Pourquoi ne puis-je pas me connecter à un compartiment S3 à l'aide d'un point de terminaison d'un VPC passerelle ?

Dernière mise à jour : 23/11/2020

J'utilise un point de terminaison de passerelle pour me connecter à un compartiment Amazon Simple Storage Service (Amazon S3) à partir d'une instance Amazon Elastic Compute Cloud (Amazon EC2) dans Amazon Virtual Private Cloud (Amazon VPC). Cependant, la connexion ne fonctionne pas. Comment puis-je résoudre ce problème ?

Résolution

Remarque : Si vous recevez des erreurs lors de l'exécution de commandes depuis l'interface de ligne de commande AWS (AWS CLI), assurez-vous d'utiliser la version la plus récente d'AWS CLI.

Les problèmes de connectivité avec le point de terminaison d'un VPC passerelle peuvent être causés par des règles de sécurité ou d'accès au réseau qui autorisent la connexion à Amazon S3 à partir du VPC Amazon. Vérifiez les ressources et configurations suivantes pour établir un diagnostic et résoudre vos problèmes de connectivité.

Configurations de région

Vous pouvez uniquement appeler des objets Amazon S3 qui se trouvent dans la même région que le point de terminaison d’un VPC passerelle Amazon S3. Confirmez que vos objets et votre point de terminaison se trouvent dans la même région.

Paramètres DNS dans votre VPC

Important : La résolution DNS doit être activée dans votre VPC (consultez Limitations de point de terminaison de passerelle). Si vous utilisez votre propre serveur DNS, assurez-vous que les demandes DNS adressées aux services AWS se résolvent en adresses IP gérées par AWS.

  1. Ouvrez la console Amazon VPC.
  2. Dans le volet de navigation, sous Cloud privé virtuel, choisissez Vos VPC.
  3. Dans la liste des ressources, choisissez le VPC Amazon présentant des problèmes de connectivité à S3.
  4. Dans la vue Récapitulatif, définissez la Résolution DNS sur oui.

Paramètres de la table de routage vers Amazon S3

  1. Ouvrez la console Amazon VPC.
  2. Dans le volet de navigation, sous Cloud privé virtuel, choisissez Tables de routage.
  3. Choisissez la table de routage associée au sous-réseau VPC pour lequel vous rencontrez des problèmes de connectivité à S3.
  4. Choisissez la vue Routes.
  5. Confirmez qu'il existe une route vers Amazon S3 qui utilise le point de terminaison d'un VPC passerelle.

Règles sortantes des groupes de sécurité

  1. Ouvrez la console Amazon EC2.
  2. Dans le volet de navigation, sous Réseau et sécurité, choisissez Groupes de sécurité.
  3. Dans la liste des ressources, choisissez le groupe de sécurité associé à l'instance que vous utilisez pour vous connecter à Amazon S3.
  4. Dans la vue Sortantes, confirmez que les règles de sortie disponibles permettent le trafic vers Amazon S3.

La règle sortante par défaut autorise tout le trafic sortant. Si le groupe de sécurité a des règles plus restrictives que la règle sortante par défaut, ajoutez l'une des règles suivantes :

Pour plus d'informations, consultez la section Modification de votre groupe de sécurité.

Règles de l’ACL réseau

  1. Ouvrez la console Amazon VPC.
  2. Dans le volet de navigation, sous Sécurité, choisissez ACL réseau.
  3. Dans la liste des ressources, choisissez la liste de contrôle d'accès réseau (ACL réseau) associée au sous-réseau VPC présentant des problèmes de connectivité à S3.
  4. Dans la vue Règles entrantes, confirmez que les règles autorisent le trafic de retour entrant depuis Amazon S3 sur les ports TCP éphémères 1024-65535.
  5. Dans la vue Règles sortantes, confirmez que les règles permettent le trafic vers Amazon S3.
Remarque : Par défaut, les ACL réseau autorisent tout le trafic IPv4 entrant et sortant. Les ACL réseau autorisent également tout le trafic IPv6 entrant et sortant, le cas échéant. Si vos règles ACL réseau limitent le trafic, vous devez spécifier le bloc CIDR (plage d'adresses IP) pour Amazon S3.

Stratégie de point de terminaison d'un VPC passerelle

Important : Les points de terminaison ne actuellement prennent pas en charge les demandes inter-régions. Assurez-vous que votre point de terminaison se trouve dans la même région que votre compartiment. Vous pouvez utiliser la commande get-bucket-location pour trouver l'emplacement de votre compartiment.

  1. Ouvrez la console Amazon VPC.
  2. Dans le volet de navigation, sous Cloud privé virtuel, choisissez Points de terminaison.
  3. Dans la liste des ressources, choisissez le point de terminaison associé au sous-réseau VPC présentant des problèmes de connectivité à S3.
  4. Choisissez la vue Stratégie.
  5. Passez en revue la stratégie de point de terminaison. Vérifiez si la stratégie bloque l'accès au compartiment S3 ou à l'utilisateur AWS Identity and Access Management (IAM) affecté par les problèmes de connectivité. Si besoin, modifiez la stratégie pour activer l'accès au compartiment S3 ou à l'utilisateur IAM. Pour plus d'informations, consultez la section Utilisation des stratégies de point de terminaison pour Amazon S3.

Stratégie de compartiment S3

  1. Ouvrez la console Amazon S3.
  2. Choisissez le compartiment S3 présentant des problèmes de connectivité.
  3. Choisissez la vue Autorisations.
  4. Choisissez Stratégie de compartiment.
  5. Assurez-vous que la stratégie de compartiment autorise l'accès depuis le point de terminaison d'un VPC passerelle et le VPC que vous souhaitez connecter. Modifiez la stratégie pour activer l'accès depuis le point de terminaison d'un VPC passerelle et le VPC. Pour plus d'informations, consultez la section Utilisation des stratégies de compartiment Amazon S3.

Remarque : Votre stratégie de compartiment peut limiter l'accès seulement depuis une adresse IP publique spécifique ou Elastic associée à une instance dans un VPC. Vous ne pouvez pas limiter l'accès en fonction des adresses IP privées associées à des instances. Pour plus d'informations, consultez la section Limitation de l'accès à des adresses IP spécifiques.

Si vous utilisez un serveur proxy, assurez-vous d'autoriser les connexions via votre VPC. Si vous n'utilisez pas de serveur proxy pour S3, utilisez la commande suivante pour contourner le serveur proxy lors de l'accès à votre compartiment S3 :

export no_proxy = mybucket.s3.us-west-2.amazonaws.com

Remarque : Assurez-vous de remplacer la valeur « eu-west-2 » par votre région.

Stratégie IAM

  1. Ouvrez la console IAM AWS.
  2. Choisissez le rôle ou l'utilisateur IAM utilisé pour accéder au compartiment S3 à partir de l'instance.
  3. Choisissez la vue Autorisations.
  4. Assurez-vous que les utilisateurs associés au rôle ou à l'utilisateur IAM disposent des autorisations appropriées pour accéder à Amazon S3. Pour plus d'informations, consultez les sections Comment limiter l'accès au compartiment Amazon S3 à un rôle IAM spécifique et Contrôle de l'accès à un compartiment avec des stratégies utilisateur.

Configuration AWS CLI

Configurez AWS CLI et définissez une région AWSpar défaut. Utilisez la commande aws configure pour spécifier un Nom de région par défaut. Vous pouvez également définir l'option --region dans chaque commande d’AWS CLI si :

  • vous ne souhaitez pas spécifier de région par défaut ;
    -OU-
  • vous souhaitez remplacer la région par défaut.

Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?