Como solucionar problemas de conectividade de endpoints de gateway da Amazon VPC?

6 minuto de leitura
0

Quero solucionar problemas de conectividade de endpoints de gateway da Amazon Virtual Private Cloud (Amazon VPC).

Breve descrição

Os endpoints de gateway da VPC permitem que você se conecte de forma privada ao Amazon Simple Storage Service (Amazon S3) e ao Amazon DynamoDB a partir da sua Amazon VPC. Os problemas de conectividade de endpoints de gateway da VPC podem ser causados pelo acesso à rede ou pelas regras de segurança que permitem a conexão.

Para solucionar problemas de conectividade, use o Reachability Analyzer. Em seguida, verifique as seguintes configurações:

  • Configurações da região da AWS
  • Resolução de DNS
  • As configurações da tabela de rotas da sub-rede
  • Grupos de segurança
  • Regras das listas de controle de acesso à rede (ACLs da rede)
  • Política de endpoints da Amazon VPC
  • Política de bucket do Amazon S3
  • Política do AWS Identity and Access Management (IAM)
  • O fluxo de tráfego pelo endpoint de gateway

Resolução

Observação: se você receber erros ao executar comandos da AWS Command Line Interface (AWS CLI), consulte Solucionar erros da AWS CLI. Além disso, verifique se você está usando a versão mais recente da AWS CLI.

Usar o Reachability Analyzer

Use o Reachability Analyzer para solucionar problemas de conectividade entre a origem e o endpoint de gateway. Para obter mais informações, consulte Como uso o Amazon VPC Reachability Analyzer para solucionar problemas de conectividade de um recurso da Amazon VPC?

Verificar as configurações de região

Os endpoints de gateway estão disponíveis somente na região em que foram criados. Certifique-se de criar seu endpoint de gateway na mesma região que seus buckets do Amazon S3 ou tabelas do DynamoDB. Para encontrar a região do seu bucket, execute o comando get-bucket-location da AWS CLI.

Além disso, ao usar um SDK para acessar um serviço a partir do endpoint de gateway, confirme a região. Certifique-se de que a região esteja configurada no mesmo local dos recursos do serviço. Por exemplo, use Config object para Boto3 e aws configure para AWS CLI.

Observação: solicitações enviadas para uma região incorreta podem causar tempo limite ou acesso ao serviço pela Internet. Isso depende da tabela de rotas configurada na sub-rede de origem.

Verificar a resolução de DNS

Verifique as configurações de DNS em sua Amazon VPC. Você deve ativar a resolução de DNS em sua Amazon VPC. Se você usa seu próprio servidor de DNS, certifique-se de que as solicitações de DNS aos serviços da AWS sejam resolvidas para os endereços IP que a AWS mantém.

Verificar as configurações da tabela de rotas da sub-rede

Verifique as configurações da tabela de rotas. Confirme se há uma rota para o Amazon S3 e o DynamoDB que usa o endpoint de gateway da VPC.

Verificar os grupos de segurança

Verifique os grupos de segurança associados à fonte que inicia as conexões com o Amazon S3 e o DynamoDB. Confirme se as regras de saída disponíveis permitem o tráfego para o Amazon S3 ou o DynamoDB. Se o grupo de segurança tiver regras mais restritivas do que as regras de saída padrão, confirme uma das seguintes opções:

  • Há uma regra de saída que permite o tráfego para o ID da lista de prefixos associada ao endpoint de gateway da Amazon VPC.
  • Há um bloco CIDR específico do serviço (intervalo de endereços IP) no destino. Se não houver um bloco CIDR específico do serviço, você não poderá adicionar um bloco CIDR específico do serviço. É uma prática recomendada usar o ID da lista de prefixos que o serviço fornece, pois a AWS gerencia os intervalos de endereços IP da lista de prefixos.

Para visualizar os CIDRs de IP públicos do Amazon S3 e do DynamoDB em uma região específica, execute o comando describe-prefix-lists da AWS CLI. Substitua example-Region pela sua região:

aws ec2 describe-prefix-lists --region <example-Region>

Verificar as regras da ACL de rede

As ACLs de rede de sub-rede devem permitir conexões TCP de entrada e saída para CIDRs de serviço do Amazon S3 ou DynamoDB na região. Verifique as regras da ACL de rede e confirme o seguinte:

  • Na visualização Regras de entrada, confirme se as regras permitem o tráfego de retorno de entrada do serviço que você está tentando acessar nas portas TCP efêmeras 1024-65535.
  • Na visualização Regras de saída, confirme se as regras permitem o tráfego para o bloco CIDR de serviço (intervalo de endereços IP) em HTTPS.

Observação: por padrão, as ACLs de rede permitem todo o tráfego IPv4 e IPv6 de entrada e saída. Se as regras da ACL de rede restringirem o tráfego, especifique o bloco CIDR para o serviço para o qual o endpoint de gateway foi criado. É uma prática recomendada definir notificações para quando os endereços IP do serviço mudarem e usar scripts para atualizar automaticamente as regras da ACL de rede. Para obter mais informações, consulte Como posso receber notificações para verificar alterações no endereço IP do Amazon S3?

Verificar a política de endpoint da Amazon VPC

Analise a política de endpoints da Amazon VPC. Ao usar uma política de endpoint personalizada, confirme se a política associada ao endpoint permite que o acesso execute ações no serviço. A política de endpoint padrão permite acesso total ao serviço. Para obter mais informações, consulte Control access to VPC endpoints using endpoint policies.

Verificar a política de bucket do Amazon S3

Analise a política de bucket do Amazon S3 e confirme se a política de bucket permite acesso a partir do endpoint de gateway da Amazon VPC e da Amazon VPC. Para obter mais informações, consulte Control access using bucket policies.

Observação: sua política de bucket pode restringir o acesso somente de um endereço IP público ou elástico específico associado a uma instância em uma Amazon VPC. Sua política de bucket pode restringir o acesso com base em endereços IP privados associados às instâncias. Para obter mais informações, consulte Gerenciar o acesso com base em endereços IP específicos.

Se você usa um servidor proxy, confirme se suas conexões da Amazon VPC são permitidas por meio do servidor. Se você não usa um servidor proxy para o Amazon S3, execute o seguinte comando para ignorar o servidor proxy ao acessar seu bucket. Substitua example-Region pela sua região:

export no_proxy = mybucket.s3.<example-Region>.amazonaws.com

Verificar a política do IAM

Verifique a política do IAM e confirme se os usuários associados ao usuário ou perfil do IAM têm as permissões necessárias para acessar o Amazon S3. Para obter mais informações, consulte How to restrict Amazon S3 bucket access to a specific IAM role e Controlar o acesso a um bucket com políticas de usuário.

Verificar o fluxo de tráfego em um endpoint de gateway

Para verificar se o tráfego está passando por um endpoint de gateway ou endpoint de interface, consulte How do I check if my Amazon S3 traffic is going through a gateway VPC endpoint or an interface VPC endpoint?

Informações relacionadas

Gerenciamento de acesso para recursos da AWS

AWS OFICIAL
AWS OFICIALAtualizada há 6 meses