Route 53 リゾルバーエンドポイントの「Action needed」ステータスを解決するにはどうすればよいですか?

エンドポイント IP アドレスを追加または削除しようとした後に、ステータスが「Action needed」となる場合

AWS Identity and Access Management (IAM) のユーザーまたはロールに、エンドポイント IP アドレスを追加または削除するために必要なアクセス権限があるかどうかを確認してください。

インバウンドまたはアウトバウンドのリゾルバーエンドポイントに IP アドレスを追加すると、次のことが生じます。

• AssociateResolverEndpointIpAddress API が呼び出されます。
• リゾルバーは、追加した各 IP アドレスに対して、VPC Elastic Network Interface を自動的に作成します。
• IAM ロールまたはユーザーには、「ec2:CreateNetworkInterface」および「ec2:DescribeNetworkInterfaces」アクションを実行するアクセス権限が必要です。これらが存在しない場合は IP アドレスの追加は失敗し、ステータスが「Action needed」に変わります。

インバウンドまたはアウトバウンドのリゾルバーエンドポイントから IP アドレスを削除する場合には、次のことが生じます。

• DisassociateResolverEndpointIpAddress API が呼び出されます。
• 「ec2:DeleteNetworkInterface」呼び出しを実行して、対象の IP アドレスに関連付けられたネットワークインターフェイスを削除する必要があります。
• IAM ロールまたはユーザーには、「ec2:DeleteNetworkInterface」および「ec2:DescribeNetworkInterfaces」アクションを実行するアクセス権限が必要です。これらが存在しない場合、IP アドレスの削除は失敗し、ステータスが「Action needed」に変わります。

Route 53 リゾルバーエンドポイントで IP アドレスを追加する、あるいは削除する際には、IAM ユーザーまたはロールに次のアクセス権限があることを確認しください。

• ec2:DescribeNetworkInterfaces
• ec2:DescribeAvailabilityZones
• ec2:CreateNetworkInterface
• ec2:DeleteNetworkInterface
• ec2:DescribeSubnets

拒否されたアクションに関する、より詳細な内容については、AWS CloudTrail ログを確認してください。IAM ユーザーまたはロールにアクセス許可がない場合に、「AssociateResolverEndpointIpAddress」呼び出しで発生する CloudTrail イベントの例を次に示します。

"responseElements": {
        "resolverEndpoint": {
            "id": "rslvr-in-aaaaaaaaaaaaaaaaa",
            "creatorRequestId": "AWSConsole.82.1579676363636",
            "arn": "arn:aws:route53resolver:us-east-1:111111111111:resolver-endpoint/rslvr-in-11111111111111111",
            "name": "aaa",
            "securityGroupIds": [
                "sg-11111111111111111"
            ],
            "direction": "INBOUND",
            "ipAddressCount": 4,
            "hostVPCId": "vpc-11111111",
            "status": "ACTION_NEEDED",
            "statusMessage": "1 IP address(es) failed to be created. Please remove them from the ResolverEndpoint.",
            "creationTime": "2020-01-22T06:59:25.990Z",
            "modificationTime": "2020-01-22T06:59:25.990Z"
        }
    }

「AssociateResolverEndpointIpAddress」イベントの前後で、他のイベントに関する CloudTrail ログを見ることで、不足している IAM アクセス許可を確認することもできます。たとえば、IAM ユーザーまたはロールに適切なアクセス権限がない場合の「CreateNetworkInterface」のアクセスに対しては、次のような CloudTrail イベントが発生します。

"eventSource": "ec2.amazonaws.com",
"eventName": "CreateNetworkInterface",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"errorCode": "Client.UnauthorizedOperation",
"errorMessage": "You are not authorized to perform this operation."

エンドポイントで IP アドレスの追加または削除を行っていない、または必要な IAM アクセス許可があるのにステータスが「Action needed」となる場合

これは、エンドポイントに障害があり、リゾルバーがそれを自動的に復旧できないことを意味します。この問題の一般的な原因は次のとおりです。

• エンドポイントに関連付けられている 1 つ以上のネットワークインターフェイスが削除されている。
• ネットワークインターフェイスが作成不能である。

この問題を解決するには、エンドポイントに関連付けている IP アドレスを、個別に確認します。使用できない IP アドレスごとに、別の IP アドレスを 1 つ追加します。その後、使用できない IP アドレスを削除していきます。

注: エンドポイントには、常に 2 つ以上の IP アドレスが含まれている必要があります。