¿Por qué no puedo conectarme a mi bucket de S3 mediante puntos de conexión de VPC de interfaz?

Descripción corta

Para solucionar este error, verifique lo siguiente:

• Compruebe la política asociada con el punto de conexión de VPC de la interfaz y el bucket de S3.
• Verifique que su red pueda conectarse a los puntos de conexión de S3.
• Verifique que su DNS pueda resolver esas direcciones IP de los puntos de conexión de S3.

Nota: Si se producen errores al ejecutar comandos de la AWS Command Line Interface (AWS CLI), asegúrese de que está utilizando la versión más reciente de la AWS CLI.

Resolución

Verificar la política asociada con el punto de conexión de VPC de la interfaz y el bucket de S3

De forma predeterminada, un bucket de S3 no tiene una política asociada cuando crea un bucket. Una política asociada a un punto de conexión de la interfaz de S3 durante el momento de la creación permite cualquier acción en cualquier bucket de S3 de forma predeterminada. Para obtener información sobre cómo ver la política asociada a su punto de conexión, consulte Ver el punto de conexión de la interfaz.

Verificar que su red pueda conectarse a los puntos de conexión de S3

Compruebe la conectividad entre el origen y el destino. Por ejemplo, compruebe la lista de control de acceso (ACL) a la red y el grupo de seguridad asociado a los puntos de conexión de la interfaz de S3 para confirmar que se permite el tráfico al punto de conexión de la interfaz.

Utilice el siguiente comando telnet para probar la conectividad entre el recurso de AWS o desde un host local y el punto de conexión de S3. En el siguiente comando, reemplace S3_interface_endpoint_DNS por el DNS del punto de conexión de la interfaz de S3.

telnet bucket.S3_interface_endpoint_DNS 443
Trying a.b.x.y...
Connected to bucket.vpce-0a1b2c3d4e5f6g-m7o5iqbh.s3.us-east-2.vpce.amazonaws.com

También puede probar la conectividad telnet con una instancia de prueba de Amazon Elastic Compute Cloud (Amazon EC2). Pruebe la conectividad en la subred en la que tiene el punto de conexión desde el origen (host local u otra instancia) para comprobar que existe conectividad de capa 3 desde el recurso de AWS de origen al de destino. Asegúrese de usar el mismo grupo de seguridad en la instancia de prueba que está asociada al punto de conexión de la interfaz de S3. La prueba de esta conectividad ayuda a determinar si el problema está relacionado con el grupo de seguridad o la ACL de red.

Verificar que su DNS pueda resolver esos puntos de conexión de S3

Asegúrese de que puede resolver el DNS del punto de conexión de la interfaz desde el origen. Puede usar herramientas como nslookup, dig, etc. para hacerlo. El siguiente ejemplo utiliza dig. En el siguiente comando, reemplace S3_interface_endpoint_DNS por el DNS del punto de conexión de la interfaz de S3.

dig *s3_interface_endpoint_DNS@local_nameserver

Nota: El servidor DNS proporcionado por Amazon es la dirección IP .2 del CIDR de la VPC. El host local es el servidor de nombres local del host que aparece en el archivo /etc/resolv.conf.

Información relacionada

Acceso a buckets y puntos de acceso de S3 desde puntos de conexión de la interfaz de S3