关于在EC2上执行aws-iam相关的aws cli命令时一直卡在连接iam.cn-north-1.amazonaws.com.cn:443

笔者在再执行aws iam相关的命令时，一直卡信，然后笔者加上 --debug，查看更多的调试信息，如下

[qq-5201351@localhost ~]$ aws iam list-users --profile prod --debug
2023-10-11 10:23:57,730 - MainThread - awscli.clidriver - DEBUG - CLI version: aws-cli/2.2.20 Python/3.8.8 Linux/3.10.0-1160.42.2.el7.x86_64 exe/x86_64.rhel.7
2023-10-11 10:23:57,730 - MainThread - awscli.clidriver - DEBUG - Arguments entered to CLI: ['iam', 'list-users', '--profile', 'prod', '--debug']
2023-10-11 10:23:57,746 - MainThread - botocore.hooks - DEBUG - Event building-command-table.main: calling handler <function add_s3 at 0x7f6f967328b0>
................................. 省略部分输出.............................
2023-10-11 10:23:57,917 - MainThread - botocore.httpsession - DEBUG - Certificate path: /usr/local/aws-cli/v2/2.2.20/dist/botocore/cacert.pem
2023-10-11 10:23:57,918 - MainThread - urllib3.connectionpool - DEBUG - Starting new HTTPS connection (1): iam.cn-north-1.amazonaws.com.cn:443

可以看出是卡在 Starting new HTTPS connection (1): iam.cn-north-1.amazonaws.com.cn:443 这一步了

然后笔者尝试，telnet iam.cn-north-1.amazonaws.com.cn 443 也是不通的

但这台机器又能访问其他公网的域名及网站，那看来应该是 iam.cn-north-1.amazonaws.com.cn 这个域名的特殊？

看了一下，解析到的IP，然后也 tracepath 这个域名，以看看数据包的走向，才发现并没有走 NAT Gateway

最后发现，根本原因是 iam.cn-north-1.amazonaws.com.cn 所在的多个IP小段，被EC2所在子网上的路由表上的一个大网段包含了（而大网段走的VGW）

是于处理过程如下（特别说明-目前还不支持，IAM相关的vpc endpoint interface）：

1、单独在EC2所在的子网的路由表上，单独添加 iam.cn-north-1.amazonaws.com.cn 所在的多个IP小段 到 NAT Gateway

// 但是这样添加了之后，发现 IP小网段，还是走到VGW，才想起 NAT Gateway 所在的子网上，也还有一个路由表的

2、于是再到NAT Gateway 所在的子网的路由表上，添加IP小网段，走IGW到外网

 

 

 

尊重别人的劳动成果 转载请务必注明出处：https://www.cnblogs.com/5201351/p/17756498.html