Comment puis-je résoudre les problèmes de connectivité liés à mes points de terminaison d’un VPC Amazon de passerelle ?

Lecture de 7 minute(s)
0

Je souhaite résoudre les problèmes de connectivité liés aux points de terminaison Amazon Virtual Private Cloud (Amazon VPC) de ma passerelle.

Brève description

Les points de terminaison d’un VPC de passerelle vous permettent de vous connecter en privé à Amazon Simple Storage Service (Amazon S3) et à Amazon DynamoDB à partir de votre Amazon VPC. Les problèmes de connectivité des points de terminaison d’un VPC de passerelle peuvent être liés aux règles d’accès au réseau ou de sécurité qui autorisent la connexion.

Pour résoudre les problèmes de connectivité, utilisez l’Analyseur d’accessibilité. Vérifiez également les configurations suivantes :

  • Les configurations de région AWS
  • La résolution de DNS
  • Les paramètres de la table de routage de sous-réseau
  • Les groupes de sécurité
  • Les règles des listes de contrôle d’accès au réseau (ACL réseau)
  • La politique relative aux points de terminaison d’un VPC d’Amazon
  • La politique relative aux compartiments d’Amazon S3
  • La politique AWS Identity and Access Management (AWS IAM)
  • Le flux de trafic sur le point de terminaison de la passerelle

Résolution

Remarque : si des erreurs surviennent lorsque vous exécutez des commandes d’interface de la ligne de commande AWS (AWS CLI), consultez la page Corriger des erreurs liées à l’AWS CLI. Vérifiez également que vous utilisez bien la version la plus récente d’AWS CLI.

Utiliser l’Analyseur d’accessibilité

Utilisez l’Analyseur d’accessibilité pour résoudre les problèmes de connectivité entre la source et le point de terminaison de passerelle. Pour plus d’informations, consultez Comment puis-je utiliser l’Analyseur d’accessibilité Amazon VPC pour résoudre les problèmes de connectivité liés à une ressource Amazon VPC ?

Vérifier les configurations de région

Les points de terminaison de passerelle ne sont disponibles que dans la région dans laquelle ils ont été créés. Assurez-vous de créer votre point de terminaison de passerelle dans la même région que les compartiments Amazon S3 ou que les tables DynamoDB. Pour trouver la région de votre compartiment, exécutez la commande get-bucket-location d’AWS CLI.

De même, si vous utilisez un kit SDK pour accéder à un service à partir du point de terminaison de passerelle, confirmez-en la région. Assurez-vous que la région est configurée au même emplacement que les ressources de service. Par exemple, utilisez laConfig. d’objet pour Boto3 et AWS Config pour AWS CLI.

Remarque : les demandes envoyées à une région incorrecte peuvent entraîner des délais d’attente ou un accès au service via Internet. Tout dépend de la table de routage configurée sur le sous-réseau source.

Vérifier la résolution de DNS

Vérifiez les paramètres de DNS dans votre Amazon VPC. Vous devez activer la résolution de DNS dans votre Amazon VPC. Si vous utilisez votre propre serveur DNS, assurez-vous que les demandes de DNS adressées aux services AWS sont renvoyées aux adresses IP gérées par AWS.

Vérifier les paramètres de table de routage du sous-réseau

Vérifiez les paramètres de table de routage. Confirmez l’existence d’une route vers Amazon S3 et DynamoDB qui utilise le point de terminaison d’un VPC de passerelle.

Vérifier les groupes de sécurité

Vérifiez les groupes de sécurité associés à la source qui initie les connexions à Amazon S3 et à DynamoDB. Confirmez que les règles sortantes disponibles autorisent bien le trafic vers Amazon S3 ou DynamoDB. Si le groupe de sécurité possède des règles plus restrictives que les règles sortantes par défaut, confirmez l’une des conditions suivantes :

  • Il existe une règle sortante qui autorise le trafic vers l’identifiant de la liste de préfixes associée au point de terminaison d’un VPC d’Amazon de passerelle.
  • Il existe un bloc CIDR (plage d’adresses IP) propre au service dans la destination. En l’absence de bloc CIDR propre au service, vous ne pouvez pas en ajouter. Il est recommandé d’utiliser l’identifiant de liste de préfixes fourni par le service, car AWS gère les plages d’adresses IP des listes de préfixes.

