為什麼我無法刪除申請者管理的 VPC 端點?

上次更新日期:2022 年 4 月 15 日

為什麼我無法刪除申請者管理的 Amazon Virtual Private Cloud (Amazon VPC) 端點?

簡短描述

刪除介面 VPC 端點時,您可能會收到以下錯誤:

vpce-0399e6e9fd2f4e430:不允許操作服務 com.amazonaws.vpce.region.vpce-svc-04c257ad126576358 的申請者管理的 VPC 端點

當被刪除的端點是申請者管理的 VPC 端點時,便會發生此錯誤。申請者管理的端點由任何 AWS 管理的服務 (例如,Amazon Aurora Serverless) 建立。若要刪除此類端點,您必須確定建立端點的 AWS 受管服務。識別服務後,您必須先刪除相關資源,然後才能刪除端點。

解決方案

若要驗證建立某個端點的 AWS 受管服務,請執行以下操作:

如果端點是在 90 天內建立的

如果端點的建立時間距離您嘗試將其刪除的時間不超過 90 天,請使用 AWS CloudTrail 確定建立它的服務。確保將 CloudTrail 主控台檢視設定為過去 90 天記錄的 API 活動 (管理事件)。

若要檢視 CloudTrail 事件,請執行以下操作:

1.    開啟 CloudTrail 主控台

2.    在導覽窗格中,選擇 Event history (事件歷史記錄)。

3.    從下拉清單中選取 Resource (資源) 名稱,然後在篩選條件中新增 VPC 端點 ID (例如 vpce-xxxxxx)。

4.    尋找 CreateVpcEndpoint API 呼叫並檢查使用者名稱。對於 Aurora Serverless 建立的端點,使用者名稱顯示為 RDSAuroraServeless。對於由 Amazon Relational Database Service (Amazon RDS) Proxy 建立的端點,使用者名稱顯示為 RDSSlrAssumptionSession。若要識別 AWS Network Firewall 建立的端點,請檢視 CreateVpcEndpoint API 呼叫的事件記錄,並檢查鍵值為 FirewallAWSNetworkFirewallManaged 的標籤:

"Tag": [
                  {
                        "Value": ""arn:aws:network-firewall:<region>:<account number>:firewall/<firewall name>",
                        "tag": 1,
                        "Key": "Firewall"

                    },
                    {
                        "Value": true,
                        "tag": 2,
                        "Key": "AWSNetworkFirewallManaged"
                    }

如果端點的建立時間早於 90 天

若要確定相關端點是否由 AWS Network Firewall 建立:

1.    開啟 VPC 主控台,然後選取 Endpoints (端點)。

2.    選取端點,然後選取 Tags (標籤)。

3.    檢查以下內容:

  • Key (索引鍵) 為 AWSNetworkFirewallManagedValue (值) 為 True
  • Key (索引鍵) 為 FirewallValue (值) 為您的網路防火牆 ARN arn:aws:network-firewall:region:account number:firewall/防火牆名稱

您還可以透過執行以下操作檢視 AWS Network Firewall 建立的端點:

1.    開啟 VPC 主控台,然後選取 Firewalls (防火牆)。

2.    選取 Firewall details (防火牆詳細資訊)。

若要確定相關端點是否由 Aurora Serverless 建立:

如果相關申請者管理的介面端點由 Aurora Serverless 在早於 90 天的時間建立,請對現有 Aurora Serverless 資料庫的端點執行名稱查詢。這將返回 CNAME 作為 VPC 介面端點 DNS 名稱。您可以使用它來確認相關端點是否由 Aurora Serverless 建立。

例如,您有一個無法刪除的 ID 為 vpce-0013b47d434ae7786 的介面 VPC 端點。若要驗證相關端點是否由 Aurora Serverless 建立,請執行以下操作:

1.    對 Aurora Serverless 端點執行名稱查詢:

dig test1.proxy-chnis5vssnuj.us-east-1.rds.amazonaws.com +short
vpce-0ce9fdcdd4aa4097e-1hbywnw6.vpce-svc-0b2f119acb23c050e.us-east-1.vpce.amazonaws.com.
172.31.4.218
172.31.21.82

2.    檢查與您嘗試刪除之端點 DNS 名稱匹配的記錄 CNAME 值。這可確認相關端點是否由 Aurora Serverless 建立。

注意:若要驗證相關端點的 DNS 名稱,請執行以下操作:

1.    開啟 VPC 主控台,然後選取 Endpoints (端點)。

2.    選取 Details (詳細資訊) 標籤並檢視列出的 DNS names (DNS 名稱)。

若要確定相關端點是否由 RDS Proxy 建立:

完成針對 Aurora Serverless 的上述步驟。如果有多個 RDS Proxy 和 Aurora Serverless 端點,請為每個端點重複這些步驟。

刪除服務

確定建立端點的服務後,請使用以下步驟刪除服務 (及相應端點):

  1. 刪除網路防火牆以刪除網路防火牆建立的端點。
  2. 刪除 Aurora Serverless 資料庫叢集
  3. 刪除 RDS Proxy 以刪除 RDS Proxy 建立的端點。

此文章是否有幫助?


您是否需要帳單或技術支援?