En utilisant AWS re:Post, vous acceptez les AWS re:Post Conditions d’utilisation

Comment puis-je résoudre l'erreur « VPCPeeringConnection n'a pas pu se stabiliser » dans AWS CloudFormation ?

Lecture de 3 minute(s)
0

Le message d'erreur « VPCPeeringConnection n'a pas pu se stabiliser » s'affiche dans AWS CloudFormation lorsque j'essaie de créer une connexion d'appairage Amazon Virtual Private Cloud (Amazon VPC).

Brève description

L'erreur "VpcPeeringConnection n'a pas pu se stabiliser" peut survenir pour les raisons suivantes :

  • Votre ressource AWS : :EC2 : :VPCPeeringConnection a été créée dans le compte d'accepteur.
  • Les plages d'adresses CIDR IPv4 se chevauchent.
  • La propriété PeerRoleArn n'est pas transmise correctement lorsque vous créez une connexion d'appairage de VPC entre des VPC de différents comptes.
  • Le rôle AWS Identity and Access Management (IAM) dans le compte d'accepteur ne dispose pas des autorisations appropriées.
  • La propriété PeerRegion n'est pas transmise correctement lorsque vous créez une connexion d'appairage de VPC entre des VPC de différentes régions AWS.

Résolution

Création de la ressource AWS::EC2::VPCPeeringConnection dans le compte d'accepteur

Créez votre pile AWS CloudFormation avec la ressource AWS : :EC2 : :VPCPeeringConnection dans le compte du demandeur, et non dans celui de l'accepteur.

Les plages d'adresses CIDR IPv4 se chevauchent

Utilisez des blocs d'adresse CIDR IPv4 différents pour les VPC de votre compte d'accepteur et de votre compte de demandeur.

La propriété PeerRoleArn n'est pas transmise correctement lorsque vous créez une connexion d'appairage de VPC entre des VPC de différents comptes

Si vous créez une connexion d'appairage de VPC entre des VPC de différents comptes, utilisez la ** propriété PeerRolearn**. Cette propriété transfère votre rôle IAM multi-compte depuis votre compte accepteur dans votre modèle AWS CloudFormation. Pour plus d'informations, consultez AWS : :EC2 : :VPCPeeringConnection.

Consultez les exemples JSON et YAML suivants.

JSON :

{
  "myVPCPeeringConnection": {
    "Type": "AWS::EC2::VPCPeeringConnection",
    "Properties": {
    ......
    "PeerRoleArn": "arn:aws:iam::Accepter-Account-ID:role/PeerRole"
    }
  }
}

YAML :

myVPCPeeringConnection:
  Type: 'AWS::EC2::VPCPeeringConnection'
  Properties:
    .......
    PeerRoleArn: 'arn:aws:iam::Accepter-Account-ID:role/PeerRole'

Le rôle IAM du compte accepteur ne dispose pas des autorisations appropriées

Pour permettre au rôle IAM d'accepter une connexion d'appairage de VPC dans le compte accepteur, incluez les autorisations suivantes :

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": "ec2:AcceptVpcPeeringConnection",
      "Resource": "arn:${Partition}:ec2:${Region}:${Account}:vpc-peering-connection/${VpcPeeringConnectionId}",
      "Effect": "Allow"
    }
  ]
}

Pour permettre au compte du demandeur d'assumer le rôle IAM, configurez une relation de confiance pour le rôle IAM. Exemple :

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::Requester-Account-ID:root"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

La propriété PeerRegion n'est pas transmise correctement lorsque vous créez une connexion d'appairage de VPC entre des VPC de différentes régions

PeerRegion doit être inclus dans votre modèle CloudFormation si les VPC sont situés dans des régions différentes. Spécifiez ensuite la région AWS dans laquelle se trouve votre compte accepteur VPC.

Consultez les exemples JSON et YAML suivants.

JSON :

{
  "myVPCPeeringConnection": {
    "Type": "AWS::EC2::VPCPeeringConnection",
    "Properties": {
      ......
      "PeerRegion": "Accepter-VPC-Region-Code"
    }
  }
}

YAML :

myVPCPeeringConnection:
  Type: 'AWS::EC2::VPCPeeringConnection'
  Properties:
    ......
    PeerRegion: Accepter-VPC-Region-Code

Informations connexes

Procédure pas à pas : Associez un Amazon VPC à un autre compte AWS

Création d'une connexion d'appairage de VPC

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a 8 mois