Peran tertaut layanan untuk IPAM

Peran terkait layanan diAWS Identity and Access Management (IAM) memungkinkanAWS layanan untuk memanggilAWS layanan lain atas nama Anda. Untuk informasi selengkapnya tentang peran tertaut layanan, lihat Menggunakan peran tertaut layanan dalam Panduan Pengguna IAM.

Saat ini hanya ada satu peran terkait layanan untuk IPAM: AWSServiceRoleForIPAM.

Izin yang diberikan kepada peran yang ditautkan dengan layanan

IPAM menggunakan peran AWSServiceRoleForIPAMterkait layanan untuk memanggil tindakan dalam kebijakan AWSIPAMServiceRolePolicyterkelola terlampir. Untuk informasi lebih lanjut tentang tindakan yang diizinkan dalam kebijakan itu, lihatAWSkebijakan terkelola untuk IPAM.

Juga melekat pada peran terkait layanan adalah kebijakan tepercaya IAM yang memungkinkanipam.amazonaws.com layanan untuk mengambil peran terkait layanan.

Membuat peran tertaut layanan

IPAM memantau penggunaan alamat IP dalam satu atau lebih akun dengan mengasumsikan peran terkait layanan dalam akun, menemukan sumber daya dan CIDR mereka, dan mengintegrasikan sumber daya dengan IPAM.

Peran yang tertaut dengan layanan dibuat dengan salah satu dari dua cara yang terhubung dengan layanan ini:

• Saat Anda berintegrasi denganAWS Organizations

  Jika AndaIntegrasikan IPAM dengan akun di Organisasi AWS menggunakan konsol IPAM atau menggunakanenable-ipam-organization-admin-accountAWS CLI perintah, peran AWSServiceRoleForIPAMterkait layanan secara otomatis dibuat di setiap akun anggotaAWS Organizations Anda. Akibatnya, sumber daya dalam semua akun anggota dapat ditemukan oleh IPAM.

  penting

  Untuk IPAM untuk membuat peran tertaut layanan atas nama Anda:

  • Akun manajemenAWS Organizations yang memungkinkan integrasi IPAM denganAWS Organizations harus memiliki kebijakan IAM yang melekat padanya yang memungkinkan tindakan berikut:

    • ec2:EnableIpamOrganizationAdminAccount

    • organizations:EnableAwsServiceAccess

    • organizations:RegisterDelegatedAdministrator

    • iam:CreateServiceLinkedRole

  • Akun IPAM harus memiliki kebijakan IAM yang memungkinkan tindakan tertautiam:CreateServiceLinkedRole tindakan tersebut.

• Saat Anda membuat IPAM menggunakan satuAWS akun

  Jika AndaGunakan IPAM dengan satu akun, peran AWSServiceRoleForIPAMtertaut layanan secara otomatis dibuat saat Anda membuat IPAM sebagai akun tersebut.

  penting

  Jika Anda menggunakan IPAM dengan satuAWS akun, sebelum membuat IPAM, Anda harus memastikan bahwaAWS akun yang Anda gunakan memiliki kebijakan IAM yang melekat padanya yang memungkinkaniam:CreateServiceLinkedRole tindakan tersebut. Saat Anda membuat IPAM, Anda secara otomatis membuat peran AWSServiceRoleForIPAMterkait layanan. Untuk informasi selengkapnya tentang mengelola kebijakan IAM, lihat Mengedit kebijakan IAM di Panduan Pengguna IAM.

Mengedit peran tertaut layanan

Anda tidak dapat mengedit peran yang terhubung dengan layanan AWSServiceRoleForIPAM.

Hapus peran tertaut layanan

Jika Anda tidak perlu lagi menggunakan IPAM, kami sarankan agar Anda menghapus peran AWSServiceRoleForIPAMtertaut layanan.

catatan

Anda dapat menghapus peran tertaut layanan hanya setelah Anda menghapus semua sumber daya IPAM dalamAWS akun Anda. Hal ini memastikan bahwa Anda tidak dapat secara tidak sengaja menghapus kemampuan pemantauan IPAM.

Ikuti langkah-langkah berikut untuk menghapus peran terkait layanan melaluiAWS CLI:

1. Hapus sumber daya IPAM Anda menggunakan deprovision-ipam-pool-cidrdan menghapus-ipam. Untuk informasi selengkapnya, lihat Deprovision CIDR dari kolam dan Menghapus IPAM.

2. Nonaktifkan akun IPAM dengan disable-ipam-organization-admin-account.

3. Nonaktifkan layanan IPAM dengan disable-aws-service-accessmenggunakan--service-principal ipam.amazonaws.com opsi.

4. Hapus peran yang ditautkan dengan layanan delete-service-linked-role. Saat Anda menghapus peran tertaut layanan, kebijakan tertaut layanan, kebijakan tertaut layanan juga dihapus. Untuk informasi selengkapnya, lihat Menghapus peran tertaut layanan dalam Panduan Pengguna IAM.