IPAM 的服务相关角色 - Amazon Virtual Private Cloud
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

IPAM 的服务相关角色

Amazon Identity and Access Management (IAM) 中的服务相关角色使 Amazon 服务能够代表您调用 Amazon 服务。有关服务相关角色的更多信息,请参见 IAM 用户指南中的使用服务相关角色

目前 IPAM 只有一个服务相关角色:AWSServiceRoleForIPAM

授予给服务相关角色的权限

IPAM 使用 AWSServiceRoleForIPAM 服务相关角色调用附加的 AWSIPAMServiceRolePolicy 托管策略中的操作。有关该策略中允许执行的操作的详细信息,请参阅 IPAM 的 Amazon 托管策略

附加到此服务相关角色的还包括允许 ipam.amazonaws.com 服务代入所需服务相关角色的 IAM 信任策略

创建服务相关角色

IPAM 通过在账户中担任服务相关角色、发现资源及其 CIDR 并将资源与 IPAM 集成来监控一个或多个账户中的 IP 地址使用情况。

可通过以下两种方式之一创建服务相关角色:

  • 当与 Amazon Organizations 集成时

    如果 将 IPAM 与 Amazon Organizations 集成 使用 IPAM 控制台或使用 enable-ipam-organization-admin-account Amazon CLI CLI 命令,则 AWSServiceRoleForIPAM 服务相关角色将在您的每个 Amazon Organizations 成员账户中自动创建。因此,IPAM 可以发现所有成员账户中的资源。

    重要

    要让 IPAM 代表您创建服务相关角色,请执行以下操作:

    • 启用 IPAM 与 Amazon Organizations 集成的 Amazon Organizations 管理账户必须附加允许以下操作的 IAM 策略:

      • ec2:EnableIpamOrganizationAdminAccount

      • organizations:EnableAwsServiceAccess

      • organizations:RegisterDelegatedAdministrator

      • iam:CreateServiceLinkedRole

    • IPAM 账户必须附加允许 iam:CreateServiceLinkedRole 操作的 IAM 策略。

  • 当您使用单个 Amazon 账户创建 IPAM 时

    如果将 IPAM 用于单个账户,则当您将 IPAM 创建为账户时,将自动创建 AWSServiceRoleForIPAM 服务相关角色。

    重要

    如果您将 IPAM 与单个 Amazon 账户一起使用,则在创建 IPAM 之前,必须确保您使用的 Amazon 账户附加了允许 iam:CreateServiceLinkedRole 操作的 IAM 策略。创建 IPAM 时,将自动创建 AWSServiceRoleForIPAM 服务相关角色。有关管理 IAM 策略的更多信息,请参阅 IAM 用户指南中的编辑 IAM 策略

编辑服务相关角色

您无法编辑 AWSServiceRoleForIPAM 服务相关角色。

删除服务相关角色

如果您不再需要使用 IPAM,我们建议您删除 AWSServiceRoleForIPAM 服务相关角色。

注意

只有删除您的Amazon账户中的所有 IPAM 资源之后,您才可以删除服务相关角色。这可确保您不会无意中删除 IPAM 的监控功能。

请按照以下步骤通过 Amazon CLI 删除服务相关角色:

  1. 使用 deprovision-ipam-pool-cidrdelete-ipam 删除 IPAM 资源。有关更多信息,请参阅 从池中取消预置 CIDR删除 IPAM

  2. 使用 disable-ipam-organization-admin-account 禁用 IPAM 账户。

  3. 使用 --service-principal ipam.amazonaws.com 选项通过 disable-aws-service-access 禁用 IPAM 服务。

  4. 删除服务相关角色:delete-service-linked-role。删除服务相关角色时,IPAM 托管策略也将删除。有关更多信息,请参阅 IAM 用户指南中的删除服务相关角色