Por que não consigo excluir meu endpoint da VPC gerenciado pelo solicitante?

Última atualização: 26/10/2022

Por que não consigo excluir meu endpoint da Amazon Virtual Private Cloud (Amazon VPC) gerenciado pelo solicitante?

Breve descrição

Ao excluir um endpoint de VPC de interface, você pode receber o seguinte erro:

vpce-0399e6e9fd2f4e430: operação não permitida para endpoints de VPC gerenciados pelo solicitante para o serviço com.amazonaws.vpce.region.vpce-svc-04c257ad126576358

Esse erro ocorre quando o endpoint que está sendo excluído é um endpoint de VPC gerenciado pelo solicitante. Endpoints gerenciados pelo solicitante são criados por qualquer um dos serviços gerenciados pela AWS (por exemplo, Amazon Aurora Serverless). Para excluir esse tipo de endpoint, você deve identificar o serviço gerenciado pela AWS que criou o endpoint. Depois de identificar o serviço, primeiro é necessário excluir esse recurso antes de excluir o endpoint.

Resolução

Para verificar qual serviço gerenciado pela AWS criou um endpoint, faça o seguinte:

Se o endpoint foi criado dentro de 90 dias

Se o endpoint foi criado dentro de 90 dias após você tentar excluí-lo, use o AWS CloudTrail para determinar qual serviço o criou. Certifique-se de definir a visualização do console do CloudTrail para os últimos 90 dias de atividades de API registradas (eventos de gerenciamento).

Para visualizar eventos do CloudTrail, faça o seguinte:

1.    Abra o console do CloudTrail.

2.    No painel de navegação, escolha Event history (Histórico de eventos).

3.    Na lista suspensa, selecione o nome do Resource (Recurso) e adicione o ID do endpoint da VPC (por exemplo vpce-xxxxxx) no filtro.

4.    Procure a chamada de API CreateVpcEndpoint e verifique o nome de usuário. Para endpoints criados pelo Aurora Serverless, o nome de usuário é exibido como RDSAuroraServeless. Para endpoints criados pelo Amazon Relational Database Service (Amazon RDS) Proxy, o nome de usuário é exibido como RDSSlrAssumptionSession. Para identificar os endpoints criados pelo AWS Network Firewall, visualize o registro de evento para a chamada de API CreateVpcEndpoint e verifique se há etiquetas com o valor de chave FirewallAWSNetworkFirewallManaged:

"Tag": [
                  {
                        "Value": ""arn:aws:network-firewall:<region>:<account number>:firewall/<firewall name>",
                        "tag": 1,
                        "Key": "Firewall"

                    },
                    {
                        "Value": true,
                        "tag": 2,
                        "Key": "AWSNetworkFirewallManaged"
                    }

Se o endpoint tiver mais de 90 dias

Para determinar se o AWS Network Firewall criou o endpoint:

1.    Abra o console da VPC e selecione Endpoints.

2.    Selecione o endpoint e, em seguida, Tags (Etiquetas).

3.    Verifique o seguinte:

  • A Key (Chave) é AWSNetworkFirewallManaged e o Value (Valor) é True.
  • A Key (Chave) é Firewall e o Value (Valor) é seu ARN do Network Firewall arn:aws:network-firewall:region:account number:firewall/firewall name.

Você também pode visualizar endpoints criados pelo AWS Network Firewall fazendo o seguinte:

1.    Abra o console da VPC e selecione Firewalls.

2.    Selecione Firewall details (Detalhes do firewall).

Para determinar se o Aurora Serverless criou o endpoint:

Se o endpoint da interface gerenciada pelo solicitante for criado pelo Aurora Serverless após 90 dias, execute uma pesquisa de nome para o endpoint dos bancos de dados Aurora Serverless existentes. Isso retorna o CNAME como o nome DNS do endpoint da interface da VPC. Você pode usar isso para confirmar se o endpoint foi criado pelo Aurora Serverless.

Por exemplo, você tem um endpoint de VPC de interface com o ID vpce-0013b47d434ae7786 que não pode ser excluído. Para verificar se o Aurora Serverless criou esse endpoint, faça o seguinte:

1.    Faça uma pesquisa de nome no endpoint do Aurora Serverless:

dig test1.proxy-chnis5vssnuj.us-east-1.rds.amazonaws.com +short
vpce-0ce9fdcdd4aa4097e-1hbywnw6.vpce-svc-0b2f119acb23c050e.us-east-1.vpce.amazonaws.com.
172.31.4.218
172.31.21.82

2.    Verifique o valor CNAME do registro que corresponde ao nome DNS do endpoint que você está tentando excluir. Isso confirma que esse endpoint foi criado pelo Aurora Serverless.

Observação: para verificar o nome DNS do endpoint, faça o seguinte:

1.    Abra o console da VPC e selecione Endpoints.

2.    Selecione a guia Detalhes e veja os nomes DNS listados.

Para determinar se o RDS Proxy criou o endpoint:

Conclua as etapas anteriores fornecidas para o Aurora Serverless. Se houver vários endpoints do RDS Proxy e Aurora Serverless, repita as etapas para cada endpoint.

Para determinar se é um endpoint da VPC gerenciado pelo Redshift:

1.    Abra o console do Amazon Redshift e escolha Configurations (Configurações).

2.    Verifique se há algum endpoint configurado em endpoints da VPC gerenciados pelo Redshift.

Excluir o serviço

Depois de identificar o serviço que criou o endpoint, exclua esse serviço (e o endpoint correspondente).

Observação: se você receber erros ao executar comandos da AWS CLI, verifique se está utilizando a versão mais recente da AWS CLI.


Este artigo foi útil?


Precisa de ajuda com faturamento ou suporte técnico?