Stay up to date with the latest from the Knowledge Center. See all new and updated Knowledge Center articles published in the last month and re:Post’s top contributors.
Comment puis-je résoudre les problèmes de connectivité liés à mes points de terminaison d’un VPC Amazon de passerelle ?
Je souhaite résoudre les problèmes de connectivité liés aux points de terminaison Amazon Virtual Private Cloud (Amazon VPC) de ma passerelle.
Résolution
Les problèmes de connectivité des points de terminaison d’un VPC de passerelle peuvent être liés aux règles d’accès au réseau ou de sécurité qui autorisent la connexion.
Remarque : Si des erreurs surviennent lorsque vous exécutez des commandes de l'interface de la ligne de commande AWS (AWS CLI), consultez la section Résoudre des erreurs liées à l’AWS CLI. Vérifiez également que vous utilisez la version la plus récente de l'AWS CLI.
Utiliser l’Analyseur d’accessibilité
Utilisez l’Analyseur d’accessibilité pour résoudre les problèmes de connectivité entre la source et le point de terminaison de passerelle. Pour en savoir plus, reportez-vous à la section Comment puis-je utiliser l'analyseur d'accessibilité Amazon VPC pour résoudre les problèmes de connectivité liés à une ressource Amazon VPC ?
Vérifier les configurations de région
Les points de terminaison de passerelle ne sont disponibles que dans la région dans laquelle vous les avez créés. Assurez-vous de créer votre point de terminaison de passerelle dans la même région que vos compartiments Amazon Simple Storage Service (Amazon S3) ou vos tables Amazon DynamoDB. Pour trouver la région de votre compartiment, exécutez la commande get-bucket-location de l’AWS CLI.
En outre, lorsque vous utilisez un kit SDK pour accéder à un service depuis le point de terminaison de passerelle, configurez la région au même emplacement que les ressources du service. Par exemple, utilisez l’objet Config pour Boto3 et configuration AWS pour l’AWS CLI.
Remarque : Les requêtes envoyées à une région incorrecte peuvent entraîner des délais d’attente ou autoriser l’accès au service via Internet. Tout dépend de la table de routage que vous avez configurée sur le sous-réseau source.
Vérifier la résolution DNS
Mettez à jour les attributs DNS de votre VPC pour activer la résolution DNS. Si vous utilisez votre propre serveur DNS, assurez-vous que les requêtes DNS adressées aux services AWS sont renvoyées aux adresses IP gérées par AWS.
Vérifier les paramètres de table de routage du sous-réseau
Vérifiez les paramètres de la table de routage pour vous assurer qu'il existe un itinéraire vers Amazon S3 et DynamoDB qui utilise le point de terminaison de VPC de passerelle.
Vérifier les groupes de sécurité
Vérifiez les groupes de sécurité associés à la source qui initie les connexions à Amazon S3 et à DynamoDB. Confirmez que les règles sortantes disponibles autorisent bien le trafic vers Amazon S3 ou DynamoDB. Si le groupe de sécurité utilise des règles plus restrictives que les règles sortantes par défaut, confirmez l’une des conditions suivantes :
- Il existe une règle sortante qui autorise le trafic vers l’ID de la liste de préfixes associée au point de terminaison de VPC de passerelle.
- Il existe un bloc CIDR (plage d’adresses IP) propre au service dans la destination. S'il n'existe pas de bloc CIDR propre au service, vous ne pouvez pas en ajouter un. Il est recommandé d’utiliser l’ID de liste de préfixes fourni par le service, car AWS gère les plages d’adresses IP des listes de préfixes.
Pour afficher les CIDR d’adresses IP publiques pour Amazon S3 et DynamoDB dans une région spécifique, exécutez la commande describe-prefix-lists de l’AWS CLI.
aws ec2 describe-prefix-lists --region example-Region
Remarque : Remplacez example-Region par votre région.
Vérifier les règles ACL du réseau
Les règles de contrôle d’accès réseau (ACL sous-réseau) doivent autoriser les connexions TCP entrantes et sortantes vers les CIDR de service Amazon S3 ou DynamoDB au sein de la région.
Ajoutez des règles ACL réseau qui effectuent les opérations suivantes :
- Autorisez le trafic de retour entrant depuis le service auquel vous essayez d'accéder sur les ports TCP éphémères 1024-65535.
- Autorisez le trafic vers le bloc CIDR (plage d'adresses IP) du service via HTTPS.
Remarque : Par défaut, les règles ACL réseau autorisent tout le trafic IPv4 et IPv6 entrant et sortant. Si les règles ACL de votre réseau limitent le trafic, spécifiez le bloc CIDR du service pour lequel vous avez créé le point de terminaison de passerelle. Il est recommandé de définir des notifications lorsque les adresses IP des services changent et d’utiliser des scripts pour mettre à jour automatiquement les règles ACL de réseau. Pour plus d'informations, consultez la section Comment puis-je recevoir des notifications lorsqu'Amazon S3 modifie son adresse IP ?
Vérifier la stratégie de point de terminaison de VPC
Vérifiez la stratégie de point de terminaison de VPC pour déterminer s'il s'agit d'une stratégie personnalisée ou de la stratégie par défaut. Une stratégie de point de terminaison personnalisée doit autoriser l'accès pour effectuer des actions sur le service. La stratégie de point de terminaison par défaut autorise un accès complet au service. Pour en savoir plus, consultez la section Utilisation des stratégies de point de terminaison pour contrôler l'accès aux points de terminaison d'un VPC.
Consulter la stratégie de compartiment Amazon S3
Consultez la stratégie de compartiment Amazon S3 pour vous assurer qu'elle autorise l'accès depuis le point de terminaison de VPC de passerelle et le VPC. Pour plus d'informations, consultez la section Contrôle de l'accès à partir des points de terminaison de VPC à l'aide de stratégies de compartiment.
Remarque : Votre stratégie de compartiment ne peut restreindre l’accès qu’à partir d’une adresse IP publique ou Elastic spécifique associée à une instance dans un VPC. La stratégie peut restreindre l’accès en fonction des adresses IP privées associées aux instances. Pour plus d'informations, consultez la section Exemples de stratégies de compartiment Amazon S3.
Si vous utilisez un serveur proxy, confirmez que vos connexions VPC sont autorisées via le serveur. Si vous n’utilisez pas de serveur proxy pour Amazon S3, exécutez la commande suivante pour contourner le serveur proxy quand vous accédez à votre compartiment :
export no_proxy = s3.example-Region.amazonaws.com
Remarque : Remplacez example-Region par votre région.
Vérifier la stratégie IAM
Consultez la stratégie AWS Identity and Access Management (IAM) pour vous assurer que les utilisateurs associés à l'utilisateur ou au rôle IAM disposent des autorisations requises pour accéder à Amazon S3. Pour plus d’informations, consultez les sections Comment restreindre l’accès aux compartiments Amazon S3 à un rôle IAM spécifique et Contrôle d’accès à un compartiment à l’aide de stratégies utilisateur.
Vérifier le débit en un point de terminaison de passerelle
Pour vérifier si le trafic passe par un point de terminaison de passerelle ou par un point de terminaison d’interface, consultez la section Comment puis-je vérifier si le trafic d’Amazon S3 passe par un point de terminaison de VPC de passerelle ou par un point de terminaison de VPC d’interface ?
Informations connexes
Contenus pertinents
- demandé il y a un an
- demandé il y a un an
- demandé il y a 2 ans
- demandé il y a 10 mois
- AWS OFFICIELA mis à jour il y a un an
- AWS OFFICIELA mis à jour il y a un an