為什麼我無法刪除申請者管理的 VPC 端點？

簡短描述

刪除介面 VPC 端點時，您可能會收到以下錯誤：

vpce-0399e6e9fd2f4e430：不允許操作服務 com.amazonaws.vpce.region.vpce-svc-04c257ad126576358 的申請者管理的 VPC 端點

當被刪除的端點是申請者管理的 VPC 端點時，便會發生此錯誤。申請者管理的端點由任何 AWS 管理的服務 (例如，Amazon Aurora Serverless) 建立。若要刪除此類端點，您必須確定建立端點的 AWS 受管服務。識別服務後，您必須首先刪除相關資源，然後才能刪除端點。

解析度

若要驗證建立某個端點的 AWS 受管服務，請執行以下操作：

如果端點是在 90 天內建立的

如果端點的建立時間距離您嘗試將其刪除的時間不超過 90 天，請使用 AWS CloudTrail 確定建立它的服務。確保將 CloudTrail 主控台檢視設定為過去 90 天記錄的 API 活動 (管理事件)。

若要檢視 CloudTrail 事件，請執行以下操作：

1.    開啟 CloudTrail 主控台。

2.    在導覽窗格中，選擇 Event history (事件歷史記錄)。

3.    從下拉清單中選取 Resource (資源) 名稱，然後在篩選條件中新增 VPC 端點 ID (例如 vpce-xxxxxx)。

4.    尋找 CreateVpcEndpoint API 呼叫並檢查使用者名稱。對於 Aurora Serverless 建立的端點，使用者名稱顯示為 RDSAuroraServeless。對於由 Amazon Relational Database Service (Amazon RDS) Proxy 建立的端點，使用者名稱顯示為 RDSSlrAssumptionSession。若要識別 AWS Network Firewall 建立的端點，請檢視 CreateVpcEndpoint API 呼叫的事件記錄，並檢查鍵值為 Firewall 和 AWSNetworkFirewallManaged 的標籤：

"Tag": [
                  {
                        "Value": ""arn:aws:network-firewall:<region>:<account number>:firewall/<firewall name>",
                        "tag": 1,
                        "Key": "Firewall"

                    },
                    {
                        "Value": true,
                        "tag": 2,
                        "Key": "AWSNetworkFirewallManaged"
                    }

如果端點的建立時間早於 90 天

若要確定相關端點是否由 AWS Network Firewall 建立：

1.    開啟 VPC 主控台，然後選取 Endpoints (端點)。

2.    選取端點，然後選取 Tags (標籤)。

3.    檢查以下內容：

• Key (索引鍵) 為 AWSNetworkFirewallManaged，Value (值) 為 True。
• Key (索引鍵) 為 Firewall，Value (值) 為您的網路防火牆 ARN arn:aws:network-firewall:region:account number:firewall/防火牆名稱。

您還可以透過執行以下操作檢視 AWS Network Firewall 建立的端點：

1.    開啟 VPC 主控台，然後選取 Firewalls (防火牆)。

2.    選取 Firewall details (防火牆詳細資訊)。

若要確定相關端點是否由 Aurora Serverless 建立：

如果相關申請者管理的介面端點由 Aurora Serverless 在早於 90 天的時間建立，請對現有 Aurora Serverless 資料庫的端點執行名稱查詢。這將返回 CNAME 作為 VPC 介面端點 DNS 名稱。您可以使用它來確認相關端點是否由 Aurora Serverless 建立。

例如，您有一個無法刪除的 ID 為 vpce-0013b47d434ae7786 的介面 VPC 端點。若要驗證相關端點是否由 Aurora Serverless 建立，請執行以下操作：

1.    對 Aurora Serverless 端點執行名稱查詢：

dig test1.proxy-chnis5vssnuj.us-east-1.rds.amazonaws.com +short
vpce-0ce9fdcdd4aa4097e-1hbywnw6.vpce-svc-0b2f119acb23c050e.us-east-1.vpce.amazonaws.com.
172.31.4.218
172.31.21.82

2.    檢查與您嘗試刪除之端點 DNS 名稱匹配的記錄 CNAME 值。這可確認相關端點是否由 Aurora Serverless 建立。

**注意：**若要驗證相關端點的 DNS 名稱，請執行以下操作：

1.    開啟 VPC 主控台，然後選取 Endpoints (端點)。

2.    選取 Details (詳細資訊) 標籤並檢視列出的 DNS names (DNS 名稱)。

若要確定相關端點是否由 RDS Proxy 建立：

完成針對 Aurora Serverless 的上述步驟。如果有多個 RDS Proxy 和 Aurora Serverless 端點，請為每個端點重複這些步驟。

若要判斷它是否為 RedShift 受管的 VPC 端點：

1.    開啟 Amazon Redshift 主控台，然後選擇 Configurations (組態)。

2.    檢查 RedShift 受管的 VPC 端點下是否有任何端點設定。

刪除服務

確定建立端點的服務後，請驟刪除服務 (及相應端點)。

• 刪除網路防火牆以刪除網路防火牆建立的端點。
• 刪除 Aurora Serverless 資料庫叢集。
• 刪除 RDS Proxy 以刪除 RDS Proxy 建立的端點。
• 使用 Redshift 主控台刪除 RedShift 受管的 VPC 端點，或使用 delete-endpoint-access AWS Command Line Interface (AWS CLI) 命令。

**注意：**如果您在執行 AWS CLI 命令時收到錯誤，請確保您使用的是最新版 AWS CLI。

---