Roles vinculados a servicios para IPAM
Los roles vinculados a servicios en AWS Identity and Access Management (IAM) habilitan servicios de AWS para que llamen a otros servicios de AWS en su nombre. Para obtener más información acerca los roles vinculados a servicios, consulte Uso de roles vinculados a servicios en la Guía del usuario de IAM.
Actualmente solo hay un rol vinculado a servicios para IPAM: AWSServiceRoleForIPAM.
Permisos concedidos al rol vinculado a servicios
IPAM utiliza el rol vinculado a servicios AWSServiceRoleForIPAM para llamar a las acciones en la política administrada adjunta AWSIPAMServiceRolePolicy. Para obtener más información sobre las acciones permitidas en esa política, consulte Políticas administradas por AWS para IPAM .
Este rol vinculado a servicios también tiene una política de confianza de IAM que permite que el servicio de ipam.amazonaws.com asuma el rol vinculado a servicios.
Creación del rol vinculado a servicios
IPAM supervisa el uso de direcciones IP en una o más cuentas al asumir el rol vinculado a servicios de una cuenta, al descubrir los recursos y sus CIDR y al integrar los recursos con IPAM.
El rol vinculado a servicios se crea de una de estas dos maneras:
-
Al integrar con AWS Organizations
Si Integración de IPAM con cuentas en una organización de AWS mediante la consola de IPAM o mediante el comando
enable-ipam-organization-admin-accountde AWS CLI, el rol vinculado a servicios AWSServiceRoleForIPAM se crea automáticamente en cada una de sus cuentas de miembros de AWS Organizations. Como resultado de ello, IPAM puede detectar los recursos de todas las cuentas de miembros.importante
Para que IPAM cree el rol vinculado a servicios en su nombre:
-
La cuenta de administración de AWS Organizations que permite la integración de IPAM con AWS Organizations deben tener adjunta una política de IAM que permita las siguientes acciones:
-
ec2:EnableIpamOrganizationAdminAccount -
organizations:EnableAwsServiceAccess -
organizations:RegisterDelegatedAdministrator -
iam:CreateServiceLinkedRole
-
-
La cuenta de IPAM debe tener adjunta una política de IAM que permita la acción
iam:CreateServiceLinkedRole.
-
-
Cuando crea una IPAM mediante una sola cuenta de AWS
Si Utilizar IPAM con una sola cuenta, el rol vinculado a servicios AWSServiceRoleForIPAM se crea automáticamente al crear un IPAM como esa cuenta.
importante
Si utiliza IPAM con una sola cuenta de AWS, antes de crear un IPAM, debe asegurarse de que la cuenta de AWS que utiliza tenga adjunta una política de IAM que permita la acción
iam:CreateServiceLinkedRole. Al crear el IPAM, se crea automáticamente el rol vinculado a servicios AWSServiceRoleForIPAM. Para obtener más información sobre la administración de las políticas de IAM, consulte Edición de políticas de IAM en la Guía del usuario de IAM.
Editar el rol vinculado a servicios
No puede editar el rol vinculado a servicios AWSServiceRoleForIPAM.
Eliminar el rol vinculado a servicios
Si ya no tiene que utilizar IPAM, le recomendamos que elimine el rol vinculado a servicios AWSServiceRoleForIPAM.
nota
Puede eliminar el rol vinculado a servicios solo después de eliminar todos los recursos de IPAM en su cuenta de AWS. Esto garantiza que no pueda eliminar accidentalmente la capacidad de monitoreo de IPAM.
Siga estos pasos para eliminar el rol vinculado a servicios mediante AWS CLI:
Elimine los recursos de IPAM mediante deprovision-ipam-pool-cidr y delete-ipam. Para obtener más información, consulte Anular el aprovisionamiento del CIDR de un grupo y Eliminar un IPAM.
Desactive la cuenta de IPAM con disable-ipam-organization-admin-account.
Desactive el servicio de IPAM con disable-aws-service-access
mediante la opción --service-principal ipam.amazonaws.com.Elimine el rol vinculado a servicios: delete-service-linked-role
. Al eliminar el rol vinculado a servicios, también se elimina la política administrada de IPAM. Para obtener más información, consulte Eliminación de un rol vinculado a un servicio en la Guía del usuario de IAM.
