问题标签 [vpc-endpoint]

我的任务是在 S3 上托管一个网站，该网站只能通过私有链接访问。

我创建了该网站，并且可以使用公共链接 Link --> http://mywebsite.com.s3-website-us-east-1.amazonaws.com访问它

我还创建了一个 VPC 接口端点以通过 VPN 私下访问存储桶。我从接口端点获得的 DNS 名称为 *.vpce-xxxxx-xxx.s3.us-east-1.vpce.amazonaws.com

我在 mywebsite.com.vpce-xxxxx-xxx.s3.us-east-1.vpce.amazonaws.com 上进行了 nslookup 并获得了 ENI 的正确 IP 地址

当我尝试通过 VPC 接口端点访问网站时，我得到的存储桶不存在。我做错了什么？

我正在使用这个 url 来访问存储桶。

链接： http: //mywebsite.com.vpce-xxxxx-xxx.s3.us-east-1.vpce.amazonaws.com

对于这个 POC，我的存储桶策略是完全开放的，因此对存储桶策略没有限制。

我们将 lambda 连接到 Kinesis，它通过 Apigateway 将数据发送到 Websocket 连接。Lambda 位于 VPC 中，也有 VPC Endpoint 来服务：com.amazon.us-east-1.execute-api.

问题是在执行 REST 操作时调用（来自 lambda）超时

https://{apigatewayid}.execute-api.us-east-1.amazonaws.com/{stage}/@connections/{connection id}. Host {apigatewayid}.execute-api.us-east-1.amazonaws.com解析为私有 IP 地址，如 10.0.11.22

有没有办法让它与 VPC Endpoint 一起使用？

谢谢！

我在 API Gateway（与 Lambda 代理集成）中创建了一个私有 REST API，它需要可从 VPC 访问。我已经在 VPC 中为 API Gateway 设置了 VPC Endpoint。正如预期的那样，可以从 VPC 内访问 API。

VPC 端点（实际上是整个 VPC 环境）是通过 CloudFormation 创建的。

API 需要使用Authorization标头，这不是我可以更改的。该标题的内容是我们公司特有的，不是标准的。问题是，当我Authorization向请求添加标头时，API Gateway 拒绝它并出现以下错误（来自 CloudWatch 中的 API Gateway 日志）：

如果我删除了Authorization标头，请求就会被接受，并且我会从我的 lambda 中得到预期的响应。我正在调用的方法将 Auth 设置为 NONE。

奇怪的是，如果我删除 VPC 端点并通过控制台手动创建它，它会正常工作 -Authorization标头被传递给我的 lambda，而不是 API Gateway 检查和拒绝它。

我已经拆除了端点，并使用 CloudFormation 手动重新创建了多次，结果是一致的。但我已经将它们相互比较，它们看起来完全一样：相同的设置、相同的子网、相同的安全组、相同的策略。由于我看不出它们之间没有区别，所以我对它为什么不适用于 CloudFormation 版本有点茫然。

我能够找到的唯一区别是每个版本的 aws 标头（Authorization删除了标头，否则它不会像使用 CF 端点记录标头那样）。对于 CF 端点，标头包括x-amzn-vpce-config=0和x-amzn-vpce-policy-url=MQ==. 使用我得到的手动端点x-amzn-vpce-config=1，并且不包括 policy-url 标头。

我还尝试将 API 更改为设置和删除 VPC 端点（可以在设置部分的 API 上设置），然后重新部署它，但在任何一种情况下它都没有效果 - 请求继续工作/被拒绝和以前一样。

有没有人有任何想法？我也在AWS 论坛上发布了这个，但以防万一这里的任何人以前遇到过这个......

如果有任何兴趣，可以像这样创建端点（[]= 已编辑）：

提供者：AWS

地区：us-east-1

地形：v1.0.4

尝试创建路由表时：

使用以下路线：

它引用以下列方式创建的 vpc 端点：

我收到以下错误：

但是，vpc 端点本身已成功创建。我在 tfstate 文件中看到它，当我登录到 AWS 控制台并检查时，我可以看到 vpc 端点具有在错误中找到的确切 ID。

我等了一个小时后重试，但仍然没有。

不知道我做错了什么或者这是一个错误。

我尝试将事件从 Lambda 函数发布到 IOT，该执行环境位于 VPC 私有子网中，但它无法正常工作。

• 我有一个 IOT 设备，其策略配置为允许所有连接。
• 创建了一个具有两个私有子网的 VPC，并配置了 Lambda 函数以在其中运行
• Lambda 函数具有访问 IOT 所需的权限，并且安全组被配置为允许所有出站流量到任何端口和任何类型的协议 (0.0.0.0/0)
• 创建了一个 VPC 端点（com.amazonaws.eu-central-1.iot.data）（选择了两个私有子网）并分配了一个安全组，该安全组具有允许来自 Lambda 函数安全组的任何流量的规则

尝试使用公共端点发布事件而不添加 NAT 网关，但它不工作（出现超时错误）注意：- 如果我添加 NAT 网关，工作正常。

请找到以下尝试连接到 IOT 的示例代码以供参考

我正在尝试在现有 VPC 中设置 VPC 终端节点。我能够从 VPC 中的 lambda 调用私有网关端点。

问题：当我尝试调用区域 API 网关端点时，我收到 403。Nat 网关已设置。我可以通过 NAT 网关访问互联网。

我需要从 VPC 中的 lambda 调用私有端点以及区域端点

最近我开始使用 Secrets Manager 从 Lambda 读取凭证，我注意到从 SM 读取一个秘密需要几秒钟。如此处所述引入 VPC 接口端点：https ://docs.aws.amazon.com/secretsmanager/latest/userguide/vpc-endpoint-overview.html#vpc-endpoint没有帮助，我看到相同的响应时间。

在 CloudTrail 中，我看到创建的 VPC 端点用于调用 Secrets Manager。

有没有人有类似的问题？

遵循此说明后，我可以通过访问点 + VPC 端点从 AWS CLI 访问 S3 存储桶。

基本上我用

和我用的一样

所有aws s3 ...命令都很好用。

但是，我的基于 Java 的 Flink 项目代码并非如此。该代码适用于s3://<bucket name>，但似乎无法识别新的 S3 URI。

这是我的代码中定义接收器的方式：

传递s3://arn:aws:s3:ap-southeast-1:<account number>:accesspoint/<bucket name>给s3Url参数后，作业执行失败

我在两个不同的 AZ 中有两个私有子网的 VPC，我正在尝试创建一个 VPC 端点，用于将 lambda 连接到我在私有子网之一中的数据库

但我还需要 SNS 来根据我的 lambda 函数向用户发送消息

我是否需要在该子网中为 SNS 创建另一个端点，或者我可以将多个服务附加到同一个端点

我知道 NAT 网关是一种选择，但它比端点昂贵

请建议最好的方法来做到这一点

谢谢，莫妮卡

我正在尝试通过 Terraform 为我的 AWS S3 VPC 终端节点创建策略。

我的地形：

使用它时，我收到以下错误：

我不确定我的格式是否已关闭，或者我是否在某处遗漏了某个字段。任何帮助，将不胜感激。