Come posso risolvere i problemi di connettività quando uso gli endpoint di interfaccia VPC per connettermi al mio bucket Amazon S3?

Breve descrizione

Per risolvere i problemi di connettività, completa i seguenti passaggi:

• Verifica la policy associata all'endpoint Amazon VPC dell'interfaccia e al bucket Amazon S3.
• Verifica che la tua rete sia connessa agli endpoint di interfaccia Amazon S3.
• Verifica che il DNS risolva i nomi negli indirizzi IP degli endpoint di interfaccia Amazon S3.
• Correggi gli errori di convalida SSL.

Risoluzione

Nota: nei seguenti comandi, sostituisci i valori di esempio con i tuoi valori.

Verifica la policy associata all'endpoint Amazon VPC e al bucket Amazon S3

Per impostazione predefinita, una policy non viene associata a un bucket Amazon S3 al momento della creazione del bucket. Quando crei un endpoint di interfaccia Amazon S3, puoi associare una policy. Per impostazione predefinita, la policy associata consente di effettuare qualsiasi operazione sul bucket. Per ulteriori informazioni, consulta la sezione Accesso al servizio AWS utilizzando un endpoint VPC dell'interfaccia.

Verifica che la tua rete sia connessa agli endpoint di interfaccia Amazon S3

Per verificare la connessione con gli endpoint di interfaccia Amazon S3, completa i seguenti passaggi:

• Verifica la connettività tra sorgente e destinazione. Verifica la lista di controllo degli accessi alla rete (ACL) e il gruppo di sicurezza associato agli endpoint di interfaccia Amazon S3. Assicurati che il traffico verso l'endpoint di interfaccia sia consentito.
• Verifica la connettività tra la risorsa AWS o l'host on-premise e l'endpoint Amazon S3:

telnet bucket.example_S3_interface_endpoint_DNS 443

• Per determinare i problemi di connettività con il gruppo di sicurezza o con l'ACL di rete, usa un'istanza di Amazon Elastic Compute Cloud (Amazon EC2) per verificare la connettività sulla sottorete in cui si trova l'endpoint di origine. Controlla che esista una connettività di livello 3 dall'origine alla risorsa AWS di destinazione. Nell'istanza di test assicurati di utilizzare lo stesso gruppo di sicurezza dell'endpoint di interfaccia Amazon S3.

Verifica che il DNS risolva i nomi negli indirizzi IP degli endpoint di interfaccia Amazon S3

Per verificare che il tuo DNS risolva i nomi negli indirizzi IP corretti, usa strumenti come nslookup e dig.

Esempio di comando dig:

dig *example_s3_interface_endpoint_DNS@example_local_nameserver

Nota: il server DNS fornito da Amazon è l'indirizzo IP .2 del CIDR di Amazon VPC. L'host on-premise è il server di nomi locale dell'host elencato nel file /etc/resolv.conf.

Risolvi gli errori di convalida SSL

Per risolvere o per prevenire un errore di convalida SSL, assicurati che l'URL dell'endpoint corrisponda al dominio. Dopo aver completato la verifica dell'URL, accedi al bucket S3 ed elenca l'oggetto nel bucket.

Nota: i certificati per gli endpoint AWS PrivateLink per Amazon S3 hanno tre sottodomini: bucket, punto di accesso e controllo. Assicurati di specificare il sottodominio corretto quando indirizzi un endpoint AWS PrivateLink per Amazon S3.

Per risolvere gli errori SSL, esegui questi comandi:

Controlla la verifica dell'URL:

aws s3 ls s3://<example-bucket-name>/ --region <example-region> --endpoint-url https://bucket.<example-endpoint-id>.s3.<example-region>.

Controlla i certificati supportati:

openssl s_client -connect <example-endpoint-URL>:443 </dev/null 2>/dev/null | openssl x509 -noout -text | grep DNS

Controlla la connettività tramite il protocollo SSL:

openssl s_client -connect <Endpoint URL>:443

Informazioni correlate

Accesso ai bucket, ai punti di accesso e alle operazioni API di controllo Amazon S3 dagli endpoint di interfaccia S3

Condividi i tuoi servizi tramite AWS PrivateLink

Endpoint gateway per Amazon S3