IPAM 的 Amazon 托管策略 - Amazon Virtual Private Cloud
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

IPAM 的 Amazon 托管策略

如果将 IPAM 与单个 Amazon 账户一起使用,并且创建了 IPAM,则会在 IAM 账户中自动创建 AWSIPAMServiceRolePolicy 托管策略,并将其附加到 AWSServiceRoleForIPAM 服务相关角色

如果您启用 IPAM 与 Amazon Organizations 的集成,将自动在您的 IAM 账户和每个 Amazon Organizations 成员账户中创建 AWSIPAMServiceRolePolicy 托管策略,并且该托管策略将附加到 AWSServiceRoleForIPAM 服务相关角色。

此托管策略允许 IPAM 执行以下操作:

  • 在您的 Amazon 企业的所有成员中监控与联网资源关联的 CIDR。

  • 在 Amazon CloudWatch 中存储与 IPAM 相关的指标,例如 IPAM 池中可用的 IP 地址空间以及符合分配规则的资源 CIDR 数量。

以下示例显示所创建托管策略的详细信息。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "IPAMDiscoveryDescribeActions", "Effect": "Allow", "Action": [ "ec2:DescribeAccountAttributes", "ec2:DescribeAddresses", "ec2:DescribeByoipCidrs", "ec2:DescribeIpv6Pools", "ec2:DescribeNetworkInterfaces", "ec2:DescribePublicIpv4Pools", "ec2:DescribeSecurityGroups", "ec2:DescribeSecurityGroupRules", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:DescribeVpnConnections", "ec2:GetIpamDiscoveredAccounts", "ec2:GetIpamDiscoveredPublicAddresses", "ec2:GetIpamDiscoveredResourceCidrs", "globalaccelerator:ListAccelerators", "globalaccelerator:ListByoipCidrs", "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts", "organizations:ListDelegatedAdministrators" ], "Resource": "*" }, { "Sid": "CloudWatchMetricsPublishActions", "Effect": "Allow", "Action": "cloudwatch:PutMetricData", "Resource": "*", "Condition": { "StringEquals": { "cloudwatch:namespace": "AWS/IPAM" } } } ] }

前面示例中的第一条语句使 IPAM 能够监控单个 Amazon 账户或 Amazon Organization 成员使用的 CIDR。

上述示例中的第二条语句使用 cloudwatch:PutMetricData 条件键允许 IPAM 将 IPAM 指标存储在您的 AWS/IPAM Amazon CloudWatch 命名空间中。这些指标被 Amazon 管理控制台用于显示有关 IPAM 池和范围中的分配的数据。有关更多信息,请参阅 使用 IPAM 控制面板监控 CIDR 使用情况

对 Amazon 托管策略的更新

查看有关 IPAM 的 Amazon 托管策略更新的详细信息(从该服务开始跟踪这些更改开始)。

更改 说明 日期

AWSIPAMServiceRolePolicy

在 AWSIPAMServiceRolePolicy 托管策略(ec2:GetIpamDiscoveredPublicAddresses)中添加了操作,以使 IPAM 能够在资源发现期间获取公有 IP 地址。

2023 年 11 月 13 日

AWSIPAMServiceRolePolicy

在 AWSIPAMServiceRolePolicy 托管策略(ec2:DescribeAccountAttributesec2:DescribeNetworkInterfacesec2:DescribeSecurityGroupsec2:DescribeSecurityGroupRulesec2:DescribeVpnConnectionsglobalaccelerator:ListAcceleratorsglobalaccelerator:ListByoipCidrs)中添加了操作 ,使 IPAM 能够在资源发现期间获取公有 IP 地址。 2023 年 11 月 1 日

AWSIPAMServiceRolePolicy

向 AWSIPAMServiceRolePolicy 托管式策略添加了两个操作(ec2:GetIpamDiscoveredAccountsec2:GetIpamDiscoveredResourceCidrs),以便 IPAM 在资源发现期间获取 Amazon 账户和监控资源 CIDR。

2023 年 1 月 25 日
IPAM 已开启跟踪更改

IPAM 为其 Amazon 托管策略开启了跟踪更改。

2021 年 12 月 2 日