IPAM 的 Amazon 托管策略 - Amazon Virtual Private Cloud
对 Amazon 托管策略的更新
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

IPAM 的 Amazon 托管策略

如果将 IPAM 与单个 Amazon 账户一起使用,并且创建了 IPAM,则会在 IAM 账户中自动创建 AWSIPAMServiceRolePolicy 托管策略,并将其附加到 AWSServiceRoleForIPAM 服务相关角色

如果您启用 IPAM 与 Amazon Organizations 的集成,将自动在您的 IAM 账户和每个 Amazon Organizations 成员账户中创建 AWSIPAMServiceRolePolicy 托管策略,并且该托管策略将附加到 AWSServiceRoleForIPAM 服务相关角色。

此托管策略允许 IPAM 执行以下操作:

  • 在您的 Amazon 企业的所有成员中监控与联网资源关联的 CIDR。

  • 在 Amazon CloudWatch 中存储与 IPAM 相关的指标,例如 IPAM 池中可用的 IP 地址空间以及符合分配规则的资源 CIDR 数量。

以下示例显示所创建托管策略的详细信息。

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "IPAMDiscoveryDescribeActions",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeAccountAttributes",
                "ec2:DescribeAddresses",
                "ec2:DescribeByoipCidrs",
                "ec2:DescribeIpv6Pools",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribePublicIpv4Pools",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSecurityGroupRules",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcs",
                "ec2:DescribeVpnConnections",
                "ec2:GetIpamDiscoveredAccounts",
                "ec2:GetIpamDiscoveredPublicAddresses",
                "ec2:GetIpamDiscoveredResourceCidrs",
                "globalaccelerator:ListAccelerators",
                "globalaccelerator:ListByoipCidrs",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization",
                "organizations:ListAccounts",
                "organizations:ListDelegatedAdministrators",
                "organizations:ListChildren",
                "organizations:ListParents",
                "organizations:DescribeOrganizationalUnit"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CloudWatchMetricsPublishActions",
            "Effect": "Allow",
            "Action": "cloudwatch:PutMetricData",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": "AWS/IPAM"
                }
            }
        }
    ]
}

前面示例中的第一条语句使 IPAM 能够监控单个 Amazon 账户或 Amazon Organization 成员使用的 CIDR。

上述示例中的第二条语句使用 cloudwatch:PutMetricData 条件键允许 IPAM 将 IPAM 指标存储在您的 AWS/IPAM Amazon CloudWatch 命名空间中。这些指标被 Amazon Web Services Management Console用于显示有关 IPAM 池和范围中的分配的数据。有关更多信息,请参阅 使用 IPAM 控制面板监控 CIDR 使用情况

对 Amazon 托管策略的更新

查看有关 IPAM 的 Amazon 托管策略更新的详细信息(从该服务开始跟踪这些更改开始)。

更改 描述 日期

AWSIPAMServiceRolePolicy

向 AWSIPAMServiceRolePolicy 托管策略(organizations:ListChildrenorganizations:ListParentsorganizations:DescribeOrganizationalUnit)添加了操作,使 IPAM 能够获取 Amazon Organizations 中组织单位(OU)的详细信息,以便客户可以在 OU 级别使用 IPAM。

 2024 年 11 月 21 日

AWSIPAMServiceRolePolicy

在 AWSIPAMServiceRolePolicy 托管策略(ec2:GetIpamDiscoveredPublicAddresses)中添加了操作,以使 IPAM 能够在资源发现期间获取公有 IP 地址。

 2023 年 11 月 13 日

AWSIPAMServiceRolePolicy

 在 AWSIPAMServiceRolePolicy 托管策略(ec2:DescribeAccountAttributesec2:DescribeNetworkInterfacesec2:DescribeSecurityGroupsec2:DescribeSecurityGroupRulesec2:DescribeVpnConnectionsglobalaccelerator:ListAcceleratorsglobalaccelerator:ListByoipCidrs)中添加了操作 ,使 IPAM 能够在资源发现期间获取公有 IP 地址。 2023 年 11 月 1 日

AWSIPAMServiceRolePolicy

向 AWSIPAMServiceRolePolicy 托管式策略添加了两个操作(ec2:GetIpamDiscoveredAccountsec2:GetIpamDiscoveredResourceCidrs),以便 IPAM 在资源发现期间获取 Amazon 账户和监控资源 CIDR。

 2023 年 1 月 25 日
IPAM 已开启跟踪更改

IPAM 为其 Amazon 托管策略开启了跟踪更改。

 2021 年 12 月 2 日