如何解决 Route 53 Resolver 端点的“需要执行操作”状态？

解决方法

尝试添加或删除端点 IP 地址后，您会看到“需要执行操作”

验证您的 Amazon Identity and Access Management (IAM) 用户或角色是否具有添加或删除端点 IP 地址所需的权限。

添加 IP 地址

在向入站或出站 Resolver 端点添加 IP 地址时，会发生以下操作：

• Route 53 进行 AssociateResolverEndpointIpAddress API 调用。
• 对于您指定的每个 IP 地址，Resolver 都会自动创建 VPC 弹性网络接口。

IAM 角色或用户必须具有执行 ec2:CreateNetworkInterface 和 ec2:DescribeNetworkInterfaces 操作的权限。如果这些权限不存在，则创建将会失败，状态将更改为需要执行操作。

删除 IP 地址

在从入站或出站 Resolver 端点中删除 IP 地址时，会发生以下操作：

• 进行 DisassociateResolverEndpointIpAddress API 调用。
• 必须通过执行“ec2:DeleteNetworkInterface”调用来删除与 IP 地址关联的网络接口。

IAM 角色或用户必须具有执行 ec2:DeleteNetworkInterface 和 ec2:DescribeNetworkInterfaces 操作的权限。如果这些权限不存在，则删除将会失败，并且状态将更改为需要执行操作。

IAM 权限

确保 IAM 用户或角色具有以下操作权限，可以在 Route 53 Resolver 端点中添加或删除 IP 地址：

• ec2:DescribeNetworkInterfaces
• ec2:DescribeAvailabilityZones
• ec2:CreateNetworkInterface
• ec2:DeleteNetworkInterface
• ec2:DescribeSubnets

查看 Amazon CloudTrail 日志，了解有关被拒绝的操作的更多详细信息。以下示例是 IAM 用户或角色缺少权限时，AssociateResolverEndpointIpAddress API 调用的 CloudTrail 事件：

"responseElements": {  
  "resolverEndpoint": {  
    "id": "rslvr-in-aaaaaaaaaaaaaaaaa",  
    "creatorRequestId": "AWSConsole.82.1579676363636",  
    "arn": "arn:aws:route53resolver:us-east-1:111111111111:resolver-endpoint/rslvr-in-11111111111111111",  
    "name": "aaa",  
    "securityGroupIds": [  
      "sg-11111111111111111"  
    ],  
    "direction": "INBOUND",  
    "ipAddressCount": 4,  
    "hostVPCId": "vpc-11111111",  
    "status": "ACTION_NEEDED",  
    "statusMessage": "1 IP address(es) failed to be created. Please remove them from the ResolverEndpoint.",  
    "creationTime": "2020-01-22T06:59:25.990Z",  
    "modificationTime": "2020-01-22T06:59:25.990Z"  
  }  
}

要进一步检查缺少的 IAM 权限，请查看您的 CloudTrail 日志，了解 AssociateResolverEndpointIpAddress 事件前后的其他事件。例如，如果 IAM 用户或角色缺少 CreateNetworkInterface 权限，那么 CreateNetworkInterface 的 CloudTrail 事件类似于以下示例：

"eventSource": "ec2.amazonaws.com",
"eventName": "CreateNetworkInterface",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"errorCode": "Client.UnauthorizedOperation",
"errorMessage": "You are not authorized to perform this operation."

您看到了“需要执行操作”，但您没有尝试添加或删除端点 IP 地址，或者您拥有相应的 IAM 权限

这意味着端点运行状况不正常，Resolver 无法自动恢复端点。出现此问题的常见原因包括以下情况：

• 删除与端点关联的一个或多个网络接口
• 无法创建网络接口

要解决此问题，请检查与该端点关联的每个 IP 地址。对于每个不可用的 IP 地址，请添加另一个 IP 地址。然后，删除不可用的 IP 地址。

**注意：**一个端点必须始终包含至少两个 IP 地址。