Shiva vous aide à résoudre
les problèmes de connectivité entre
un compartiment S3 et un VPC

Shiva_S3_Thumbnail

J'utilise un point de terminaison de passerelle pour me connecter à un compartiment Amazon Simple Storage Service (Amazon S3) à partir d'une instance Amazon Elastic Compute Cloud (Amazon EC2) dans Amazon Virtual Private Cloud (Amazon VPC), mais cela ne fonctionne pas. Comment résoudre ce problème ?

Il est possible que vous rencontriez des problèmes de connectivité avec le point de terminaison d'un VPC passerelle en raison de règles de sécurité ou d'accès au réseau qui autorisent la connexion à Amazon S3 à partir du VPC Amazon. Vérifiez les ressources et les configurations suivantes pour établir un diagnostic et résoudre vos problèmes de connectivité :

Paramètres DNS dans votre VPC

Important : la résolution DNS doit être activée dans votre VPC (consultez Limitations de point de terminaison de passerelle). Si vous utilisez votre propre serveur DNS, assurez-vous que les demandes DNS adressées aux services AWS se résolvent en adresses IP gérées par AWS.

  1. Connectez-vous à la console Amazon VPC.
  2. Dans le volet de navigation, sous Cloud privé virtuel, choisissez Your VPCs (Vos VPC).
  3. Dans la liste des ressources, choisissez le VPC Amazon pour lequel vous rencontrez des problèmes de connectivité à S3.
  4. Dans la vue Summary (Récapitulatif), assurez-vous de définir DNS resolution (Résolution DNS) sur yes (oui). Consultez Mise à jour de la prise en charge de DNS pour votre VPC.

Paramètres de la table de routage vers Amazon S3

  1. Connectez-vous à la console Amazon VPC.
  2. Dans le volet de navigation, sous Cloud privé virtuel, choisissez Route Tables (Tables de routage).
  3. Choisissez la table de routage associée au sous-réseau VPC pour lequel vous rencontrez des problèmes de connectivité à S3.
  4. Choisissez la vue Routes.
  5. Assurez-vous qu'il existe une route vers Amazon S3 qui utilise le point de terminaison d'un VPC passerelle. Consultez Routage des points de terminaison de passerelle.

Règles sortantes des groupes de sécurité

  1. Connectez-vous à la console Amazon EC2.
  2. Dans le volet de navigation, sous Réseau et sécurité, choisissez Groupes de sécurité.
  3. Dans la liste des ressources, choisissez le groupe de sécurité associé à l'instance que vous essayez de connecter à Amazon S3.
  4. Dans la vue Outbound (Sortant), vérifiez que les règles de sortie disponibles permettent le trafic vers Amazon S3.

La règle sortante par défaut autorise tout le trafic sortant. Si le groupe de sécurité ne dispose pas de la règle sortante par défaut mais de règles plus restrictives, assurez-vous d'ajouter une des règles sortantes suivantes :

Règles de liste ACL réseau

  1. Connectez-vous à la console Amazon VPC.
  2. Dans le volet de navigation, sous Security (Sécurité), choisissez Network ACLs (ACL réseau).
  3. Dans la liste des ressources, choisissez la liste ACL réseau associée au sous-réseau VPC pour lequel vous rencontrez des problèmes de connectivité à S3.
  4. Dans la vue Inbound Rules (Règles entrantes), assurez-vous que les règles autorisent le trafic de retour entrant depuis Amazon S3 sur les ports TCP éphémères 1024-65535.
  5. Dans la vue Outbound Rules (Règles sortantes), vérifiez que les règles permettent le trafic vers Amazon S3.

Remarque : par défaut, les listes ACL réseau permettent le trafic IPv4 entrant et sortant et, le cas échéant, le trafic IPv6. Si vos règles ACL réseau limitent le trafic, vous devez spécifier le bloc d'adresses CIDR (plage d'adresses IP) pour S3.

Stratégie de point de terminaison d'un VPC passerelle

  1. Connectez-vous à la console Amazon VPC.
  2. Dans le volet de navigation, sous Cloud privé virtuel, choisissez Endpoints (Points de terminaison).
  3. Dans la liste des ressources, choisissez le point de terminaison associé au sous-réseau VPC pour lequel vous rencontrez des problèmes de connectivité à S3.
  4. Choisissez la vue Policy (Stratégie).
  5. Vérifiez la stratégie de point de terminaison. Vérifiez si la stratégie bloque l'accès au compartiment S3 ou à l'utilisateur IAM affecté par les problèmes de connectivité. Modifiez la stratégie pour activer l'accès au compartiment S3 ou à l'utilisateur IAM. Consultez Utilisation des stratégies de point de terminaison pour Amazon S3.

Stratégie de compartiment S3

  1. Connectez-vous à la console Amazon S3.
  2. Choisissez le compartiment S3 pour lequel vous rencontrez des problèmes de connectivité.
  3. Choisissez la vue Autorisations.
  4. Choisissez Stratégie de compartiment.
  5. Assurez-vous que la stratégie de compartiment autorise l'accès depuis le point de terminaison d'un VPC passerelle et le VPC que vous souhaitez connecter. Modifiez la stratégie pour activer l'accès depuis le point de terminaison d'un VPC passerelle et le VPC. Consultez Utilisation de stratégies de compartiment Amazon S3.

Remarque : votre stratégie de compartiment peut limiter l'accès seulement depuis une adresse IP publique spécifique ou une adresse IP Elastic associée à une instance dans un VPC Amazon. Vous ne pouvez pas limiter l'accès en fonction des adresses IP privées associées à des instances. Consultez Restriction de l'accès à des adresses IP spécifiques.

Si vous utilisez un serveur proxy, assurez-vous d'autoriser les connexions via votre VPC. Si vous n'utilisez pas de serveur proxy pour S3, utilisez la commande suivante pour contourner le serveur proxy lors de l'accès à votre compartiment S3.

export no_proxy = mybucket.s3-us-west-2.amazonaws.com

Stratégie IAM

  1. Connectez-vous à la console IAM AWS.
  2. Choisissez le rôle ou l'utilisateur IAM utilisé pour accéder au compartiment S3 à partir de l'instance.
  3. Choisissez la vue Autorisations.
  4. Assurez-vous que les utilisateurs associés au rôle ou à l'utilisateur IAM disposent des autorisations correctes pour accéder à Amazon S3. Consultez Comment restreindre l'accès à un compartiment Amazon S3 à un rôle IAM spécifique et Exemple de procédure détaillée : utilisation de stratégie d'utilisateur pour contrôler l'accès à votre compartiment.

Configuration AWS CLI

Assurez-vous de configurer l'interface de ligne de commande AWS (AWS CLI) et de définir une région AWS par défaut. Utilisez la commande aws configure pour spécifier un nom de région par défaut.

Si vous ne souhaitez pas spécifier de région par défaut ou si vous souhaitez substituer la région par défaut, assurez-vous de définir l'option --region dans chaque commande AWS CLI.


Cette page vous a-t-elle été utile ? Oui | Non

Retour au Centre de connaissances AWS Support

Vous avez besoin d'aide ? Consultez le site du Centre AWS Support

Date de publication : 14/12/2017

Date de mise à jour : 31/08/2018