo, tiene un punto de conexión de VPC de interfaz con el ID vpce-0013b47d434ae7786 que no puede eliminar. Para comprobar si Aurora Serverless creó el punto de conexión, haga lo siguiente:

1.    Realice una búsqueda de nombre en el punto de conexión de Aurora Serverless:

dig test1.proxy-chnis5vssnuj.us-east-1.rds.amazonaws.com +short
vpce-0ce9fdcdd4aa4097e-1hbywnw6.vpce-svc-0b2f119acb23c050e.us-east-1.vpce.amazonaws.com.
172.31.4.218
172.31.21.82

2.    Compruebe que el valor CNAME del registro coincida con el nombre de DNS del punto de conexión que intenta eliminar. Esto confirma que este punto de conexión lo creó Aurora Serverless.

Nota: para verificar el nombre de DNS del punto de conexión, haga lo siguiente:

1.    Abra la consola de VPC y, a continuación, seleccione Endpoints (Puntos de conexión).

2.    Seleccione la pestaña Details (Detalle) y compruebe los nombres de DNS que figuran.

Para determinar si el proxy RDS creó el punto de conexión:

Complete los pasos anteriores proporcionados para Aurora Serverless. Si hay varios puntos de conexión de RDS Proxy y Aurora sin servidor, repita los pasos para cada punto de conexión.

Para determinar si se trata de un punto de conexión de VPC administrado por Redshift:

1.    Abra la consola de Amazon Redshift y, a continuación, seleccione Configurations (Configuraciones).

2.    Compruebe si hay puntos de conexión configurados en Redshift-managed VPC endpoints (Puntos de conexión de VPC administrados por Redshift).

Eliminar el servicio

Después de identificar el servicio que creó el punto de conexión, elimine el servicio (y el punto de conexión correspondiente).

• Elimine el firewall de red para eliminar el punto de conexión creado por el firewall de red.
• Eliminar un clúster de base de datos de Aurora Serverless.
• Elimine el proxy RDS para eliminar el punto de conexión creado por el proxy RDS.
• Elimine los puntos de conexión de VPC administrados por Redshift mediante la consola de Redshift o utilice el comando delete-endpoint-access de la Interfaz de la línea de comandos de AWS (AWS CLI).

Nota: Si recibe errores mientras ejecuta los comandos de AWS CLI, asegúrese de que está utilizando la versión más reciente de dicha interfaz.

---