¿Cómo soluciono los problemas de conectividad cuando utilizo los puntos de conexión de VPC de interfaz para conectarme a mi bucket de Amazon S3?

Breve descripción

Para solucionar problemas de conectividad, siga estos pasos:

• Compruebe la política asociada con el punto de conexión de Amazon VPC de interfaz y el bucket de Amazon S3.
• Compruebe que su red pueda conectarse a los puntos de conexión de Amazon S3 de interfaz.
• Compruebe que su DNS pueda resolver las direcciones IP de los puntos de conexión de Amazon S3 de interfaz.
• Corrija los errores de validación de SSL.

Solución

Nota: En los siguientes comandos, sustituya los valores de ejemplo por los suyos.

Verificar la política asociada con el punto de conexión de VPC de Amazon y el bucket de Amazon S3

De forma predeterminada, un bucket de Amazon S3 no tiene una política asociada cuando crea un bucket. Una política asociada a un punto de conexión de Amazon S3 de interfaz durante el momento de la creación permite cualquier acción en cualquier bucket de S3 de forma predeterminada. Para obtener más información, consulte Acceda a un Servicio de AWS mediante un punto de conexión de VPC de interfaz.

Verificar que su red pueda conectarse a los puntos de conexión de Amazon S3 de interfaz

Para comprobar la conectividad con los puntos de conexión de Amazon S3 de interfaz, siga estos pasos:

• Compruebe la conectividad entre el origen y el destino. Compruebe la lista de control de acceso de la red (ACL de la red) y el grupo de seguridad asociado a los puntos de conexión de Amazon S3 de interfaz para confirmar que se permite el tráfico al punto de conexión de interfaz.
• Pruebe la conectividad entre el recurso de AWS o el host local y el punto de conexión de Amazon S3:

telnet bucket.example_S3_interface_endpoint_DNS 443

• Para determinar los problemas de conectividad con el grupo de seguridad o la ACL de la red, utilice una instancia de Amazon Elastic Compute Cloud (Amazon EC2) para probar la conectividad en la subred donde se encuentra el punto de conexión de origen. Compruebe que existe conectividad de capa 3 desde el recurso de AWS de origen al de destino. Asegúrese de usar el mismo grupo de seguridad en la instancia de prueba que está asociada al punto de conexión de Amazon S3 de interfaz.

Verificar que su DNS pueda resolver las direcciones IP de los puntos de conexión de Amazon S3 de interfaz

Para comprobar que su DNS pueda resolver las direcciones IP correctas, utilice herramientas como nslookup y dig.

Ejemplo de comando dig:

dig *example_s3_interface_endpoint_DNS@example_local_nameserver

Nota: El servidor DNS proporcionado por Amazon es la dirección IP .2 del CIDR de Amazon VPC. El host local es el servidor de nombres local del host que aparece en el archivo /etc/resolv.conf.

Resolver errores de validación de SSL

Para resolver o evitar los errores de validación de SSL, asegúrese de que la URL del punto de conexión coincida con el dominio. Una vez completada la verificación de la URL, acceda al bucket de s3 y enumere el objeto en el bucket.

Nota: Los certificados de los puntos de conexión de AWS PrivateLink para Amazon S3 tienen tres subdominios, un bucket, un punto de acceso y un control. Asegúrese de especificar el subdominio correcto cuando se dirija a un punto de conexión de AWS PrivateLink para Amazon S3.

Para solucionar los errores de SSL, ejecute los siguientes comandos:

Compruebe la verificación de la URL:

aws s3 ls s3://<example-bucket-name>/ --region <example-region> --endpoint-url https://bucket.<example-endpoint-id>.s3.<example-region>.

Compruebe los certificados admitidos:

openssl s_client -connect <example-endpoint-URL>:443 </dev/null 2>/dev/null | openssl x509 -noout -text | grep DNS

Compruebe la conectividad a través del protocolo SSL:

openssl s_client -connect <Endpoint URL>:443

Información relacionada

Acceder a buckets, puntos de acceso y operaciones de la API de control de Amazon S3 desde los puntos de conexión de la interfaz de S3

Comparta sus servicios a través de AWS PrivateLink

Puntos de enlace de gateway para Amazon S3