我的 Amazon Route 53 Resolver 端点处于“需要执行操作”状态。
解决方法
尝试添加或删除端点 IP 地址后,您会看到“需要执行操作”
验证您的 Amazon Identity and Access Management (IAM) 用户或角色是否具有添加或删除端点 IP 地址所需的权限。
添加 IP 地址
在向入站或出站 Resolver 端点添加 IP 地址时,会发生以下操作:
IAM 角色或用户必须具有执行 ec2:CreateNetworkInterface 和 ec2:DescribeNetworkInterfaces 操作的权限。如果这些权限不存在,则创建将会失败,状态将更改为需要执行操作。
删除 IP 地址
在从入站或出站 Resolver 端点中删除 IP 地址时,会发生以下操作:
IAM 角色或用户必须具有执行 ec2:DeleteNetworkInterface 和 ec2:DescribeNetworkInterfaces 操作的权限。如果这些权限不存在,则删除将会失败,并且状态将更改为需要执行操作。
IAM 权限
确保 IAM 用户或角色具有以下操作权限,可以在 Route 53 Resolver 端点中添加或删除 IP 地址:
查看 Amazon CloudTrail 日志,了解有关被拒绝的操作的更多详细信息。以下示例是 IAM 用户或角色缺少权限时,AssociateResolverEndpointIpAddress API 调用的 CloudTrail 事件:
"responseElements": {
"resolverEndpoint": {
"id": "rslvr-in-aaaaaaaaaaaaaaaaa",
"creatorRequestId": "AWSConsole.82.1579676363636",
"arn": "arn:aws:route53resolver:us-east-1:111111111111:resolver-endpoint/rslvr-in-11111111111111111",
"name": "aaa",
"securityGroupIds": [
"sg-11111111111111111"
],
"direction": "INBOUND",
"ipAddressCount": 4,
"hostVPCId": "vpc-11111111",
"status": "ACTION_NEEDED",
"statusMessage": "1 IP address(es) failed to be created. Please remove them from the ResolverEndpoint.",
"creationTime": "2020-01-22T06:59:25.990Z",
"modificationTime": "2020-01-22T06:59:25.990Z"
}
}
要进一步检查缺少的 IAM 权限,请查看您的 CloudTrail 日志,了解 AssociateResolverEndpointIpAddress 事件前后的其他事件。例如,如果 IAM 用户或角色缺少 CreateNetworkInterface 权限,那么 CreateNetworkInterface 的 CloudTrail 事件类似于以下示例:
"eventSource": "ec2.amazonaws.com",
"eventName": "CreateNetworkInterface",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"errorCode": "Client.UnauthorizedOperation",
"errorMessage": "You are not authorized to perform this operation."
您看到了“需要执行操作”,但您没有尝试添加或删除端点 IP 地址,或者您拥有相应的 IAM 权限
这意味着端点运行状况不正常,Resolver 无法自动恢复端点。出现此问题的常见原因包括以下情况:
- 删除与端点关联的一个或多个网络接口
- 无法创建网络接口
要解决此问题,请检查与该端点关联的每个 IP 地址。对于每个不可用的 IP 地址,请添加另一个 IP 地址。然后,删除不可用的 IP 地址。
**注意:**一个端点必须始终包含至少两个 IP 地址。