Amazon VPC IP アドレスマネージャ (IPAM) プールから CIDR をプロビジョニングしているときに表示される Client.unauthorizedOperation エラーのトラブルシューティングをしたいです。
簡易説明
共有 IP アドレス管理プールから AWS コマンドラインインターフェイス (AWS CLI) コマンド provision-public-ipv4-pool-cidr を実行すると、管理者アクセス権があっても、次のエラーが表示されることがあります。
Client.UnauthorizedOperation
You are not authorized to perform this operation. Encoded authorization failure message
このエラーは、プールを共有するときに **AWSRAMDefaultPermissionsIpamPool ** 権限セットを使用しなかった場合に発生します。ほとんどの場合、代わりに AWSRAMPermissionIpamPoolByoipCidrImport 権限セットが使用された可能性があります。この権限は、既存の BYOIP CIDR があり、それらを IPAM にインポートする場合のみ使用してください。
**AWSRAMDefaultPermissionsIPAMpool ** 権限を使用して、プリンシパルが共有プールの CIDRと割り当てを表示したり、CIDR を割り当てたり、それを解放したりできるようにします。
**注:**プールはアカウント A からアカウント B に共有されます。アカウント B は CIDR のプロビジョニング中にこのエラーを確認します。ただし、アカウント A のエラーを解決する必要があります。
権限の詳細については、「AWS RAM を使用して IP アドレス管理プールを共有する」を参照してください。
解決策
エラーを解決するには、アカウント A で以下の手順に従ってください。
権限を一覧表示する
- CLI コマンドを使用して、リソース共有に設定されている権限を一覧表示します。これにより、権限の ARN が返されます。
注: AWS CLI コマンドの実行中にエラーが発生した場合は、 AWS CLI の最新バージョンを使用しているかどうかを確認してください。
aws ram list-resource-share-permissions --resource-share-arn <ARN of the resource share of IPAM Pool>
**注:**置き換える <ARN of the resource share IPAM pool> 共有 IP アドレス管理プールの ARN を使用します。
- 次に、次の CLI コマンドを実行して権限の詳細を表示します。
aws ram get-permission --permission-arn <ARN of the Permission>
**注:**置き換える <ARN of the Permission> リソース共有の権限の ARN を使用します。
リソース共有の更新
リストに AWSRAMPermission IpamPool ByOipCidrImport で選択した権限が表示されている場合は、次のように権限を変更してください。
- AWS RAM コンソールで「自分が共有している リソース」 ページに移動します。
- 共有しているリソースを選択し、 [変更] を選択します。
- [次へ] を選択します。
- 「管理権限を各リソースタイプに関連付ける」から、「AWSRAM DefaultPermissionsIPAMpool」を選択します。
- 「次へ」を選択し、「確認と更新」に進みます。
- [リソース共有の更新] を選択します。
**注:**AWS RAM DefaultPermissionsIPAMpool へのアクセス権限を更新したのに Client.unauthorizedOperation エラーが発生した場合は、 AWS サポートまでお問い合わせくださいませ。