Pourquoi ne puis-je pas supprimer le point de terminaison de mon VPC géré par le demandeur ?

Dernière mise à jour : 15-04-2022

Pourquoi ne puis-je pas supprimer mon point de terminaison sur cloud privé virtuel Amazon (Amazon VPC) géré par le demandeur ?

Brève description

Lors de la suppression d'un point de terminaison d'un VPC d'interface, l'erreur suivante peut s'afficher :

vpce-0399e6e9fd2f4e430 : L'opération n'est pas autorisée pour les points de terminaison d'un VPC gérés par le demandeur pour le service com.amazonaws.vpce.region.vpce-svc-04c257ad126576358

Cette erreur se produit lorsque le point de terminaison supprimé est un point de terminaison d'un VPC géré par le demandeur. Les points de terminaison gérés par les demandeurs sont créés par l'un des services gérés par AWS (par exemple, Amazon Aurora Serverless). Pour supprimer ce type de point de terminaison, vous devez déterminer le service géré par AWS qui a créé le point de terminaison. Après avoir identifié le service, vous devez supprimer cette ressource avant de pouvoir supprimer le point de terminaison.

Solution

Pour vérifier quel service géré par AWS a créé un point de terminaison, procédez comme suit :

Si le point final a été créé dans les 90 jours

Si le point de terminaison a été créé dans les 90 jours suivant la tentative de suppression, utilisez AWS CloudTrail pour déterminer quel service l'a créé. Assurez-vous de définir la vue de la console CloudTrail sur les 90 derniers jours d'activité d'API enregistrée (événements de gestion).

Pour afficher les événements CloudTrail, procédez comme suit :

1.    Ouvrez la console CloudTrail.

2.    Dans le volet de navigation, sélectionnez Historique des événements.

3.    Dans le menu déroulant, sélectionnez le nom de la ressource, puis ajoutez l'ID de point de terminaison du VPC (par exemple vpce-xxxxxx) dans le filtre.

4.    Recherchez l'appel d'API CreateVPCEndpoint et vérifiez le nom d'utilisateur. Pour les points finaux créés par Aurora Serverless, le nom d'utilisateur s'affiche sous la forme RDSAuroraServeless. Pour les points de terminaison créés par le proxy Amazon Relational Database Service (Amazon RDS), le nom d'utilisateur s'affiche sous la forme RDSSLRAssumptionSession. Pour identifier les points de terminaison créés par le pare-feu réseau AWS, affichez l'enregistrement d'événement pour l'appel d'API CreateVPCEndpoint et recherchez les balises dont la valeur de clé est Firewall etAWSNetworkFirewallManaged :

"Tag": [
                  {
                        "Value": ""arn:aws:network-firewall:<region>:<account number>:firewall/<firewall name>",
                        "tag": 1,
                        "Key": "Firewall"

                    },
                    {
                        "Value": true,
                        "tag": 2,
                        "Key": "AWSNetworkFirewallManaged"
                    }

Si le point de terminaison date de plus de 90 jours

Pour déterminer si le pare-feu réseau AWS a créé le point de terminaison :

1.    Ouvrez la console VPC, puis sélectionnez Points de terminaison.

2.    Sélectionnez le point de terminaison, puis Balises.

3.    Vérifiez les éléments suivants :

  • La clé est AWSNetworkFirewallManaged et la valeur est Vraie.
  • La clé est le pare-feu et la valeur est l'ARN de votre pare-feu réseau arn:aws:network-firewall:region:account number:firewall/firewall name.

Vous pouvez également afficher les points de terminaison créés par AWS Network Firewall en procédant comme suit :

1.    Ouvrez la console VPC, puis sélectionnez Pare-feux.

2.    Sélectionnez Détails du pare-feu.

Pour déterminer si Aurora Serverless a créé le point de terminaison :

Si le point de terminaison de l'interface gérée par le demandeur est créé par Aurora Serverless après 90 jours, effectuez une recherche de nom pour le point de terminaison des bases de données Aurora Serverless existantes. Cela renvoie le CNAME en tant que nom DNS du point de terminaison de l'interface VPC. Vous pouvez l'utiliser pour confirmer si le point de terminaison a été créé par Aurora Serverless.

Par exemple, vous avez un point de terminaison d'un VPC d'interface avec l'ID vpce-0013b47d434ae7786 que vous ne pouvez pas supprimer. Pour vérifier si Aurora Serverless a créé le point de terminaison, procédez comme suit :

1.    Effectuez une recherche de nom sur le point de terminaison Aurora Serverless :

dig test1.proxy-chnis5vssnuj.us-east-1.rds.amazonaws.com +short
vpce-0ce9fdcdd4aa4097e-1hbywnw6.vpce-svc-0b2f119acb23c050e.us-east-1.vpce.amazonaws.com.
172.31.4.218
172.31.21.82

2.    Vérifiez la valeur CNAME de l'enregistrement correspondant au nom DNS du point de terminaison que vous essayez de supprimer. Cela confirme que ce point de terminaison a été créé par Aurora Serverless.

Remarque : Pour vérifier le nom DNS du point de terminaison, procédez comme suit :

1.    Ouvrez la console VPC, puis sélectionnez Points de terminaison.

2.    Sélectionnez l'onglet Détails et affichez les noms DNS répertoriés.

Pour déterminer si le proxy RDS a créé le point de terminaison :

Effectuez les étapes précédentes fournies pour Aurora Serverless. S'il existe plusieurs points de terminaison RDS Proxy et Aurora Serverless, répétez les étapes pour chaque point de terminaison.

Supprimer le rôle de service

Après avoir identifié le service qui a créé le point de terminaison, supprimez le service (et le point de terminaison correspondant) en procédant comme suit :

  1. Supprimez le pare-feu réseau pour supprimer le point final créé par le pare-feu réseau.
  2. Supprimez le cluster Aurora Serverless DB.
  3. Supprimez le proxy RDS pour supprimer le point de terminaison créé par le proxy RDS.

Cet article vous a-t-il été utile ?


Avez-vous besoin d'aide pour une question technique ou de facturation ?