如何对从 IPAM 池预置 CIDR 时遇到的 Client.UnauthorizedOperation 错误进行故障排除？

简短描述

当您从共享 IPAM 池运行 Amazon 命令行界面 (Amazon CLI) 命令 provision-public-ipv4-pool-cidr 时，即使您具有管理员访问权限，也可能会遇到以下错误：

Client.UnauthorizedOperation
You are not authorized to perform this operation. Encoded authorization failure message

如果您没有使用在共享池时设置的AWSRAMDefaultPermissionsIpamPool 权限，就会出现此错误。相反，您很可能使用了 AWSRAMPermissionIpamPoolByoipCidrImport 权限。仅当您已有 BYOIP CIDR 并想将其导入 IPAM 时才使用此权限。

使用 AWSRAMDefaultPermissionsIpamPool 权限以允许主体查看 CIDR 和分配，并在共享池中分配或释放 CIDR。

**注意：**该池由账户 A 共享给账户 B。账户 B 在预置 CIDR 时发现此错误。但是，您需要解决账户 A 中的错误。

有关权限的更多信息，请参阅使用 Amazon RAM 共享 IPAM 池。

解决方法

按照账户 A 中的以下步骤来解决该错误。

列出权限

1. 使用 CLI 命令列出在资源共享中设置的权限。这样将返回权限的 ARN。
   **注意：**如果在运行 CLI 命令时收到错误，请确保您使用的是最新版本的 Amazon CLI。

   aws ram list-resource-share-permissions --resource-share-arn <ARN of the resource share of IPAM Pool>

   **注意：**将 <ARN of the resource share IPAM pool> 替换为共享 IPAM 池的 ARN。
2. 然后，运行以下 CLI 命令以查看权限的详细信息：

   aws ram get-permission --permission-arn <ARN of the Permission>

   **注意：**将 <ARN of the Permission> 替换为资源共享中的权限的 ARN。

更新资源共享

如果列表显示您选择了权限 AWSRAMPermissionIpamPoolByoipCidrImport，请按如下方式更改权限：

1. 导航到 Amazon RAM 控制台中的由我共享: 资源共享页面。
2. 选择资源共享，然后选择修改。
3. 选择下一步。
4. 在将托管权限与每个资源类型关联下，选择 AWSRAMDefaultPermissionsIpamPool。
5. 选择下一步，转至查看并更新。
6. 选择更新资源共享。

**注意：**如果您已将权限更新为 AWSRAMDefaultPermissionsIpamPool，但仍然出现 Client.UnauthorizedOperation 错误，请联系亚马逊云科技支持服务。