我想对从 Amazon VPC IP 地址管理器(IPAM)池预置 CIDR 时遇到的 Client.UnauthorizedOperation 错误进行故障排除。
简短描述
当您从共享 IPAM 池运行 Amazon 命令行界面 (Amazon CLI) 命令 provision-public-ipv4-pool-cidr 时,即使您具有管理员访问权限,也可能会遇到以下错误:
Client.UnauthorizedOperation
You are not authorized to perform this operation. Encoded authorization failure message
如果您没有使用在共享池时设置的AWSRAMDefaultPermissionsIpamPool 权限,就会出现此错误。相反,您很可能使用了 AWSRAMPermissionIpamPoolByoipCidrImport 权限。仅当您已有 BYOIP CIDR 并想将其导入 IPAM 时才使用此权限。
使用 AWSRAMDefaultPermissionsIpamPool 权限以允许主体查看 CIDR 和分配,并在共享池中分配或释放 CIDR。
**注意:**该池由账户 A 共享给账户 B。账户 B 在预置 CIDR 时发现此错误。但是,您需要解决账户 A 中的错误。
有关权限的更多信息,请参阅使用 Amazon RAM 共享 IPAM 池。
解决方法
按照账户 A 中的以下步骤来解决该错误。
列出权限
- 使用 CLI 命令列出在资源共享中设置的权限。这样将返回权限的 ARN。
**注意:**如果在运行 CLI 命令时收到错误,请确保您使用的是最新版本的 Amazon CLI。
aws ram list-resource-share-permissions --resource-share-arn <ARN of the resource share of IPAM Pool>
**注意:**将 <ARN of the resource share IPAM pool> 替换为共享 IPAM 池的 ARN。
- 然后,运行以下 CLI 命令以查看权限的详细信息:
aws ram get-permission --permission-arn <ARN of the Permission>
**注意:**将 <ARN of the Permission> 替换为资源共享中的权限的 ARN。
更新资源共享
如果列表显示您选择了权限 AWSRAMPermissionIpamPoolByoipCidrImport,请按如下方式更改权限:
- 导航到 Amazon RAM 控制台中的由我共享: 资源共享页面。
- 选择资源共享,然后选择修改。
- 选择下一步。
- 在将托管权限与每个资源类型关联下,选择 AWSRAMDefaultPermissionsIpamPool。
- 选择下一步,转至查看并更新。
- 选择更新资源共享。
**注意:**如果您已将权限更新为 AWSRAMDefaultPermissionsIpamPool,但仍然出现 Client.UnauthorizedOperation 错误,请联系亚马逊云科技支持服务。