Route 53 Resolver 엔드포인트의 “작업 필요” 상태를 해결하려면 어떻게 해야 하나요?

2분 분량
0

Amazon Route 53 Resolver 엔드포인트가 “작업 필요” 상태입니다.

해결 방법

엔드포인트 IP 주소를 추가 또는 제거하려고 하면 “작업 필요”가 표시됩니다.

AWS Identity and Access Management(IAM) 사용자 또는 역할에 엔드포인트 IP 주소를 추가하거나 제거하는 데 필요한 권한이 있는지 확인하세요.

IP 주소 추가

인바운드 또는 아웃바운드 Resolver 엔드포인트에 IP 주소를 추가하면 다음 작업이 수행됩니다.

  • Route 53는 AssociateResolverEndpointIpAddress API 호출을 수행합니다.
  • 지정한 각 IP 주소에 대해 Resolver는 VPC 탄력적 네트워크 인터페이스를 자동으로 생성합니다.

IAM 역할 또는 사용자는 ec2:CreateNetworkInterfaceec2:DescribeNetworkInterfaces 작업을 수행할 권한이 있어야 합니다. 이러한 권한이 없으면 생성이 실패하고 상태가 작업 필요로 변경됩니다.

IP 주소 제거

인바운드 또는 아웃바운드 Resolver 엔드포인트에서 IP 주소를 제거하면 다음 작업이 수행됩니다.

IAM 역할 또는 사용자는 ec2:DeleteNetworkInterfaceec2:DescribeNetworkInterfaces 작업을 수행할 권한이 있어야 합니다. 이러한 권한이 없는 경우 삭제가 실패하고 상태가 작업 필요로 변경됩니다.

IAM 권한

IAM 사용자 또는 역할에 Route 53 Resolver 엔드포인트에서 IP 주소를 추가하거나 제거할 수 있는 다음과 같은 권한이 있어야 합니다.

거부된 작업에 대한 자세한 내용은 AWS CloudTrail 로그를 검토하세요. 다음 예는 IAM 사용자 또는 역할에 권한이 없을 때 AssociateResolverEndpointIpAddress API 호출에 대한 CloudTrail 이벤트입니다.

"responseElements": {  
  "resolverEndpoint": {  
    "id": "rslvr-in-aaaaaaaaaaaaaaaaa",  
    "creatorRequestId": "AWSConsole.82.1579676363636",  
    "arn": "arn:aws:route53resolver:us-east-1:111111111111:resolver-endpoint/rslvr-in-11111111111111111",  
    "name": "aaa",  
    "securityGroupIds": [  
      "sg-11111111111111111"  
    ],  
    "direction": "INBOUND",  
    "ipAddressCount": 4,  
    "hostVPCId": "vpc-11111111",  
    "status": "ACTION_NEEDED",  
    "statusMessage": "1 IP address(es) failed to be created. Please remove them from the ResolverEndpoint.",  
    "creationTime": "2020-01-22T06:59:25.990Z",  
    "modificationTime": "2020-01-22T06:59:25.990Z"  
  }  
}

누락된 IAM 권한을 추가로 확인하려면 AssociateResolveEndPointIpAddress 이벤트 이전 또는 이후에 다른 이벤트가 있는지 CloudTrail 로그를 검토하세요. 예를 들어 IAM 사용자 또는 역할에 CreateNetworkInterface 권한이 없는 경우 CreateNetworkInterface의 CloudTrail 이벤트는 다음 예와 같습니다.

"eventSource": "ec2.amazonaws.com",
"eventName": "CreateNetworkInterface",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"errorCode": "Client.UnauthorizedOperation",
"errorMessage": "You are not authorized to perform this operation."

“작업 필요”가 표시되지만 엔드포인트 IP 주소를 추가 또는 제거하려고 하지 않았거나 올바른 IAM 권한이 있는 경우

즉, 엔드포인트가 비정상이며 Resolver에서 자동으로 복구할 수 없습니다. 이 문제의 일반적인 원인은 다음과 같습니다.

  • 엔드포인트와 연결된 하나 이상의 네트워크 인터페이스 삭제
  • 네트워크 인터페이스를 생성할 수 없음

문제를 해결하려면 엔드포인트에 연결한 각 IP 주소를 확인하세요. 사용할 수 없는 각 IP 주소에 대해 다른 IP 주소를 추가합니다. 그런 다음 사용할 수 없는 IP 주소를 삭제합니다.

**참고:**엔드포인트는 항상 최소 두 개의 IP 주소를 포함해야 합니다.

AWS 공식
AWS 공식업데이트됨 10달 전