Por que não consigo conectar meu bucket do S3 usando endpoints da VPC de interface?

Data da última atualização: 31/03/2022

Não consigo conectar meu bucket do Amazon Simple Storage Service (Amazon S3) usando endpoints de interface do Amazon Virtual Private Cloud (Amazon VPC). Como posso solucionar isso?

Breve descrição

Para solucionar esse erro, confira o seguinte:

  • Verifique a política associada ao endpoint da VPC de interface e ao bucket do S3.
  • Verifique se a rede pode se conectar aos endpoints do S3.
  • Verifique se o DNS pode solucionar os endereços IP dos endpoints do S3.

Observação: se você receber erros ao executar comandos da AWS Command Line Interface (AWS CLI), certifique-se de estar usando a versão mais recente da AWS CLI.

Resolução

Verificar a política associada ao endpoint da VPC da interface e ao bucket do S3

Por padrão, um bucket do S3 não tem uma política associada quando você cria um bucket. Uma política associada a um endpoint de interface do S3 durante o tempo de criação permite qualquer ação para qualquer bucket do S3 por padrão. Para obter informações sobre como visualizar a política associada ao seu endpoint, consulte Exibir o endpoint da interface.

Verifique se a rede pode se conectar aos endpoints do S3

Verifique a conectividade entre a fonte e o destino. Por exemplo, verifique a lista de controle de acesso à rede (ACL) e o grupo de segurança associado aos endpoints de interface do S3 para confirmar se o tráfego é permitido para o endpoint da interface.

Use o seguinte comando telnet para testar a conectividade entre o recurso da AWS ou de um host on-premises e o endpoint do S3. No comando a seguir, substitua S3_interface_endpoint_DNS pelo DNS do endpoint de interface do S3.

telnet bucket.S3_interface_endpoint_DNS 443
Trying a.b.x.y...
Connected to bucket.vpce-0a1b2c3d4e5f6g-m7o5iqbh.s3.us-east-2.vpce.amazonaws.com

Você também pode testar a conectividade Telnet usando uma instância de teste do Amazon Elastic Compute Cloud (Amazon EC2). Teste a conectividade na sub-rede em que você tem o endpoint de origem (host on-premises ou outra instância) para verificar se a conectividade de camada 3 existe da fonte até o recurso da AWS de destino. Certifique-se de usar o mesmo grupo de segurança na instância de teste associado ao endpoint de interface do S3. Testar essa conectividade ajuda a determinar se o problema é com o grupo de segurança ou a Network ACL.

Verifique se o DNS pode se solucionar os endpoints do S3

Certifique-se de que você pode resolver o DNS do endpoint de interface a partir da fonte. Você pode usar ferramentas como nslookup, dig entre outras, para fazer isso. O exemplo a seguir usa o dig. No comando a seguir, substitua S3_interface_endpoint_DNS pelo DNS do endpoint de interface do S3.

dig *s3_interface_endpoint_DNS@local_nameserver

Observação: o servidor DNS fornecido pela Amazon é o endereço IP.2 do CIDR da VPC. Seu host on-premises é o servidor de nomes de local do host listado no arquivo /etc/resolv.conf.


Este artigo ajudou?


Precisa de ajuda com faturamento ou suporte técnico?