Serviceverknüpfte Rollen für IPAM - Amazon Virtual Private Cloud
Von der serviceverknüpften Rolle erteilte BerechtigungenErstellen der serviceverknüpften RolleBearbeiten der serviceverknüpften RolleLöschen der serviceverknüpften Rolle

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Serviceverknüpfte Rollen für IPAM

Serviceverknüpfte Rollen in AWS Identity and Access Management (IAM) ermöglichen es AWS-Services, andere AWS-Services in Ihrem Namen aufzurufen. Weitere Informationen zu serviceverknüpften Rollen finden Sie unter Verwenden serviceverknüpfter Rollen im IAM-Benutzerhandbuch.

Es gibt derzeit nur eine serviceverknüpfte Rolle für IPAM: AWSServiceRoleForIPAM.

Von der serviceverknüpften Rolle erteilte Berechtigungen

IPAM verwendet die serviceverknüpfte Rolle AWSServiceRoleForIPAM, um die Aktionen in der angehängten verwalteten AWSIPAMServiceRolePolicy-Richtlinie aufzurufen. Weitere Informationen zu den zulässigen Aktionen in dieser Richtlinie finden Sie unter AWS verwaltete Richtlinien für IPAM.

Diese serviceverknüpfte Rolle verfügt auch über eine IAM-Vertrauensrichtlinie, die es dem ipam.amazonaws.com-Service-Prinzipal erlaubt, die erforderliche serviceverknüpfte Rolle zu übernehmen.

Erstellen der serviceverknüpften Rolle

IPAM überwacht die IP-Adressnutzung in einem oder mehreren Konten, indem es die servicegebundene Rolle in einem Konto übernimmt, die Ressourcen und ihre CIDRs erkennt und die Ressourcen in IPAM integriert.

Die serviceverknüpfte Rolle wird auf zwei Arten erstellt:

  • Wenn Sie sich mit AWS-Organisationen integrieren

    Wenn Sie mit der IPAM-Konsole Integrieren von IPAM mit Konten in einer - AWS Organisation oder den enable-ipam-organization-admin-account AWS CLI-Befehl verwenden, wird die serviceverknüpfte Rolle AWSServiceRoleForIPAM automatisch in jedem Ihrer AWS-Organisationen-Mitgliedskonten erstellt. Infolgedessen sind die Ressourcen in allen Mitgliedskonten von IPAM auffindbar.

    Wichtig

    Damit IPAM die serviceverknüpfte Rolle in Ihrem Namen erstellen kann:

    • Das AWS-Organisationsverwaltungskonto, welches die IPAM-Integration mit AWS-Organisationen ermöglicht, müssen eine IAM-Richtlinie angehängt haben, die folgende Aktionen zulässt:

      • ec2:EnableIpamOrganizationAdminAccount

      • organizations:EnableAwsServiceAccess

      • organizations:RegisterDelegatedAdministrator

      • iam:CreateServiceLinkedRole

    • Dem IPAM-Konto muss eine IAM-Richtlinie beigefügt sein, welche die Aktion iam:CreateServiceLinkedRole erlaubt.

  • Wenn Sie ein IPAM mithilfe eines einzigen AWS-Kontos erstellen

    Wenn Sie Verwenden Sie IPAM mit einem einzigen Konto, wird die serviceverknüpfte AWSServiceRoleForIPAM automatisch erstellt, wenn Sie ein IPAM als Konto erstellen.

    Wichtig

    Wenn Sie IPAM mit einem einzigen AWS-Konto verwenden, bevor Sie ein IPAM erstellen, müssen Sie sicherstellen, dass dem AWS-Konto, das Sie verwenden, eine IAM-Richtlinie angehängt ist, welche die iam:CreateServiceLinkedRole-Aktion zulässt. Wenn Sie ein IPAM erstellen, erstellen Sie automatisch die serviceverknüpfte Rolle AWSServiceRoleForIPAM. Informationen zum Verwalten von IAM-Richtlinien finden Sie unter Bearbeiten von IAM-Richtlinien im IAM-Benutzerhandbuch.

Bearbeiten der serviceverknüpften Rolle

Sie können die serviceverknüpfte Rolle AWSServiceRoleForIPAM nicht bearbeiten.

Löschen der serviceverknüpften Rolle

Wenn Sie IPAM nicht mehr benötigen, empfehlen wir, die serviceverknüpfte Rolle AWSServiceRoleForIPAM zu löschen.

Anmerkung

Sie können die serviceverknüpfte Rolle erst löschen, nachdem Sie alle IPAM-Ressourcen in Ihrem AWS-Konto gelöscht haben. Auf diese Weise wird sichergestellt, dass Sie die Überwachungsfunktion von IPAM nicht versehentlich entfernen.

Führen Sie diese Schritte aus, um die serviceverknüpfte Rolle über die AWS CLI zu löschen:

  1. Löschen Sie Ihre IPAM-Ressourcen mit deprovision-ipam-pool-cidr und delete-ipam. Weitere Informationen finden Sie unter Deprovisionierung von CIDRs aus einem Pool und Löschen Sie ein IPAM.

  2. Deaktivieren Sie das IPAM-Konto mit disable-ipam-organization-admin-account.

  3. Deaktivieren Sie den IPAM-Service mit disable-aws-service-access mit der --service-principal ipam.amazonaws.com-Option.

  4. Löschen der serviceverknüpften Rolle delete-service-linked-role. Wenn Sie die serviceverknüpfte Rolle löschen, wird die von IPAM verwaltete Richtlinie ebenfalls gelöscht. Weitere Informationen finden Sie unter Löschen einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.