我想對閘道 Amazon Virtual Private Cloud (Amazon VPC) 端點的連線問題進行疑難排解。
閘道 VPC 端點可讓您從 Amazon VPC 以私密的方式連線到 Amazon Simple Storage Service (Amazon S3) 和 Amazon DynamoDB。閘道 VPC 端點連線問題可能是因為允許連線的網路存取或安全規則所致。
若要對連線問題進行疑難排解,請使用 Reachability Analyzer。另請檢查下列組態:
**注意:**如果您在執行 AWS Command Line Interface (AWS CLI) 命令時收到錯誤,請參閱對 AWS CLI 錯誤進行疑難排解。此外,請確定您使用的是最新的 AWS CLI 版本。
使用 Reachability Analyzer 對來源與閘道端點之間的連線問題進行疑難排解。如需詳細資訊,請參閱如何使用 Amazon VPC Reachability Analyzer 對 Amazon VPC 資源的連線問題進行疑難排解?
閘道端點僅可在建立的區域中使用。請務必在與 Amazon S3 儲存貯體或 DynamoDB 資料表相同的區域中建立閘道端點。若要尋找儲存貯體的區域,請執行 get-bucket-location AWS CLI 命令。
此外,在使用 SDK 從閘道端點存取服務時,確認區域。請確定區域設定為與服務資源相同的位置。例如,對於 Boto3,使用 Config 物件;對於 AWS CLI,使用 aws configure。
**注意:**傳送至不正確區域的請求可能會導致逾時,或透過網際網路存取服務。這取決於在來源子網路上設定的路由表。
檢查 Amazon VPC 中的 DNS 設定。您必須在 Amazon VPC 中啟用 DNS 解析。如果您使用自己的 DNS 伺服器,請確定 AWS 服務的 DNS 請求解析成 AWS 維護的 IP 位址。
檢查路由表設定。確認具有使用閘道 VPC 端點的 Amazon S3 和 DynamoDB 路由。
檢查與啟動 Amazon S3 和 DynamoDB 的連線關聯的安全群組。確認可用的傳出規則允許 Amazon S3 或 DynamoDB 的流量。如果安全群組的限制規則比預設傳出規則多,請確認下列其中一項規則:
若要檢視特定區域中 Amazon S3 和 DynamoDB 的公用 IP CIDR,請執行 describe-prefix-lists AWS CLI 命令。將 example-Region 取代為您的區域:
aws ec2 describe-prefix-lists --region <example-Region>
子網路網路 ACL 必須允許與區域內 Amazon S3 或 DynamoDB 服務 CIDR 的傳入和傳出 TCP 連線。檢查網路 ACL 規則並確認下列事項:
**注意:**預設情況下,網路 ACL 會允許所有傳入和傳出 IPv4 和 IPv6 流量。如果您的網路 ACL 規則限制流量,請為建立閘道端點的服務指定 CIDR 區塊。最佳實務是設定服務 IP 位址變更時的通知,並使用指令碼自動更新網路 ACL 規則。如需詳細資訊,請參閱如何取得通知以檢查 Amazon S3 IP 位址的變更?
檢閱 Amazon VPC 端點政策。使用自訂端點政策時,請確認與端點相關聯的政策允許存取,以便對服務執行動作。預設端點政策允許對服務進行完整存取。如需詳細資訊,請參閱使用端點政策控制對 VPC 端點的存取。
檢閱 Amazon S3 儲存貯體政策並確認儲存貯體政策允許從閘道 Amazon VPC 端點和 Amazon VPC 存取。如需詳細資訊,請參閱使用儲存貯體政策控制存取。
**注意:**您的儲存貯體政策只能限制來自與 Amazon VPC 中執行個體相關聯的特定公用或彈性 IP 位址的存取。您的儲存貯體政策可以根據與執行個體關聯的私有 IP 位址限制存取。如需詳細資訊,請參閱根據特定 IP 位址管理存取。
如果您使用代理伺服器,請確認允許透過伺服器進行 Amazon VPC 連線。如果您未將代理伺服器用於 Amazon S3,請在存取儲存貯體時執行下列命令來略過代理伺服器。將 example-Region 取代為您的區域:
export no_proxy = mybucket.s3.<example-Region>.amazonaws.com
檢查 IAM 政策,並確認 IAM 使用者或角色的關聯使用者具有存取 Amazon S3 所需的許可。如需詳細資訊,請參閱如何將 Amazon S3 儲存貯體存取權限限定在特定 IAM 角色和透過使用者政策控制儲存貯體的存取。
若要檢查流量是否通過閘道端點或介面端點,請參閱如何檢查 Amazon S3 流量是否通過閘道 VPC 端點或介面 VPC 端點?
AWS 資源的存取管理