요청자 관리형 VPC 엔드포인트를 삭제할 수 없는 이유는 무엇인가요?

간략한 설명

인터페이스 VPC 엔드포인트를 삭제할 때 다음 오류가 발생할 수 있습니다.

vpce-0399e6e9fd2f4e430: 서비스 com.amazonaws.vpce.region.vpce-svc-04c257ad126576358에 대한 요청자 관리형 VPC 엔드포인트에 대해서는 운영이 허용되지 않습니다.

이 오류는 삭제 중인 엔드포인트가 요청자 관리형 VPC 엔드포인트일 때 발생합니다. 요청자 관리형 엔드포인트는 모든 AWS 관리형 서비스(예: Amazon Aurora Serverless)에 의해 생성됩니다. 이 유형의 엔드포인트를 삭제하려면 엔드포인트를 생성한 AWS 관리형 서비스를 확인해야 합니다. 서비스를 파악한 후 엔드포인트를 삭제하기 전에 우선 해당 리소스를 삭제해야 합니다.

해결 방법

엔드포인트를 생성한 AWS 관리형 서비스를 확인하려면 다음을 수행합니다.

엔드포인트가 90일 이내에 생성된 경우

엔드포인트를 삭제하려고 시도한 후 90일 이내에 생성된 경우 AWS CloudTrail을 사용하여 엔드포인트를 생성한 서비스를 확인합니다. CloudTrail 콘솔 보기를 기록된 API 활동(관리 이벤트)의 마지막 90일로 설정해야 합니다.

CloudTrail 이벤트를 보려면 다음을 수행합니다.

1.    CloudTrail 콘솔을 엽니다.

2.    탐색 창에서 [이벤트 기록]을 선택합니다.

3.    드롭다운 목록에서Resource(리소스) 이름을 선택한 다음 필터에 VPC 엔드포인트 ID (예: vpce-xxxxxx) 를 추가합니다.

4.    CreateVpcEndpoint API 호출을 찾아 사용자 이름을 확인합니다. Aurora Serverless로 생성된 엔드포인트의 경우 사용자 이름이RDSAuroraServeless로 표시됩니다. Amazon Relational Database Service(Amazon RDS) 프록시에서 생성한 엔드포인트의 경우 사용자 이름이 RDSSlrAssumptionSession으로 표시됩니다. AWS Network Firewall에서 생성된 엔드포인트를 식별하려면 CreateVpcEndpoint API 호출에 대한 이벤트 레코드를 보고 키 값이 Firewall 및 AWSNetworkFirewallManaged인 태그가 있는지 확인합니다.

"Tag": [
                  {
                        "Value": ""arn:aws:network-firewall:<region>:<account number>:firewall/<firewall name>",
                        "tag": 1,
                        "Key": "Firewall"

                    },
                    {
                        "Value": true,
                        "tag": 2,
                        "Key": "AWSNetworkFirewallManaged"
                    }

엔드포인트가 90일보다 오래된 경우

AWS Network Firewall이 엔드포인트를 생성했는지 확인하려면 다음을 수행합니다.

1.    VPC 콘솔을 연 다음**Endpoints(엔드포인트)**를 선택합니다.

2.    엔드포인트를 선택한 다음**Tags(태그)**를 선택합니다.

3.    다음 사항을 확인합니다.

• **Key(키)**는 AWSNetworkFirewallManaged이며 **Value(값)**은 True입니다.
• **Key(키)**는 Firewall이고 **Value(값)**은 Network Firewall ARN arn:aws:network-firewall:region:account number:firewall/firewall name입니다.

다음을 수행하여 AWS Network Firewall에서 생성된 엔드포인트를 볼 수도 있습니다.

1.    VPC 콘솔을 연 다음**Firewalls(방화벽)**을 선택합니다.

2.    **Firewall details(방화벽 세부 정보)**를 선택합니다.

Aurora Serverless가 엔드포인트를 생성했는지 확인하려면 다음을 수행합니다.

요청자 관리형 인터페이스 엔드포인트가 90일 후에 Aurora Serverless에서 생성된 경우 기존 Aurora Serverless 데이터베이스의 엔드포인트에 대해 이름 검색을 수행합니다. 그러면 CNAME이 VPC 인터페이스 엔드포인트 DNS 이름으로 반환됩니다. 이를 사용하여 엔드포인트가 Aurora Serverless에서 생성되었는지 확인할 수 있습니다.

예를 들어 삭제할 수 없는 ID가 vpce-0013b47d434ae7786인 인터페이스 VPC 엔드포인트가 있습니다. Aurora Serverless가 엔드포인트를 생성했는지 확인하려면 다음을 수행합니다.

1.    Aurora Serverless 엔드포인트에서 이름 검색를 수행합니다.

dig test1.proxy-chnis5vssnuj.us-east-1.rds.amazonaws.com +short
vpce-0ce9fdcdd4aa4097e-1hbywnw6.vpce-svc-0b2f119acb23c050e.us-east-1.vpce.amazonaws.com.
172.31.4.218
172.31.21.82

2.    삭제하려는 엔드포인트의 DNS 이름과 일치하는 레코드의 CNAME 값을 확인합니다. 그러면 이 엔드포인트가 Aurora Serverless에서 생성되었음을 확인할 수 있습니다.

참고: 엔드포인트의 DNS 이름을 확인하려면 다음을 수행합니다.

1.    VPC 콘솔을 열고**Endpoints(엔드포인트)**를 선택합니다.

2.    Details(세부 정보) 탭을 선택하고 나열된 DNS 이름을 봅니다.

RDS 프록시에서 엔드포인트를 생성했는지 확인하려면 다음을 수행합니다.

Aurora Serverless에 제공된 이전 단계를 완료합니다. RDS 프록시 및 Aurora Serverless 엔드포인트가 여러 개 있는 경우 각 엔드포인트에 대해 단계를 반복합니다.

Redshift에서 관리하는 VPC 엔드포인트인지 확인하려면:

1.    Amazon Redshift 콘솔을 열고 구성을 선택합니다.

2.    Redshift로 관리되는 VPC 엔드포인트에 구성된 엔드포인트가 있는지 확인합니다.

서비스 삭제

엔드포인트를 생성한 서비스를 식별한 후 서비스(및 해당 엔드포인트)를 삭제합니다.

• 네트워크 방화벽을 삭제하여 네트워크 방화벽에서 생성된 엔드포인트를 삭제합니다.
• Aurora Serverless DB 클러스터를 삭제합니다.
• RDS 프록시를 삭제하여 RDS 프록시에서 생성한 엔드포인트를 삭제합니다.
• Redshift 콘솔을 사용하여 Redshift 관리형 VPC 엔드포인트를 삭제하거나 delete-endpoint-access AWS Command Line Interface(AWS CLI) 명령을 사용하세요.

참고: AWS CLI 명령을 실행할 때 오류가 발생하는 경우 최신 버전의 AWS CLI를 사용하고 있는지 확인하세요.

---