Comment puis-je résoudre les problèmes de connectivité liés aux points de terminaison de passerelle Amazon VPC ?

Brève description

Les points de terminaison d'un VPC de passerelle vous permettent de vous connecter en privé à Amazon Simple Storage Service (Amazon S3) et à Amazon DynamoDB depuis votre Amazon VPC. Les problèmes de connectivité des points de terminaison d'un VPC de passerelle peuvent être liés aux règles d'accès au réseau ou de sécurité qui autorisent la connexion.

Pour résoudre les problèmes de connectivité, utilisez l'analyseur d'accessibilité. Vérifiez également les configurations suivantes :

• configurations des régions AWS
• résolution DNS
• paramètres de la table de routage du sous-réseau
• groupes de sécurité
• règles des listes de contrôle d'accès au réseau (ACL réseau)
• politique relative aux points de terminaison Amazon VPC
• politique relative aux compartiments Amazon S3
• politique Gestion des identités et des accès AWS (IAM)
• flux de trafic sur le point de terminaison de la passerelle

Résolution

Remarque : si des erreurs surviennent lorsque vous exécutez des commandes de l'interface de la ligne de commande AWS (AWS CLI), reportez-vous à Résolution des erreurs liées à AWS CLI. Vérifiez également que vous utilisez la version la plus récente de l'AWS CLI.

Utiliser l'analyseur d'accessibilité

Utilisez l'analyseur d'accessibilité pour résoudre les problèmes de connectivité entre le point de terminaison source et le point de terminaison de la passerelle. Pour plus d'informations, reportez-vous à Comment puis-je utiliser l'analyseur d'accessibilité Amazon VPC pour résoudre les problèmes de connectivité liés à une ressource Amazon VPC ?

Vérifier les configurations des régions

Les points de terminaison de la passerelle ne sont disponibles que dans la région dans laquelle ils ont été créés. Assurez-vous de créer le point de terminaison de la passerelle dans la même région que les compartiments Amazon S3 ou des tables DynamoDB. Pour trouver la région du compartiment, exécutez la commande get-bucket-location de l'interface de la ligne de commande AWS.

De même, si vous utilisez un kit SDK pour accéder à un service depuis le point de terminaison de la passerelle, vérifiez-en la région. Assurez-vous que la région configurée est la même que celle des ressources du service. Par exemple, utilisez l'objet Config pour Boto3 et aws configure pour AWS CLI.

Remarque : les demandes envoyées à une région incorrecte peuvent entraîner des délais d'attente ou un accès au service via Internet. Tout dépend de la table de routage configurée sur le sous-réseau source.

Vérifier la résolution DNS

Vérifiez les paramètres DNS dans votre Amazon VPC. Vous devez activer la résolution DNS dans votre Amazon VPC. Si vous utilisez votre propre serveur DNS, assurez-vous que les demandes DNS adressées aux services AWS sont renvoyées aux adresses IP gérées par AWS.

Vérifier les paramètres de la table de routage du sous-réseau

Vérifiez les paramètres de la table de routage. Vérifiez qu'il existe une route vers Amazon S3 et DynamoDB qui utilise le point de terminaison d'un VPC de passerelle.

Vérifier les groupes de sécurité

Vérifiez les groupes de sécurité associés à la source qui initie les connexions à Amazon S3 et DynamoDB. Vérifiez que les règles sortantes disponibles autorisent le trafic vers Amazon S3 ou DynamoDB. Si le groupe de sécurité possède des règles plus restrictives que les règles sortantes par défaut, vérifiez que l'une des conditions suivantes est remplie :

• Il existe une règle sortante qui autorise le trafic vers l'ID de la liste de préfixes associée au point de terminaison de passerelle Amazon VPC.
• Il existe un bloc CIDR (plage d'adresses IP) spécifique au service dans la destination. S'il n'existe pas de bloc d'adresses CIDR spécifique au service, vous ne pouvez pas en ajouter un. Il est recommandé d'utiliser l'](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-aws-managed-prefix-lists.html)ID de la liste de préfixes[ fourni par le service, car AWS gère les plages d'adresses IP des listes de préfixes.