Pour afficher les CIDR d’IP publiques pour Amazon S3 et DynamoDB dans une région spécifique, exécutez la commande describe-prefix-lists d’AWS CLI. Remplacez example-region par votre région :

aws ec2 describe-prefix-lists --region <example-Region>

Vérifier les règles ACL du réseau

Les règles ACL du sous-réseau doivent autoriser les connexions entrantes et sortantes de protocole de contrôle de transmissions (TCP) vers les CIDR de service Amazon S3 ou DynamoDB au sein de la région. Vérifiez les règles ACL de réseau et confirmez les conditions suivantes :

  • Dans la vue Règles entrantes, confirmez que les règles autorisent le trafic de retour entrant en provenance du service auquel vous tentez d’accéder sur les ports TCP éphémères 1024-65535.
  • Dans la vue Règles sortantes, confirmez que les règles autorisent le trafic vers le bloc CIDR (plage d’adresses IP) de service sur HTTPS.

Remarque : par défaut, les règles ACL réseau autorisent tout le trafic IPv4 et IPv6 entrant et sortant. Si les règles ACL de votre réseau limitent le trafic, spécifiez le bloc CIDR du service pour lequel le point de terminaison de passerelle a été créé. Il est recommandé de définir des notifications lorsque les adresses IP des services changent et d’utiliser des scripts pour mettre à jour automatiquement les règles ACL de réseau. Pour plus d’informations, consultez Comment puis-je recevoir des notifications pour vérifier les changements d’adresse IP d’Amazon S3 ?

Vérifier la politique relative aux points de terminaison d’un VPC d’Amazon

Consulter la politique relative aux points de terminaison d’un VPC d’Amazon. Lorsque vous utilisez une politique personnalisée de point de terminaison, confirmez que la politique associée au point de terminaison autorise bien l’accès pour effectuer des actions contre le service. La politique de point de terminaison par défaut autorise un accès complet au service. Pour plus d’informations, consultez Contrôler l’accès aux points de terminaison d’un VPC à l’aide de politiques de points de terminaison.

Consulter la politique relative aux compartiments d’Amazon S3

Consultez la politique relative aux compartiments d’Amazon S3 et confirmez qu’elle autorise bien l’accès à partir du point de terminaison d’un VPC d’Amazon de passerelle et d’Amazon VPC. Pour plus d’informations, consultez Contrôler l’accès en utilisant des politiques de compartiments.

Remarque : votre politique de compartiment ne peut restreindre l’accès qu’à partir d’une adresse IP publique ou élastique spécifique associée à une instance Amazon VPC. La politique de compartiments peut restreindre l’accès en fonction des adresses IP privées associées aux instances. Pour plus d’informations, consultez Gestion de l’accès selon des adresses IP spécifiques.

Si vous utilisez un serveur proxy, confirmez que les connexions à votre Amazon VPC sont autorisées via le serveur. Si vous n’utilisez pas de serveur proxy pour Amazon S3, exécutez la commande suivante pour contourner le serveur proxy quand vous accédez à votre compartiment. Remplacez example-region par votre région :

export no_proxy = mybucket.s3.<example-Region>.amazonaws.com

Vérifier la politique IAM

Vérifiez la politique IAM et confirmez que les utilisateurs associés de l’utilisateur ou du rôle IAM disposent bien des autorisations requises pour accéder à Amazon S3. Pour plus d’informations, consultez Comment restreindre l’accès aux compartiments d’Amazon S3 à un rôle IAM spécifique et Contrôle d’accès à un compartiment à l’aide de politiques d’utilisateurs.

Vérifier le débit en un point de terminaison de passerelle

Pour vérifier si le trafic passe par un point de terminaison de passerelle ou par un point de terminaison d’interface, consultez Comment puis-je vérifier si le trafic d’Amazon S3 passe par un point de terminaison d’un VPC de passerelle ou par un point de terminaison d’un VPC d’interface ?

Informations connexes

Gestion des accès aux ressources AWS

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a 6 mois