Rôles liés à un service pour IPAM - Amazon Virtual Private Cloud
Autorisations accordées au rôle lié à un serviceCréation du rôle lié à un serviceLa modification du rôle lié à un serviceLa suppression du rôle lié à un service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Rôles liés à un service pour IPAM

Les rôles liés à un service dans AWS Identity and Access Management (IAM) permettent aux services AWS d'appeler d'autres services AWS en votre nom. Pour plus d'informations sur l'utilisation des rôles liés à un service, consultez Utilisation des rôles liés à un service dans le Guide de l'utilisateur IAM.

Pour l'instant, il n'y a qu'un rôle lié à un service IPAM : AWSServiceRoleForIPAM.

Autorisations accordées au rôle lié à un service

IPAM utilise le service lié à un rôle AWSServiceRoleForIPAM pour appeler les actions dans la stratégie gérée attachée AWSIPAMServiceRolePolicy. Pour plus d'informations sur les actions autorisées dans cette stratégie, consultez Stratégies gérées AWS pour IPAM.

Une stratégie de confiance IAM est également attachée au rôle lié à un service, laquelle permet au service ipam.amazonaws.com d'assumer le rôle lié à un service.

Création du rôle lié à un service

IPAM surveille l'utilisation des adresses IP dans un ou plusieurs comptes en endossant le rôle lié au service dans un compte, en découvrant les ressources et leurs CIDR, et en intégrant ces ressources à IPAM.

Le rôle lié à un service est créé de l'une des deux manières suivantes :

  • Lors de votre intégration à AWS Organisations

    Si vous Intégrer l'IPAM aux comptes d'une organisation AWS en utilisant la console IPAM ou utilisant la commande de AWS CLI enable-ipam-organization-admin-account, le service lié à un rôle AWSServiceRoleForIPAM est créé automatiquement dans chacun de vos comptes membres AWS Organizations. Par conséquent, les ressources de tous les comptes membres sont détectables par IPAM.

    Important

    Pour qu'IPAM crée le rôle lié au service en votre nom :

    • Le compte de gestion AWS Organizations qui permet l'intégration d'IPAM à AWS Organizations doit être associé à une politique IAM qui autorise les actions suivantes :

      • ec2:EnableIpamOrganizationAdminAccount

      • organizations:EnableAwsServiceAccess

      • organizations:RegisterDelegatedAdministrator

      • iam:CreateServiceLinkedRole

    • Le compte IPAM doit être associé à une politique IAM qui autorise l'action iam:CreateServiceLinkedRole.

  • Lorsque vous créez un IPAM à l'aide d'un seul compte AWS

    Si vous Utilisation d'IPAM avec un seul compte, le rôle lié au service AWSServiceRoleForIPAM est automatiquement créé lorsque vous créez un IPAM en tant que compte.

    Important

    Si vous utilisez IPAM avec un seul compte AWS, avant de créer un IPAM, vous devez vous assurer que le compte AWS que vous utilisez est associé à une politique IAM qui autorise l'action iam:CreateServiceLinkedRole. Lorsque vous créez l'IPAM, vous créez automatiquement le rôle lié au service AWSServiceRoleForIPAM. Pour plus d'informations sur la gestion des politiques IAM, consultez Modification des politiques IAM dans le Guide de l'utilisateur IAM.

La modification du rôle lié à un service

Vous ne pouvez pas modifier le rôle lié au service AWSServiceRoleForIPAM.

La suppression du rôle lié à un service

Si vous n'avez plus besoin d'utiliser IPAM, nous vous recommandons de supprimer le rôle lié au service AWSServiceRoleForIPAM.

Note

Vous pouvez supprimer le rôle lié à un service après que vous avez supprimé toutes les ressources IPAM de votre compte AWS. Ainsi, vous ne pouvez pas involontairement supprimer la capacité de contrôle d'IPAM.

Suivez les étapes suivantes pour supprimer le rôle lié à un service par l'intermédiaire de l'AWS CLI :

  1. Supprimez vos ressources IPAM à l'aide de deprovision-ipam-pool-cidr et delete-ipam. Pour plus d'informations, consultez Pour désapprovisionner un CIDR de groupe et Suppression d'un IPAM.

  2. Désactivez le compte IPAM à l'aide de disable-ipam-organization-admin-account.

  3. Désactivez le service IPAM à l'aide de disable-aws-service-access en utilisant l'option --service-principal ipam.amazonaws.com.

  4. Supprimez le rôle lié à un service : delete-service-linked-role. Lorsque vous supprimez le rôle lié à un service, la stratégie gérée par IPAM est également supprimée. Pour plus d'informations, consultez Suppression d'un rôle lié à un service dans le Guide de l'utilisateur IAM.