Comment résoudre le statut « Action nécessaire » de mon point de terminaison de résolveur Route 53 ?
Date de la dernière mise à jour : 16/06/2020
Mon point de terminaison de résolveur Amazon Route 53 est à l'état « Action nécessaire ». Comment résoudre ce problème ?
Solution
Vous avez remarqué le statut « Action nécessaire » après avoir essayé d'ajouter ou de supprimer une adresse IP de point de terminaison
Vérifiez si votre utilisateur ou rôle AWS Identity and Access Management (IAM) dispose des autorisations requises pour ajouter ou supprimer des adresses IP de point de terminaison.
Lors de l'ajout d'une adresse IP à un point de terminaison de résolveur entrant ou sortant :
- Un appel d'API AssociateResolverEndpointIpAddress est effectué.
- Pour chaque adresse IP que vous spécifiez, le résolveur crée automatiquement une interface réseau Elastic VPC.
- L'utilisateur ou le rôle IAM doit disposer des autorisations pour effectuer les actions « ec2: CreateNetworkInterface » et « ec2: DescribeNetworkInterfaces ». Si elles ne sont pas présentes, la création échoue et l'état passe à « Action nécessaire ».
Lors de la suppression d'une adresse IP d'un point de terminaison de résolveur entrant ou sortant :
- Un appel d'API DisassociateResolverEndpointIpAddress est effectué.
- L'interface réseau associée à l'adresse IP doit être supprimée en effectuant un appel « ec2 : DeleteNetworkInterface ».
- L'utilisateur ou le rôle IAM doit disposer des autorisations pour effectuer les actions « ec2: DeleteNetworkInterface » et « ec2: DescribeNetworkInterfaces ». Si elles ne sont pas présentes, la suppression échoue et l'état passe à « Action nécessaire ».
Assurez-vous que l'utilisateur ou le rôle IAM dispose des autorisations suivantes pour ajouter ou supprimer des adresses IP des points de terminaison du résolveur Route 53 :
- ec2:DescribeNetworkInterfaces
- ec2: DescribeAvailabilityZones
- ec2:CreateNetworkInterface
- ec2:DeleteNetworkInterface
- ec2:DescribeSubnets
Consultez les journaux AWS CloudTrail pour plus de détails sur l'action refusée. Voici un exemple d'événement CloudTrail pour l'appel « AssociateResolverEndpointIpAddress » lorsque l'utilisateur ou le rôle IAM ne possède pas les autorisations.
"responseElements": {
"resolverEndpoint": {
"id": "rslvr-in-aaaaaaaaaaaaaaaaa",
"creatorRequestId": "AWSConsole.82.1579676363636",
"arn": "arn:aws:route53resolver:us-east-1:111111111111:resolver-endpoint/rslvr-in-11111111111111111",
"name": "aaa",
"securityGroupIds": [
"sg-11111111111111111"
],
"direction": "INBOUND",
"ipAddressCount": 4,
"hostVPCId": "vpc-11111111",
"status": "ACTION_NEEDED",
"statusMessage": "1 IP address(es) failed to be created. Please remove them from the ResolverEndpoint.",
"creationTime": "2020-01-22T06:59:25.990Z",
"modificationTime": "2020-01-22T06:59:25.990Z"
}
}
Vous pouvez également consulter les journaux CloudTrail pour d'autres événements avant ou après l'événement « AssociateResolverEndpointIpAddress » afin de vérifier l'autorisation IAM manquante. Par exemple, s'il manque l'autorisation « CreateNetworkInterface » à l'utilisateur ou au rôle IAM, l'événement CloudTrail pour « CreateNetworkInterface » se présente comme suit :
"eventSource": "ec2.amazonaws.com",
"eventName": "CreateNetworkInterface",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"errorCode": "Client.UnauthorizedOperation",
"errorMessage": "You are not authorized to perform this operation."
Vous avez remarqué le statut « Action nécessaire », mais vous n'avez pas essayé d'ajouter ou de supprimer une adresse IP de point de terminaison ou vous disposez des autorisations IAM appropriées
Cela signifie que le point de terminaison n'est pas sain et que le résolveur ne peut pas le récupérer automatiquement. Les causes courantes de ce problème sont les suivantes :
- Suppression d'une ou plusieurs des interfaces réseau associées au point de terminaison.
- Impossibilité de créer l'interface réseau.
Pour résoudre le problème, vérifiez chaque adresse IP que vous avez associée au point de terminaison. Pour chaque adresse IP indisponible, ajoutez une autre adresse IP. Supprimez ensuite l'adresse IP indisponible.
Remarque : un point de terminaison doit toujours inclure au moins deux adresses IP.
Cet article vous a-t-il été utile ?
Cette page peut-elle être améliorée ?
Vous avez besoin d'aide ?