# IPAM 的服务相关角色
<a name="iam-ipam-slr"></a>

IPAM 使用 Amazon Identity and Access Management (IAM) 服务相关角色。服务相关角色是一种独特类型的 IAM 角色。服务相关角色由 IPAM 预定义，并包含该服务代表您调用其他 Amazon 服务所需的一切权限。

服务相关角色可让您更轻松地设置 IPAM，因为您不必手动添加必要的权限。IPAM 定义其服务相关角色的权限，除非另外定义，否则只有 IPAM 可以代入该角色。定义的权限包括信任策略和权限策略，而且权限策略不能附加到任何其他 IAM 实体。

## 服务相关角色权限
<a name="service-linked-role-permissions"></a>

IPAM 使用 **AWSServiceRoleForIPAM** 服务相关角色调用附加的 **AWSIPAMServiceRolePolicy** 托管策略中的操作。有关该策略中允许执行的操作的详细信息，请参阅 [IPAM 的 Amazon 托管策略](iam-ipam-managed-pol.md)。

服务相关角色还附加一个允许 `ipam.amazonaws.com` 服务代入服务相关角色的 [IAM 信任策略](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts)。

## 创建服务相关角色
<a name="create-service-linked-role"></a>

IPAM 通过在账户中担任服务相关角色、发现资源及其 CIDR 并将资源与 IPAM 集成来监控一个或多个账户中的 IP 地址使用情况。

可通过以下两种方式之一创建服务相关角色：
+ **当与 Amazon Organizations 集成时**

  如果 [将 IPAM 与 Amazon Organization 中的账户集成](enable-integ-ipam.md) 使用 IPAM 控制台或使用 `enable-ipam-organization-admin-account` Amazon CLI CLI 命令，则 **AWSServiceRoleForIPAM** 服务相关角色将在您的每个 Amazon Organizations 成员账户中自动创建。因此，IPAM 可以发现所有成员账户中的资源。
**重要**  
要让 IPAM 代表您创建服务相关角色，请执行以下操作：  
启用 IPAM 与 Amazon Organizations 集成的 Amazon Organizations 管理账户必须附加允许以下操作的 IAM 策略：  
`ec2:EnableIpamOrganizationAdminAccount`
`organizations:EnableAwsServiceAccess`
`organizations:RegisterDelegatedAdministrator`
`iam:CreateServiceLinkedRole`
IPAM 账户必须附加允许 `iam:CreateServiceLinkedRole` 操作的 IAM 策略。
+ **当您使用单个 Amazon 账户创建 IPAM 时**

  如果[将 IPAM 用于单个账户](enable-single-user-ipam.md)，则当您将 IPAM 创建为账户时，将自动创建 **AWSServiceRoleForIPAM** 服务相关角色。
**重要**  
如果您将 IPAM 与单个 Amazon 账户一起使用，则在创建 IPAM 之前，必须确保您使用的 Amazon 账户附加了允许 `iam:CreateServiceLinkedRole` 操作的 IAM 策略。创建 IPAM 时，将自动创建 **AWSServiceRoleForIPAM** 服务相关角色。有关管理 IAM 策略的更多信息，请参阅《*IAM 用户指南*》中的[编辑服务相关角色描述](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_update-service-linked-role.html#edit-service-linked-role-iam-console)。

## 编辑服务相关角色
<a name="edit-service-linked-role"></a>

您无法编辑 **AWSServiceRoleForIPAM** 服务相关角色。

## 删除服务相关角色
<a name="delete-service-linked-role"></a>

如果您不再需要使用 IPAM，我们建议您删除 **AWSServiceRoleForIPAM** 服务相关角色。

**注意**  
只有删除您的Amazon账户中的所有 IPAM 资源之后，您才可以删除服务相关角色。这可确保您不会无意中删除 IPAM 的监控功能。

请按照以下步骤使用 Amazon CLI 删除服务相关角色：

1. 使用 [deprovision-ipam-pool-cidr](https://docs.amazonaws.cn/cli/latest/reference/ec2/deprovision-ipam-pool-cidr.html) 和 [delete-ipam](https://docs.amazonaws.cn/cli/latest/reference/ec2/delete-ipam.html) 删除 IPAM 资源。有关更多信息，请参阅 [从池中取消预置 CIDR](depro-pool-cidr-ipam.md) 和 [删除 IPAM](delete-ipam.md)。

1. 使用 [disable-ipam-organization-admin-account](https://docs.amazonaws.cn/cli/latest/reference/ec2/disable-ipam-organization-admin-account.html) 禁用 IPAM 账户。

1. 使用 `--service-principal ipam.amazonaws.com` 选项通过 [disable-aws-service-access](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/servicecatalog/disable-aws-organizations-access.html) 禁用 IPAM 服务。

1. 删除服务相关角色：[delete-service-linked-role](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-service-linked-role.html)。删除服务相关角色时，IPAM 托管策略也将删除。有关更多信息，请参阅《IAM 用户指南》**中的[删除服务相关角色](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr)。