Perché non riesco a eliminare il mio endpoint VPC gestito dal richiedente?

Breve descrizione

Quando si elimina un endpoint VPC di interfaccia, è possibile che venga visualizzato il seguente errore:

vpce-0399e6e9fd2f4e430: Operation is not allowed for requester-managed VPC endpoints for the service com.amazonaws.vpce.region.vpce-svc-04c257ad126576358 (vpce-0399e6e9fd2f4e430: l'operazione non è consentita per gli endpoint VPC gestiti dal richiedente per il servizio com.amazonaws.vpce.region.vpce-svc-04c257ad126576358)

Questo errore si verifica quando l'endpoint da eliminare è un endpoint VPC gestito dal richiedente. Gli endpoint gestiti dal richiedente vengono creati da qualsiasi servizio gestito da AWS (ad esempio, Amazon Aurora Serverless). Per eliminare questo tipo di endpoint, è necessario determinare il servizio gestito da AWS che lo ha creato. Dopo aver identificato il servizio, devi per prima cosa eliminare tale risorsa prima di poter eliminare l'endpoint.

Risoluzione

Per verificare quale servizio gestito da AWS ha creato un endpoint, effettua le seguenti operazioni:

Se l'endpoint è stato creato negli ultimi 90 giorni

Se l'endpoint è stato creato negli ultimi 90 giorni dal momento in cui stai tentando di eliminarlo, utilizza AWS CloudTrail per determinare quale servizio lo ha creato. Assicurati di impostare la visualizzazione della console CloudTrail sugli ultimi 90 giorni di attività API registrata (eventi di gestione).

Per visualizzare gli eventi CloudTrail, procedi come segue:

1.    Apri la console CloudTrail.

2.    Nel pannello di navigazione, scegli Event history (Cronologia eventi).

3.    Dal menu a discesa seleziona il nome della Resource (Risorsa) e quindi aggiungi l'ID dell'endpoint VPC (ad esempio vpce-xxxxxx) nel filtro.

4.    Cerca la chiamata API CreateVpcEndpoint e controlla il nome utente. Per gli endpoint creati da Aurora Serverless, il nome utente viene visualizzato come RDSAuroraServeless. Per gli endpoint creati da Amazon Relational Database Service (Amazon RDS) Proxy, il nome utente viene visualizzato come RDSSlrAssumptionSession. Per identificare gli endpoint creati dal Firewall di rete AWS, visualizza il record dell'evento per la chiamata API CreateVpcEndpoint e verifica la presenza di tag con chiave-valore Firewall e AWSNetworkFirewallManaged:

"Tag": [
                  {
                        "Value": ""arn:aws:network-firewall:<region>:<account number>:firewall/<firewall name>",
                        "tag": 1,
                        "Key": "Firewall"

                    },
                    {
                        "Value": true,
                        "tag": 2,
                        "Key": "AWSNetworkFirewallManaged"
                    }

Se l'endpoint è stato creato da più di 90 giorni

Per determinare se AWS Network Firewall ha creato l'endpoint:

1.    Apri la console VPC e poi seleziona Endpoints (Endpoint).

2.    Seleziona l'endpoint e quindi seleziona Tags (Tag).

3.    Verifica quanto segue:

• Come Key (Chiave) è inserito AWSNetworkFirewallManaged e come Value (Valore) è inserito True.
• Come Key (Chiave) è inserito Firewall e come Value (Valore) è inserito l'ARN del firewall di rete arn:aws:network-firewall:region:account number:firewall/firewall name.

Puoi inoltre visualizzare gli endpoint creati dal Firewall di rete AWS effettuando le seguenti operazioni:

1.    Apri la console VPC e poi seleziona Firewalls (Firewall).

2.    Seleziona Firewall details (Dettagli del firewall).

Per determinare se Aurora Serverless ha creato l'endpoint:

Se l'endpoint di interfaccia gestito dal richiedente viene creato da Aurora Serverless dopo 90 giorni, esegui una ricerca del nome per l'endpoint dei database Aurora Serverless esistenti. Questo restituisce il CNAME come nome DNS dell'endpoint VPC di interfaccia. È possibile utilizzare questa opzione per confermare se l'endpoint è stato creato da Aurora Serverless.

Ad esempio, disponi di un endpoint VPC di interfaccia con ID vpce-0013b47d434ae7786 che non puoi eliminare. Per verificare se Aurora Serverless ha creato l'endpoint, effettua le seguenti operazioni:

1.    Esegui una ricerca del nome sull'endpoint Aurora Serverless:

dig test1.proxy-chnis5vssnuj.us-east-1.rds.amazonaws.com +short
vpce-0ce9fdcdd4aa4097e-1hbywnw6.vpce-svc-0b2f119acb23c050e.us-east-1.vpce.amazonaws.com.
172.31.4.218
172.31.21.82

2.    Controlla il valore CNAME del record corrispondente al nome DNS dell'endpoint che stai tentando di eliminare. Ciò conferma che questo endpoint è stato creato da Aurora Serverless.

Nota: per verificare il nome DNS dell'endpoint, effettua le seguenti operazioni:

1.    Apri la console VPC e seleziona Endpoints (Endpoint).

2.    Seleziona la scheda Details (Dettagli) e visualizza i DNS names (Nomi DNS) elencati.

Per determinare se RDS Proxy ha creato l'endpoint:

Completa i passaggi precedenti forniti per Aurora Serverless. Se sono presenti più endpoint RDS Proxy e Aurora Serverless, ripeti i passaggi per ciascun endpoint.

Per determinare se si tratta di un endpoint VPC gestito da Redshift:

1.    Apri la console Amazon Redshift, quindi scegli Configurations (Configurazioni).

2.    Controlla se ci sono endpoint configurati in Redshift-managed VPC endpoints (Endpoint VPC gestiti da RedShift).

Elimina il servizio

Dopo aver identificato il servizio che ha creato l'endpoint, elimina il servizio (e l'endpoint corrispondente).

• Elimina il firewall di rete per rimuovere l'endpoint creato dal firewall di rete.
• Elimina il cluster DB Aurora Serverless.
• Elimina il proxy RDS per rimuovere l'endpoint creato da RDS Proxy.
• Elimina gli endpoint VPC gestiti da Redshift utilizzando la console Redshift o utilizza il comando delete-endpoint-access dell'interfaccia della linea di comando AWS (AWS CLI).

Nota: se ricevi un messaggio di errore durante l'esecuzione dei comandi di AWS CLI, assicurati di utilizzare la versione più recente di AWS CLI.

---