如何對閘道 Amazon VPC 端點的連線問題進行疑難排解？

2 分的閱讀內容

我想對閘道 Amazon Virtual Private Cloud (Amazon VPC) 端點的連線問題進行疑難排解。

簡短描述

閘道 VPC 端點可讓您從 Amazon VPC 以私密的方式連線到 Amazon Simple Storage Service (Amazon S3) 和 Amazon DynamoDB。閘道 VPC 端點連線問題可能是因為允許連線的網路存取或安全規則所致。

若要對連線問題進行疑難排解，請使用 Reachability Analyzer。另請檢查下列組態：

AWS 區域組態
DNS 解析
子網路路由表設定
安全群組
網路存取控制清單 (網路 ACL) 規則
Amazon VPC 端點政策
Amazon S3 儲存貯體政策
AWS Identity and Access Management (IAM) 政策
通過閘道端點的流量

解決方法

**注意：**如果您在執行 AWS Command Line Interface (AWS CLI) 命令時收到錯誤，請參閱對 AWS CLI 錯誤進行疑難排解。此外，請確定您使用的是最新的 AWS CLI 版本。

使用 Reachability Analyzer

使用 Reachability Analyzer 對來源與閘道端點之間的連線問題進行疑難排解。如需詳細資訊，請參閱如何使用 Amazon VPC Reachability Analyzer 對 Amazon VPC 資源的連線問題進行疑難排解？

檢查區域組態

閘道端點僅可在建立的區域中使用。請務必在與 Amazon S3 儲存貯體或 DynamoDB 資料表相同的區域中建立閘道端點。若要尋找儲存貯體的區域，請執行 get-bucket-location AWS CLI 命令。

此外，在使用 SDK 從閘道端點存取服務時，確認區域。請確定區域設定為與服務資源相同的位置。例如，對於 Boto3，使用 Config 物件；對於 AWS CLI，使用 aws configure。

**注意：**傳送至不正確區域的請求可能會導致逾時，或透過網際網路存取服務。這取決於在來源子網路上設定的路由表。

檢查 DNS 解析

檢查 Amazon VPC 中的 DNS 設定。您必須在 Amazon VPC 中啟用 DNS 解析。如果您使用自己的 DNS 伺服器，請確定 AWS 服務的 DNS 請求解析成 AWS 維護的 IP 位址。

檢查子網路路由表設定

檢查路由表設定。確認具有使用閘道 VPC 端點的 Amazon S3 和 DynamoDB 路由。

檢查安全群組

檢查與啟動 Amazon S3 和 DynamoDB 的連線關聯的安全群組。確認可用的傳出規則允許 Amazon S3 或 DynamoDB 的流量。如果安全群組的限制規則比預設傳出規則多，請確認下列其中一項規則：

具有一個傳出規則，允許與閘道 Amazon VPC 端點關聯的字首清單 ID 的流量。
目的地具有一個特定服務 CIDR 區塊 (IP 位址範圍)。如果沒有特定服務的 CIDR 區塊，您無法新增特定服務 CIDR 區塊。由於 AWS 管理字首清單 IP 位址範圍，因此使用服務提供的字首清單 ID 是最佳實務。

若要檢視特定區域中 Amazon S3 和 DynamoDB 的公用 IP CIDR，請執行 describe-prefix-lists AWS CLI 命令。將 example-Region 取代為您的區域：

aws ec2 describe-prefix-lists --region <example-Region>

檢查網路 ACL 規則

子網路網路 ACL 必須允許與區域內 Amazon S3 或 DynamoDB 服務 CIDR 的傳入和傳出 TCP 連線。檢查網路 ACL 規則並確認下列事項：

在傳入規則檢視中，確認規則允許從您嘗試在暫時性 TCP 連接埠 1024-65535 上存取之服務的傳入傳回流量。
在傳出規則檢視中，確認規則允許流量傳送到在 HTTPS 的服務 CIDR 區塊 (IP 位址範圍)。

**注意：**預設情況下，網路 ACL 會允許所有傳入和傳出 IPv4 和 IPv6 流量。如果您的網路 ACL 規則限制流量，請為建立閘道端點的服務指定 CIDR 區塊。最佳實務是設定服務 IP 位址變更時的通知，並使用指令碼自動更新網路 ACL 規則。如需詳細資訊，請參閱如何取得通知以檢查 Amazon S3 IP 位址的變更？

檢查 Amazon VPC 端點政策

檢閱 Amazon VPC 端點政策。使用自訂端點政策時，請確認與端點相關聯的政策允許存取，以便對服務執行動作。預設端點政策允許對服務進行完整存取。如需詳細資訊，請參閱使用端點政策控制對 VPC 端點的存取。

檢查 Amazon S3 儲存貯體政策

檢閱 Amazon S3 儲存貯體政策並確認儲存貯體政策允許從閘道 Amazon VPC 端點和 Amazon VPC 存取。如需詳細資訊，請參閱使用儲存貯體政策控制存取。

**注意：**您的儲存貯體政策只能限制來自與 Amazon VPC 中執行個體相關聯的特定公用或彈性 IP 位址的存取。您的儲存貯體政策可以根據與執行個體關聯的私有 IP 位址限制存取。如需詳細資訊，請參閱根據特定 IP 位址管理存取。

如果您使用代理伺服器，請確認允許透過伺服器進行 Amazon VPC 連線。如果您未將代理伺服器用於 Amazon S3，請在存取儲存貯體時執行下列命令來略過代理伺服器。將 example-Region 取代為您的區域：

export no_proxy = mybucket.s3.<example-Region>.amazonaws.com

檢查 IAM 政策

檢查 IAM 政策，並確認 IAM 使用者或角色的關聯使用者具有存取 Amazon S3 所需的許可。如需詳細資訊，請參閱如何將 Amazon S3 儲存貯體存取權限限定在特定 IAM 角色和透過使用者政策控制儲存貯體的存取。

檢查閘道端點上的流量

若要檢查流量是否通過閘道端點或介面端點，請參閱如何檢查 Amazon S3 流量是否通過閘道 VPC 端點或介面 VPC 端點？