Pour afficher les blocs d'adresses IP CIDR publiques pour Amazon S3 et DynamoDB dans une région spécifique, exécutez la commande describe-prefix-lists de l'interface de la ligne de commande AWS (AWS CLI). Vous devez remplacer la valeur example-region par votre région :

aws ec2 describe-prefix-lists --region <example-Region>

Vérifier les règles ACL du réseau

Les ACL du sous-réseau doivent autoriser les connexions TCP entrantes et sortantes vers les blocs CIDR du service Amazon S3 ou DynamoDB au sein de la région. Vérifiez les règles ACL du réseau ainsi que les conditions suivantes :

• Dans la vue Règles entrantes, vérifiez que les règles autorisent le trafic de retour entrant en provenance du service auquel vous tentez d'accéder sur les ports TCP éphémères 1024-65535.
• Dans la vue Règles sortantes, vérifiez que les règles autorisent le trafic vers le bloc CIDR (plage d'adresses IP) du service via HTTPS.

Remarque : par défaut, les ACL réseau autorisent tout le trafic IPv4 et IPv6 entrant et sortant. Si les règles ACL de votre réseau limitent le trafic, spécifiez le bloc CIDR du service pour lequel le point de terminaison de passerelle a été créé. Il est recommandé de définir des notifications lorsque les adresses IP des services changent et d'utiliser des scripts pour mettre à jour automatiquement les règles ACL du réseau. Pour plus d'informations, reportez-vous à Comment puis-je recevoir des notifications pour vérifier les changements d'adresse IP Amazon S3 ?

Vérifier la politique relative aux points de terminaison Amazon VPC

Consultez la politique relative aux points de terminaison Amazon VPC. Lorsque vous utilisez une politique de point de terminaison personnalisée, vérifiez que la politique associée au point de terminaison autorise l'accès pour effectuer des actions contre le service. La politique de point de terminaison par défaut autorise un accès complet au service. Pour plus d'informations, reportez-vous à Contrôler l'accès aux points de terminaison d'un VPC à l'aide de politiques de point de terminaison.

Consulter la politique relative aux compartiments Amazon S3

Consultez la politique relative aux compartiments Amazon S3 et vérifiez qu'elle autorise l'accès depuis le point de terminaison Amazon VPC de passerelle et Amazon VPC. Pour plus d'informations, reportez-vous à Contrôler l'accès à l'aide de politiques de compartiment.

Remarque : la politique de compartiment ne peut restreindre l'accès qu'à partir d'une adresse IP publique ou élastique spécifique associée à une instance dans un Amazon VPC. La politique de compartiment peut restreindre l'accès en fonction des adresses IP privées associées aux instances. Pour plus d'informations, reportez-vous à Gestion de l'accès en fonction d'adresses IP spécifiques.

Si vous utilisez un serveur proxy, vérifiez que les connexions à Amazon VPC sont autorisées via le serveur. Si vous n'utilisez pas de serveur proxy pour Amazon S3, exécutez la commande suivante accéder au compartiment en contournant le serveur proxy. Vous devez remplacer la valeur example-region par votre région :

export no_proxy = mybucket.s3.<example-Region>.amazonaws.com

Vérifier la politique IAM

Consultez la politique IAM et vérifiez que les utilisateurs associés à l'utilisateur ou au rôle IAM disposent des autorisations requises pour accéder à Amazon S3. Pour plus d'informations, reportez-vous à Comment restreindre l'accès au compartiment Amazon S3 à un rôle IAM spécifique et Contrôle de l'accès à un compartiment à l'aide de politiques utilisateur.

Vérifier le flux de trafic sur un point de terminaison de passerelle

Pour vérifier si le trafic passe par un point de terminaison de passerelle ou un point de terminaison d'interface, reportez-vous à Comment puis-je vérifier si le trafic Amazon S3 passe par un point de terminaison d'un VPC de passerelle ou un point de terminaison d'un VPC d'interface ?

Informations connexes

Gestion des accès aux ressources AWS