Route 53 Resolver のエンドポイントの「アクションが必要」ステータスを解決する方法を教えてください。

解決策

エンドポイント IP アドレスを追加または削除しようとすると、「アクションが必要です」と表示される

AWS Identity and Access Management (IAM) のユーザーまたはロールに、エンドポイント IP アドレスを追加または削除するのに必要な権限があるかどうかを確認してください。

IP アドレスの追加

インバウンドまたはアウトバウンドのリゾルバーエンドポイントに IP アドレスを追加すると、次のアクションが発生します。

• Route 53 は、関連する解決エンドポイント IP アドレス API の呼び出しを行います。
• 指定した IP アドレスごとに、Resolver は VPC エラスティックネットワークインターフェイスを自動で作成します。

IAM ロールまたはユーザーには、 ec2: CreateNetworkInterface と EC2: DescribeNetworkInterface アクションを実行する権限が必要です。これらの権限がない場合、作成は失敗し、ステータスが「アクションが必要」に変わってしまいます。

IP アドレスを削除する

インバウンドまたはアウトバウンドのリゾルバーエンドポイントから IP アドレスを削除すると、次のアクションが発生します。

• DissociateResolverEndpoint IP アドレス API コールが実行されます。
• IP アドレスに関連付けられているネットワークインターフェイスは、「ec2: DeleteNetworkInterface」呼び出しを実行して削除する必要があります。

IAM ロールまたはユーザーには、 ec2:DeleteNetworkInterface とec2:DescribeNetworkInterfaces の説明アクションを実行する権限が必要です。これらの権限がない場合、削除は失敗し、ステータスが「アクションが必要」に変わってしまいます。

**IAM アクセス許可 **

Route 53 Resolver エンドポイントから IP アドレスを追加または削除するには、IAM ユーザーまたはロールに以下の権限があるかを確認してください。

• ec2:DescribeNetworkInterfaces
• ec2:DescribeAvailabilityZones
• ec2:CreateNetworkInterface
• ec2:DeleteNetworkInterface
• ec2:DescribeSubnets

拒否されたアクションの詳細については、AWS CloudTrail のログを確認してください。次の例は、IAM ユーザーまたはロールにアクセス権限がない場合の ** AssociateResolverEndpointIPAddress ** API 呼び出しの CloudTrail イベントです。

"responseElements": {  
  "resolverEndpoint": {  
    "id": "rslvr-in-aaaaaaaaaaaaaaaaa",  
    "creatorRequestId": "AWSConsole.82.1579676363636",  
    "arn": "arn:aws:route53resolver:us-east-1:111111111111:resolver-endpoint/rslvr-in-11111111111111111",  
    "name": "aaa",  
    "securityGroupIds": [  
      "sg-11111111111111111"  
    ],  
    "direction": "INBOUND",  
    "ipAddressCount": 4,  
    "hostVPCId": "vpc-11111111",  
    "status": "ACTION_NEEDED",  
    "statusMessage": "1 IP address(es) failed to be created. Please remove them from the ResolverEndpoint.",  
    "creationTime": "2020-01-22T06:59:25.990Z",  
    "modificationTime": "2020-01-22T06:59:25.990Z"  
  }  
}

不足している IAM 権限をさらに確認するには、 AssociateResolverEndpointIPAddress イベントの前または後に、CloudTrail ログに他のイベントがないかどうかを確認します。たとえば、IAM ユーザーまたはロールに ** CreateNetworkInterface** 権限がない場合、 CreateNetworkInterface の CloudTrail イベントは次の例のようになります。

"eventSource": "ec2.amazonaws.com",
"eventName": "CreateNetworkInterface",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"errorCode": "Client.UnauthorizedOperation",
"errorMessage": "You are not authorized to perform this operation."

「アクションが必要」と表示されているが、エンドポイント IP アドレスを追加または削除しようとしていない、または適切な IAM 権限がある

つまり、エンドポイントに異常があり、Resolver が自動的に回復できないということです。この問題の一般的な原因としては、次のようなケースが挙げられます。

• エンドポイントに関連付けられている 1 つ以上のネットワークインターフェースが削除されている
• ネットワークインターフェースを作成する能力がない

問題を解決するには、エンドポイントに関連付けた各 IP アドレスを確認してください。使用できない IP アドレスごとに、別の IP アドレスを追加します。次に、使用できない IP アドレスを削除します。

**注:**エンドポイントには常に少なくとも 2 つの IP アドレスが含まれている必要があります。