问题标签 [vpc-endpoint]

路由表（在私有子网中）不会通过添加 VPCE 作为 aws secrets manager 的目的地而改变。也尝试使用新的 SG（不使用默认 SG）。任何想法 ？

我aws_vpc_endpoint_service在 Terraform (v0.11.14) 中使用在我的 AWS 账户上为 S3 创建 AWS VPC 端点，最近开始遇到以下错误：Error: multiple VPC Endpoint Services matched; use additional constraints to reduce matches to a single VPC Endpoint Service

相同的代码之前运行良好。分辨率是多少？

我从在私有子网中运行的 EC2 实例内部收到“无法连接到端点 URL：”https://s3.amazonaws.com/”

注意：我们在本练习中使用我们的公司共享 AWS 账户而不是联合账户。

这是一个配置：

1. 创建了一个具有 1 个私有（附加到 S3 和 Dynamodb 的 VPC 终端节点）和 1 个公共（附加到 Internet 网关）子网的 VPC。没有 NAT 网关或实例。

2. 在每个子网中启动一个 EC2 实例（Amazon Linux AMI）。附加 IAM 角色以访问 EC2 实例的 dynamodb 和 S3

3. 从终端连接到 EC2。aws configure 使用S3 VPC 端点的策略配置了我的访问密钥：

路由会自动添加到目的地为 pl-xxxxxxxx(com.amazonaws.us-east-1.s3) 的 VPC 路由中，目标是在

4. 在私有子网的安全组中打开出站规则中的所有流量到以 pl-xxxxxxxx 开头的目标前缀 s3 端点现在在终端上的私有 ec2 实例中输入以下命令

我收到以下错误

我阅读了谷歌上几乎所有的资源，它们遵循了我一直遵循的相同步骤，但对我来说并不奏效。唯一的区别是他们使用的是联合 AWS 账户，而我使用的是共享 AWS 账户。dynamodb 访问也是如此。

类似的 stackoverflow 问题：通过 EC2 实例内的 S3 VPC 端点连接到 S3 存储桶超时

但我不能从中受益太多。提前非常感谢。

更新：我能够通过在私有子网中创建 STS 接口端点，然后通过在 EC2 实例中担任角色来访问 Dynamodb 和 S3 来解决 STS 端点的问题

我有两个 vpc，一个是 mgmt vpc，其中所有必要的 vpc 接口端点都连接到 AWS 服务，另一个对等 vpc 与 mgmt vpc 建立了对等连接。我试图在对等 vpc 中通过 ssh 进入我的实例（称为实例 A），并使用以下命令通过 cli 调用 aws api

但每次连接仍然超时。

我检查了我的 vpc 端点安全组并再次确认我已将其设置为允许来自附加到实例 A 的安全组的所有传入流量。并且我的实例 A 的安全组已设置为允许所有流量出口到 vpce 安全组。

有人知道或遇到过这个问题吗？我错过了什么或做错了什么？

编辑：我的对等 vpc 有几个子网，唯一的 IGW 位于入口/出口层子网中。在 Web 层子网中，有一些我试图在那里调用 vpce 的实例，而这里的子网有 NAT 网关。

对于 mgmt vpc，ssh 进入的唯一方法是通过 vpc 内的 jumphost 实例。

Web 层子网的路由表如下：

Web 层子网实例的安全组如下：

mgmt vpc 中带有 vpce 的子网的路由表：

对于 vpce 到 ec2 安全组：

请注意，每个 vpc 都分配了两个 cidr 块。mgmt vpc 中也有 s3 端点网关

我需要创建一个私有端点来访问极光服务，以便拒绝对服务的公共访问。因为我是新手..所以需要帮助。我浏览了不同的文档，但仍然无法获得我需要的信息。

提前感谢您的帮助！

我想使用 VPC 可达性分析器？检查我的 vpc 和 ec2 实例之间的连接。

• vpc 位于 us-west-2 区域，实例位于 us-east-1 区域。
• 我想知道 VPC 可达性分析器是否特定于区域，因为在 us-west-2 中创建分析器路径时，我发现我无法到达位于 us-east-1 区域中的实例的端点。

根据 AWS 文档 - https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints.html ，它具有来自子网 IP 地址范围的私有 IP 地址。因此，例如，如果有 2 个子网，例如（private1，private2），RDS 托管在私有 2 中。这是否意味着需要为每个子网创建 VPC 端点，或者取决于您的例如 Lamda 所在的位置。例如，如果 Lamda 托管在私有 1 子网中，那么您只需要私有 1 子网中的它吗？但是，例如，如果您从控制台访问查询编辑器，因为 RDS 位于私有 2 子网中，您是否需要私有 2 中的另一个 VPC 端点。

这样做的目标是将流量内部化到 AWS VPC。

我有一个明确的问题，我花了很多时间试图弄清楚。让我知道你们是否有任何建议。:)

提前致谢！

设想：

• 私有 VPC（无法访问互联网）
• 特定的 ECR 存储库名称“demo-hello-world”。
• ECS 集群已创建。
• 已创建 VPC 终端节点。

客观的：

需要 VPC 端点到 ECR demo-hello-world 的策略示例。

该政策将涉及：

• ECR API

• ECR 丹麦克朗

• ECR 在下面使用的“demo-hello-world”的特定 S3 存储桶。<==（我不知道如何为此找到 ARN）

谢谢！

加里

我正在部署一个应用程序，在该应用程序中，我在私有子网中使用带有 lambda 的 NAT 网关与 vpc 之外的其他 AWS 服务进行通信。一切正常，但 NAT 网关增加了很多额外的费用。我假设我是否可以替换 NAT 网关并改为使用和接口 vpc 端点？

我在 VPC 中有两个私有子网。我必须连接到 aws 证书管理器服务。

我看不到 AWS 证书管理器存在私有链接/vpc 端点服务类型。

是否有任何连接方式或者是否存在任何用于 aws 证书管理器的 vpc 端点服务。

不是 aws 证书管理器私有 CA 端点