本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
IPAM 的服务相关角色
Amazon Identity and Access Management (IAM) 中的服务相关角色使 Amazon 服务能够代表您调用 Amazon 服务。有关服务相关角色的更多信息,请参见 IAM 用户指南中的使用服务相关角色。
目前 IPAM 只有一个服务相关角色:AWSServiceRoleForIPAM。
授予给服务相关角色的权限
IPAM 使用 AWSServiceRoleForIPAM 服务相关角色调用附加的 AWSIPAMServiceRolePolicy 托管策略中的操作。有关该策略中允许执行的操作的详细信息,请参阅 IPAM 的 Amazon 托管策略。
附加到此服务相关角色的还包括允许 ipam.amazonaws.com 服务代入所需服务相关角色的 IAM 信任策略。
创建服务相关角色
IPAM 通过在账户中担任服务相关角色、发现资源及其 CIDR 并将资源与 IPAM 集成来监控一个或多个账户中的 IP 地址使用情况。
可通过以下两种方式之一创建服务相关角色:
-
当与 Amazon Organizations 集成时
如果 将 IPAM 与组织中的账户集成 Amazon 使用 IPAM 控制台或使用
enable-ipam-organization-admin-accountAmazon CLI CLI 命令,则 AWSServiceRoleForIPAM 服务相关角色将在您的每个 Amazon Organizations 成员账户中自动创建。因此,IPAM 可以发现所有成员账户中的资源。重要
要让 IPAM 代表您创建服务相关角色,请执行以下操作:
-
启用 IPAM 与 Amazon Organizations 集成的 Amazon Organizations 管理账户必须附加允许以下操作的 IAM 策略:
-
ec2:EnableIpamOrganizationAdminAccount -
organizations:EnableAwsServiceAccess -
organizations:RegisterDelegatedAdministrator -
iam:CreateServiceLinkedRole
-
-
IPAM 账户必须附加允许
iam:CreateServiceLinkedRole操作的 IAM 策略。
-
-
当您使用单个 Amazon 账户创建 IPAM 时
如果将 IPAM 用于单个账户,则当您将 IPAM 创建为账户时,将自动创建 AWSServiceRoleForIPAM 服务相关角色。
重要
如果您将 IPAM 与单个 Amazon 账户一起使用,则在创建 IPAM 之前,必须确保您使用的 Amazon 账户附加了允许
iam:CreateServiceLinkedRole操作的 IAM policy。创建 IPAM 时,将自动创建 AWSServiceRoleForIPAM 服务相关角色。有关管理 IAM 策略的更多信息,请参阅 IAM 用户指南中的编辑 IAM 策略。
编辑服务相关角色
您无法编辑 AWSServiceRoleForIPAM 服务相关角色。
删除服务相关角色
如果您不再需要使用 IPAM,我们建议您删除 AWSServiceRoleForIPAM 服务相关角色。
注意
只有删除您的Amazon账户中的所有 IPAM 资源之后,您才可以删除服务相关角色。这可确保您不会无意中删除 IPAM 的监控功能。
请按照以下步骤通过 Amazon CLI 删除服务相关角色:
使用 deprovision-ipam-pool-cidr 和 delete-ipam 删除 IPAM 资源。有关更多信息,请参阅 从池中取消预置 CIDR 和 删除 IPAM。
使用 disable-ipam-organization-admin-account 禁用 IPAM 账户。
使用
--service-principal ipam.amazonaws.com选项通过 disable-aws-service-access禁用 IPAM 服务。 删除服务相关角色:delete-service-linked-role
。删除服务相关角色时,IPAM 托管策略也将删除。有关更多信息,请参阅 IAM 用户指南中的删除服务相关角色。