Amazon Route 53 Resolver のエンドポイントが「アクションが必要」ステータスになっています。
解決策
エンドポイント IP アドレスを追加または削除しようとすると、「アクションが必要です」と表示される
AWS Identity and Access Management (IAM) のユーザーまたはロールに、エンドポイント IP アドレスを追加または削除するのに必要な権限があるかどうかを確認してください。
IP アドレスの追加
インバウンドまたはアウトバウンドのリゾルバーエンドポイントに IP アドレスを追加すると、次のアクションが発生します。
IAM ロールまたはユーザーには、 ec2: CreateNetworkInterface と EC2: DescribeNetworkInterface アクションを実行する権限が必要です。これらの権限がない場合、作成は失敗し、ステータスが「アクションが必要」に変わってしまいます。
IP アドレスを削除する
インバウンドまたはアウトバウンドのリゾルバーエンドポイントから IP アドレスを削除すると、次のアクションが発生します。
IAM ロールまたはユーザーには、 ec2:DeleteNetworkInterface とec2:DescribeNetworkInterfaces の説明アクションを実行する権限が必要です。これらの権限がない場合、削除は失敗し、ステータスが「アクションが必要」に変わってしまいます。
**IAM アクセス許可 **
Route 53 Resolver エンドポイントから IP アドレスを追加または削除するには、IAM ユーザーまたはロールに以下の権限があるかを確認してください。
拒否されたアクションの詳細については、AWS CloudTrail のログを確認してください。次の例は、IAM ユーザーまたはロールにアクセス権限がない場合の ** AssociateResolverEndpointIPAddress ** API 呼び出しの CloudTrail イベントです。
"responseElements": {
"resolverEndpoint": {
"id": "rslvr-in-aaaaaaaaaaaaaaaaa",
"creatorRequestId": "AWSConsole.82.1579676363636",
"arn": "arn:aws:route53resolver:us-east-1:111111111111:resolver-endpoint/rslvr-in-11111111111111111",
"name": "aaa",
"securityGroupIds": [
"sg-11111111111111111"
],
"direction": "INBOUND",
"ipAddressCount": 4,
"hostVPCId": "vpc-11111111",
"status": "ACTION_NEEDED",
"statusMessage": "1 IP address(es) failed to be created. Please remove them from the ResolverEndpoint.",
"creationTime": "2020-01-22T06:59:25.990Z",
"modificationTime": "2020-01-22T06:59:25.990Z"
}
}
不足している IAM 権限をさらに確認するには、 AssociateResolverEndpointIPAddress イベントの前または後に、CloudTrail ログに他のイベントがないかどうかを確認します。たとえば、IAM ユーザーまたはロールに ** CreateNetworkInterface** 権限がない場合、 CreateNetworkInterface の CloudTrail イベントは次の例のようになります。
"eventSource": "ec2.amazonaws.com",
"eventName": "CreateNetworkInterface",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"errorCode": "Client.UnauthorizedOperation",
"errorMessage": "You are not authorized to perform this operation."
「アクションが必要」と表示されているが、エンドポイント IP アドレスを追加または削除しようとしていない、または適切な IAM 権限がある
つまり、エンドポイントに異常があり、Resolver が自動的に回復できないということです。この問題の一般的な原因としては、次のようなケースが挙げられます。
- エンドポイントに関連付けられている 1 つ以上のネットワークインターフェースが削除されている
- ネットワークインターフェースを作成する能力がない
問題を解決するには、エンドポイントに関連付けた各 IP アドレスを確認してください。使用できない IP アドレスごとに、別の IP アドレスを追加します。次に、使用できない IP アドレスを削除します。
**注:**エンドポイントには常に少なくとも 2 つの IP アドレスが含まれている必要があります。