Usando AWS re:Post, accetti AWS re:Post Termini di utilizzo
AWS re:Postre:Post

Come posso risolvere i problemi di connettività relativi agli endpoint gateway Amazon VPC?

6 minuti di lettura
0

Voglio risolvere i problemi di connettività relativi agli endpoint gateway Amazon Virtual Private Cloud (Amazon VPC).

Breve descrizione

Gli endpoint gateway VPC ti consentono di connetterti privatamente ad Amazon Simple Storage Service (Amazon S3) e ad Amazon DynamoDB dal tuo Amazon VPC. I problemi di connettività relativi agli endpoint gateway VPC potrebbero essere dovuti all'accesso alla rete o alle regole di sicurezza che consentono la connessione.

Per risolvere i problemi di connettività, usa il Sistema di analisi della reperibilità. Quindi controlla le seguenti configurazioni:

  • Le configurazioni della Regione AWS
  • La risoluzione DNS
  • Le impostazioni della tabella di routing della sottorete
  • I gruppi di sicurezza
  • Le regole delle liste di controllo degli accessi alla rete (ACL)
  • La policy dell'endpoint Amazon VPC
  • La policy del bucket Amazon S3
  • La policy di AWS Identity and Access Management (IAM)
  • Il flusso di traffico sull'endpoint gateway

Risoluzione

Nota: se ricevi messaggi di errore durante l'esecuzione dei comandi dell'interfaccia della linea di comando AWS (AWS CLI), consulta la sezione Risolvi gli errori AWS CLI. Inoltre, assicurati di utilizzare la versione più recente di AWS CLI.

Usa il Sistema di analisi della reperibilità

Usa il Sistema di analisi della reperibilità per risolvere i problemi di connettività tra l'endpoint di origine e l'endpoint gateway. Per maggiori informazioni, consulta la sezione Come posso utilizzare il sistema di analisi della reperibilità Amazon VPC per risolvere i problemi di connettività con una risorsa di Amazon VPC?

Controlla le configurazioni della regione

Gli endpoint gateway sono disponibili solo nella regione in cui sono stati creati. Assicurati di creare l'endpoint gateway nella stessa regione dei bucket Amazon S3 o delle tabelle DynamoDB. Per trovare la regione del bucket, esegui il comando AWS CLI get-bucket-location.

Inoltre, se utilizzi un SDK per accedere a un servizio dall'endpoint gateway, conferma la regione. Assicurati che la regione sia configurata nella stessa posizione delle risorse del servizio. Ad esempio, utilizza l'oggetto Config per Boto3 e aws configure per AWS CLI.

Nota: le richieste inviate a una regione errata potrebbero causare timeout o accessi al servizio tramite Internet. Ciò dipende dalla tabella di routing configurata nella sottorete di origine.

Controlla la risoluzione DNS

Controlla le impostazioni DNS nel tuo Amazon VPC. Devi attivare la risoluzione DNS nel tuo Amazon VPC. Se utilizzi il tuo server DNS, assicurati che le richieste DNS ai servizi AWS si risolvano negli indirizzi IP gestiti da AWS.

Controlla le impostazioni della tabella di routing della sottorete

Controlla le impostazioni della tabella di routing. Verifica che esista un routing instradato verso Amazon S3 e DynamoDB che utilizza l'endpoint gateway VPC.

Controlla i gruppi di sicurezza

Controlla i gruppi di sicurezza associati all'origine che avvia le connessioni verso Amazon S3 e DynamoDB. Verifica che le regole in uscita disponibili consentano il traffico verso Amazon S3 o DynamoDB. Se il gruppo di sicurezza ha regole più restrittive rispetto alle regole in uscita predefinite, conferma uno dei punti seguenti:

  • Esiste una regola in uscita che consente il traffico verso l'ID dell'elenco di prefissi associato all'endpoint gateway Amazon VPC.
  • Nella destinazione è presente un blocco CIDR (intervallo di indirizzi IP) specifico per il servizio. Se non è presente un blocco CIDR specifico per il servizio, non puoi aggiungerlo. È consigliabile utilizzare l'ID dell'elenco di prefissi fornito dal servizio, perché AWS gestisce gli intervalli di indirizzi IP degli elenchi di prefissi.

