Stay up to date with the latest from the Knowledge Center. See all new and updated Knowledge Center articles published in the last month and re:Post’s top contributors.
¿Cómo puedo solucionar los problemas de conectividad de mis puntos de enlace de puerta de enlace de Amazon VPC?
Quiero solucionar los problemas de conectividad de mis puntos de enlace de puerta de enlace de Amazon Virtual Private Cloud (Amazon VPC).
Resolución
Los problemas de conectividad de los puntos de enlace de VPC de puerta de enlace pueden deberse al acceso a la red o a las reglas de seguridad que permiten la conexión.
Nota: Si se muestran errores al ejecutar comandos de la Interfaz de la línea de comandos de AWS (AWS CLI), consulta Troubleshooting errors for the AWS CLI (Solución de problemas de la AWS CLI). Además, asegúrate de utilizar la versión más reciente de la AWS CLI.
Uso del Analizador de accesibilidad
Utiliza el Analizador de accesibilidad para solucionar los problemas de conectividad entre el origen y el punto de enlace de puerta de enlace. Para obtener más información, consulta ¿Cómo utilizo el Analizador de accesibilidad de Amazon VPC para solucionar problemas de conectividad con un recurso de Amazon VPC?
Comprobación de las configuraciones de la región
Los puntos de enlace de puerta de enlace solo están disponibles en la región en la que los creaste. Asegúrate de crear el punto de enlace de tu puerta de enlace en la misma región que los buckets de Amazon Simple Storage Service (Amazon S3) o las tablas de Amazon DynamoDB. Para encontrar la región de su bucket, ejecuta el comando get-bucket-location de la AWS CLI.
Además, cuando utilices un SDK para acceder a un servicio desde el punto de enlace de la puerta de enlace, configura la región en la misma ubicación que los recursos del servicio. Puedes utilizar el objeto Config para Boto3 y aws configure para la AWS CLI.
Nota: Las solicitudes que envías a una región incorrecta pueden provocar tiempos de espera o permitir el acceso al servicio a través de Internet. Esto depende de la tabla de enrutamiento que hayas configurado en la subred de origen.
Comprobación de la resolución de DNS
Actualiza los atributos de DNS en tu VPC para activar la resolución de DNS. Si usas tu propio servidor DNS, asegúrate de que las solicitudes de DNS a los servicios de AWS se resuelvan en las direcciones IP que AWS mantiene.
Comprobación de la configuración de la tabla de enrutamiento de subred
Comprueba la configuración de la tabla de enrutamiento para confirmar que hay una ruta a Amazon S3 y DynamoDB que utiliza el punto de enlace de VPC de la puerta de enlace.
Comprobación de los grupos de seguridad
Comprueba los grupos de seguridad asociados al origen que inicia las conexiones a Amazon S3 y DynamoDB. Confirma que las reglas de salida disponibles permiten el tráfico a Amazon S3 o DynamoDB. Si el grupo de seguridad tiene reglas más restrictivas que las reglas de salida predeterminadas, confirma una de las siguientes opciones:
- Hay una regla de salida que permite el tráfico al ID de la lista de prefijos asociada al punto de enlace de VPC de la puerta de enlace.
- Hay un bloque de CIDR específico del servicio (intervalo de direcciones IP) en el destino. Si no hay un bloque de CIDR específico del servicio, no puedes añadir uno. Se recomienda utilizar el ID de la lista de prefijos que proporciona el servicio, ya que AWS administra los intervalos de direcciones IP de la lista de prefijos.
Para ver los CIDR de las direcciones IP públicas de Amazon S3 y DynamoDB en una región específica, ejecuta el comando describe-prefix-lists de la AWS CLI:
aws ec2 describe-prefix-lists --region example-Region
Nota: Sustituye example-Region por tu región.
Comprobación de las reglas de las ACL de la red
Las listas de control de acceso de la red (ACL de la red) de subred deben permitir las conexiones TCP entrantes y salientes a los CIDR de servicio de Amazon S3 o DynamoDB dentro de la región.
Añade reglas de ACL de la red que hagan lo siguiente:
- Permitir el tráfico de retorno entrante desde el servicio al que intentas acceder en los puertos TCP efímeros 1024-65535.
- Permitir el tráfico al bloque de CIDR del servicio (intervalo de direcciones IP) en HTTPS.
Nota: De forma predeterminada, las ACL de la red permiten todo el tráfico IPv4 e IPv6 entrante y saliente. Si las reglas de las ACL de la red restringen el tráfico, especifica el bloque de CIDR para el servicio para el que creaste el punto de enlace de la puerta de enlace. Se recomienda configurar las notificaciones para cuando cambien las direcciones IP de los servicios y utilizar scripts para actualizar automáticamente las reglas de las ACL de la red. Para obtener más información, consulta ¿Cómo puedo recibir notificaciones para comprobar si hay cambios en la dirección IP de Amazon S3?
Comprobación de la política de puntos de enlace de VPC
Revisa la política de puntos de enlace de VPC para determinar si se trata de una política personalizada o de la política predeterminada. Una política de puntos de enlace personalizada debe permitir el acceso para realizar acciones en el servicio. Una política de puntos de enlace predeterminada concede total acceso al servicio. Para obtener más información, consulta Uso de políticas de punto de conexión para controlar el acceso a puntos de conexión de VPC.
Comprobación de la política de buckets de Amazon S3
Revisa la política de buckets de Amazon S3 para confirmar que la política permite el acceso desde el punto de enlace de la VPC de la puerta de enlace y la VPC. Para obtener más información, consulta Control del acceso desde puntos de enlace de la VPC con políticas de bucket.
Nota: Tu política de buckets puede restringir el acceso solo desde una dirección IP elástica o pública específica que esté asociada a una instancia en una VPC. La política puede restringir el acceso en función de las direcciones IP privadas asociadas a las instancias. Para obtener más información, consulte Ejemplos de políticas de bucket de Amazon S3.
Si usas un servidor proxy, confirma que las conexiones de la VPC estén permitidas a través del servidor. Si no usas un servidor proxy para Amazon S3, ejecuta el siguiente comando para omitir el servidor proxy cuando acceda a tu bucket:
export no_proxy = s3.example-Region.amazonaws.com
Nota: Sustituye example-Region por tu región.
Comprobación de la política de IAM
Consulta la política de AWS Identity and Access Management (IAM) para confirmar que los usuarios asociados al usuario o rol de IAM tengan los permisos necesarios para acceder a Amazon S3. Para obtener más información, consulta How to restrict Amazon S3 bucket access to a specific IAM role (Cómo restringir el acceso a buckets de Amazon S3 a un rol de IAM específico) y Controlar el acceso a un bucket con las políticas de usuario.
Comprobación del flujo de tráfico en un punto de enlace de puerta de enlace
Para comprobar si el tráfico pasa por un punto de enlace de puerta de enlace o un punto de enlace de interfaz, consulta How do I check if my Amazon S3 traffic is going through a gateway Amazon VPC endpoint or an interface Amazon VPC endpoint? (¿Cómo puedo comprobar si mi tráfico de Amazon S3 pasa por un punto de enlace de Amazon VPC de puerta de enlace o un punto de enlace de Amazon VPC de interfaz?).
Información relacionada
Contenido relevante
- preguntada hace un mes
- preguntada hace un mes
- preguntada hace 2 meses
- preguntada hace 3 meses
- OFICIAL DE AWSActualizada hace 4 meses
- OFICIAL DE AWSActualizada hace un año
- OFICIAL DE AWSActualizada hace un año
- OFICIAL DE AWSActualizada hace un año