為什麼我無法刪除申請者管理的 VPC 端點?
為什麼我無法刪除申請者管理的 Amazon Virtual Private Cloud (Amazon VPC) 端點?
簡短描述
刪除介面 VPC 端點時,您可能會收到以下錯誤:
vpce-0399e6e9fd2f4e430:不允許操作服務 com.amazonaws.vpce.region.vpce-svc-04c257ad126576358 的申請者管理的 VPC 端點
當被刪除的端點是申請者管理的 VPC 端點時,便會發生此錯誤。申請者管理的端點由任何 AWS 管理的服務 (例如,Amazon Aurora Serverless) 建立。若要刪除此類端點,您必須確定建立端點的 AWS 受管服務。識別服務後,您必須首先刪除相關資源,然後才能刪除端點。
解析度
若要驗證建立某個端點的 AWS 受管服務,請執行以下操作:
如果端點是在 90 天內建立的
如果端點的建立時間距離您嘗試將其刪除的時間不超過 90 天,請使用 AWS CloudTrail 確定建立它的服務。確保將 CloudTrail 主控台檢視設定為過去 90 天記錄的 API 活動 (管理事件)。
若要檢視 CloudTrail 事件,請執行以下操作:
1. 開啟 CloudTrail 主控台。
2. 在導覽窗格中,選擇 Event history (事件歷史記錄)。
3. 從下拉清單中選取 Resource (資源) 名稱,然後在篩選條件中新增 VPC 端點 ID (例如 vpce-xxxxxx)。
4. 尋找 CreateVpcEndpoint API 呼叫並檢查使用者名稱。對於 Aurora Serverless 建立的端點,使用者名稱顯示為 RDSAuroraServeless。對於由 Amazon Relational Database Service (Amazon RDS) Proxy 建立的端點,使用者名稱顯示為 RDSSlrAssumptionSession。若要識別 AWS Network Firewall 建立的端點,請檢視 CreateVpcEndpoint API 呼叫的事件記錄,並檢查鍵值為 Firewall 和 AWSNetworkFirewallManaged 的標籤:
"Tag": [ { "Value": ""arn:aws:network-firewall:<region>:<account number>:firewall/<firewall name>", "tag": 1, "Key": "Firewall" }, { "Value": true, "tag": 2, "Key": "AWSNetworkFirewallManaged" }
如果端點的建立時間早於 90 天
若要確定相關端點是否由 AWS Network Firewall 建立:
1. 開啟 VPC 主控台,然後選取 Endpoints (端點)。
2. 選取端點,然後選取 Tags (標籤)。
3. 檢查以下內容:
- Key (索引鍵) 為 AWSNetworkFirewallManaged,Value (值) 為 True。
- Key (索引鍵) 為 Firewall,Value (值) 為您的網路防火牆 ARN arn:aws:network-firewall:region:account number:firewall/防火牆名稱。
您還可以透過執行以下操作檢視 AWS Network Firewall 建立的端點:
1. 開啟 VPC 主控台,然後選取 Firewalls (防火牆)。
2. 選取 Firewall details (防火牆詳細資訊)。
若要確定相關端點是否由 Aurora Serverless 建立:
如果相關申請者管理的介面端點由 Aurora Serverless 在早於 90 天的時間建立,請對現有 Aurora Serverless 資料庫的端點執行名稱查詢。這將返回 CNAME 作為 VPC 介面端點 DNS 名稱。您可以使用它來確認相關端點是否由 Aurora Serverless 建立。
例如,您有一個無法刪除的 ID 為 vpce-0013b47d434ae7786 的介面 VPC 端點。若要驗證相關端點是否由 Aurora Serverless 建立,請執行以下操作:
1. 對 Aurora Serverless 端點執行名稱查詢:
dig test1.proxy-chnis5vssnuj.us-east-1.rds.amazonaws.com +short vpce-0ce9fdcdd4aa4097e-1hbywnw6.vpce-svc-0b2f119acb23c050e.us-east-1.vpce.amazonaws.com. 172.31.4.218 172.31.21.82
2. 檢查與您嘗試刪除之端點 DNS 名稱匹配的記錄 CNAME 值。這可確認相關端點是否由 Aurora Serverless 建立。
**注意:**若要驗證相關端點的 DNS 名稱,請執行以下操作:
1. 開啟 VPC 主控台,然後選取 Endpoints (端點)。
2. 選取 Details (詳細資訊) 標籤並檢視列出的 DNS names (DNS 名稱)。
若要確定相關端點是否由 RDS Proxy 建立:
完成針對 Aurora Serverless 的上述步驟。如果有多個 RDS Proxy 和 Aurora Serverless 端點,請為每個端點重複這些步驟。
若要判斷它是否為 RedShift 受管的 VPC 端點:
1. 開啟 Amazon Redshift 主控台,然後選擇 Configurations (組態)。
2. 檢查 RedShift 受管的 VPC 端點下是否有任何端點設定。
刪除服務
確定建立端點的服務後,請驟刪除服務 (及相應端點)。
- 刪除網路防火牆以刪除網路防火牆建立的端點。
- 刪除 Aurora Serverless 資料庫叢集。
- 刪除 RDS Proxy 以刪除 RDS Proxy 建立的端點。
- 使用 Redshift 主控台刪除 RedShift 受管的 VPC 端點,或使用 delete-endpoint-access AWS Command Line Interface (AWS CLI) 命令。
**注意:**如果您在執行 AWS CLI 命令時收到錯誤,請確保您使用的是最新版 AWS CLI。
相關內容
- 已提問 10 個月前lg...
- 已提問 3 個月前lg...
- 已提問 2 年前lg...
- 已提問 1 年前lg...
- AWS 官方已更新 1 年前
- AWS 官方已更新 1 年前
- AWS 官方已更新 2 年前
- AWS 官方已更新 3 年前