Per visualizzare i CIDR degli IP pubblici per Amazon S3 e DynamoDB in una regione specifica, esegui il comando AWS CLI describe-prefix-lists. Sostituisci example-Region con la tua regione:

aws ec2 describe-prefix-lists --region <example-Region>

Controlla le regole ACL di rete

Le ACL di rete delle sottoreti devono consentire le connessioni TCP in entrata e in uscita verso i CIDR dei servizi Amazon S3 o DynamoDB all'interno della regione. Controlla le regole ACL di rete e conferma quanto segue:

  • Nella vista Regole in entrata, verifica che le regole consentano il traffico di ritorno in entrata dal servizio a cui stai tentando di accedere sulle porte TCP effimere 1024-65535.
  • Nella vista Regole in uscita, conferma che le regole consentano il traffico verso il blocco CIDR del servizio (intervallo di indirizzi IP) su HTTPS.

Nota: per impostazione predefinita, le ACL di rete consentono tutto il traffico IPv4 e IPv6 in entrata e in uscita. Se le regole ACL di rete limitano il traffico, specifica il blocco CIDR per il servizio per cui è stato creato l'endpoint gateway. È consigliabile impostare le notifiche per verificare la modifica degli indirizzi IP del servizio e utilizzare gli script per aggiornare automaticamente le regole ACL di rete. Per ulteriori informazioni, consulta la pagina Come posso ricevere notifiche per verificare le modifiche all'indirizzo IP di Amazon S3?

Controlla la policy dell'endpoint Amazon VPC

Consulta la policy dell'endpoint Amazon VPC. Quando utilizzi una policy personalizzata per gli endpoint, conferma che la policy associata all'endpoint consenta l'accesso per eseguire operazioni verso il servizio. La policy predefinita per gli endpoint consente l'accesso completo al servizio. Per ulteriori informazioni, consulta la sezione Controllo dell'accesso agli endpoint VPC tramite le policy di endpoint.

Controlla la policy del bucket Amazon S3

Rivedi la policy del bucket Amazon S3 e conferma che la policy del bucket consenta l'accesso dall'endpoint gateway Amazon VPC e da Amazon VPC. Per ulteriori informazioni, consulta la pagina Control access using bucket policies.

Nota: la policy del bucket può limitare l'accesso solo da uno specifico indirizzo IP pubblico o elastico associato a un'istanza in un Amazon VPC. La policy del bucket può limitare l'accesso in base agli indirizzi IP privati associati alle istanze. Per ulteriori informazioni, consulta la pagina Gestione dell'accesso in base a indirizzi IP specifici.

Se utilizzi un server proxy, conferma che le connessioni Amazon VPC siano consentite tramite il server. Se non utilizzi un server proxy per Amazon S3, esegui il comando seguente per bypassare il server proxy quando accedi al bucket. Sostituisci example-Region con la tua regione:

export no_proxy = mybucket.s3.<example-Region>.amazonaws.com

Controlla la policy IAM

Controlla la policy IAM e conferma che gli utenti associati all'utente o al ruolo IAM dispongano delle autorizzazioni necessarie per accedere ad Amazon S3. Per ulteriori informazioni, consulta le pagine How to restrict Amazon S3 bucket access to a specific IAM role e Controllo dell'accesso a un bucket con policy utente.

Controlla il flusso di traffico su un endpoint gateway

Per verificare se il traffico attraversa un endpoint gateway o un endpoint di interfaccia, consulta la pagina How do I check if my Amazon S3 traffic is going through a gateway VPC endpoint or an interface VPC endpoint?

Informazioni correlate

Gestione degli accessi per le risorse AWS

Argomenti
Networking e distribuzione di contenuti
Tag
Amazon VPC
Lingua
Italiano
AWS UFFICIALE
AWS UFFICIALEAggiornata 6 mesi fa

Contenuto pertinente